資訊安全世界

在出現勒索訊息之前,勒索病毒暗中做的四件事

文.圖/TREND LABS 趨勢科技全球技術支援與研發中心 2016-09-20 10:00:16
▲在出現勒索訊息之前,勒索病毒早在暗中做了四件事情了


勒索病毒:幕後的運作

勒索病毒 Ransomware (勒索軟體/綁架病毒)已成為快速散播的瘟疫,不僅危害一般的使用者,還影響公家機關或企業。從失去對系統檔案的存取能力到損毀聲譽,勒索病毒利用恐嚇戰術脅迫受害者支付贖金。這類惡意軟體會如此猖獗的原因是受害者往往不知道自己已經中毒,直到他們看到勒贖訊息突然出現在螢幕上,但那時為時已晚。

▲最近韓劇超夯的,許多人喜歡網路追劇,提醒您別遇到勒索病毒,以上為粉絲在趨勢科技粉絲頁留言


對於勒索病毒的報導通常聚焦於如何抵達系統和其所帶來的破壞性後果,在受害者看到勒贖通知之前,這中間發生了什麼事?

▲勒索病毒進入你的電腦之後,會偷偷進行這幾件事,然後才出現勒索畫面


1. 往往從一個惡意連結或附件開始,受害者親手將電腦陷入危機

不知情的受害者點入連結或下載有害檔案的瞬間打開了讓惡意軟體進入系統的大門。它將自己複製到使用者的資料夾內,通常是以可執行檔的格式。在Windows環境,惡意軟體往往將檔案寫入%APPDATA%或%TEMP%資料夾,原因是作業系統允許一般使用者寫入這些資料夾而無須管理員權限。接著勒索病毒會開始悄悄地在背景執行。

▲如果電腦有軟體的修補程式沒有更新的話,遇到「Drive by download」路過式下載(隱藏式下載、偷渡式下載、強迫下載,網頁掛馬)攻擊,瀏覽惡意網頁或惡意廣告就會中毒。不要以為官方或大型網站就比較安全,曾幾何時網頁廣告成勒索病毒散播溫床,紐約時報、BBC、MSN 皆曾中招。台灣也傳出相關案例。


2. 連線到特定網站收發資訊

一旦惡意軟體進入系統,它會連上網路並且聯絡伺服器,在這個階段,勒索病毒跟命令和控制(C&C)伺服器發送和接收設定檔。在最近所看到Pokemon Go App的 Pogotear寶可夢勒索病毒案例裡(趨勢科技偵測為RANSOM_POGOTEAR.A),惡意軟體連到特定網站來收發資訊。

▲這隻皮卡丘抓不得!勒索病毒也搶搭寶可夢《Pokemon GO》抓寶熱潮


3. 搜尋特定類型的檔案進行加密

接著會進入受感染系統的資料夾,搜尋特定類型的檔案來進行加密,會被加密的檔案類型取決於勒索病毒家族 – 從確認要針對和免除的資料夾到檔案類型和副檔名。

會刪除鏡像檔案和備份的勒索病毒家族也會在加密過程前完成。

▲論壇傳出「勒索病毒」大量災情。(圖擷取自PTT)


4. 產生加密金鑰

在開始加密檔案前,勒索病毒會先產生用來加密的金鑰。

加密受感染系統檔案的方式根據勒索病毒家族的不同而有所分別 – 可能使用AES、RSA或合併使用等。加密檔案所需要花費的時間也會根據檔案數量、系統處理能力和加密方法而有所差異。

許多勒索病毒會建立自動啟動機制來繼續加密動作,以防加密過程因系統關機而中止。

5. 告知勒贖要求和付款指示

對絕大多數的勒索病毒來說,出現勒贖通知代表檔案加密程序成功。有些是在加密過程完成後馬上出現,也有些會更改啟動磁區的勒索病毒會在系統重新啟動後出現訊息。有趣的是,有些勒索病毒甚至完全不會顯示勒贖通知,至少不會自動顯示,有些會在受影響的資料夾內產生勒贖通知或顯示HTML頁面告知勒贖要求和付款指示,螢幕鎖定勒索軟體會讓機器無法存取,顯示無法關閉的勒贖通知。

▲勒索病毒 Cryptolocker 的要求支付贖金訊息


感染勒索病毒的可疑徵兆:

在七月發生的科羅拉多診所事件中,員工回報無法存取電腦內的檔案和文件。這讓IT部門因擔心網路遭受病毒攻擊而關閉伺服器,之後這診所的IT團隊發現了蹩腳的勒索病毒感染的感染失敗證據,包括留在系統內的勒贖訊息,並且委託第三方網路安全團隊來對事件進行分析,不幸的是,並非所有的勒索病毒感染事件都可以如此輕鬆地處理。

勒索病毒行為依每個家族或變種而異,但也有些蛛絲馬跡可以讓使用者或IT管理員警覺到勒索病毒感染。例如,

1. 在加密過程中,受害者可能會發覺系統變慢,因為背景執行的程序所造成。
2. 硬碟指示燈可能會持續閃爍,即便沒有正常程式在執行,代表硬碟正在被存取中,不幸的是,這可能也意味著搜尋和加密程序已經開始。

如何防禦勒索病毒?

整個過程可能在受害者點入惡意連結或下載電子郵件附件檔後的幾分鐘內完成。這短暫的空檔就能夠為使用者或企業組織營運帶來大麻煩,但也提供充足機會讓IT管理員來控制狀況。

的確,勒索病毒可以造成很大的傷害,但並非不可阻擋,並且肯定是可以預防。當組織的使用者和員工都能夠做到小心謹慎,就大大有助於減少勒索病毒風險。

當談到預防勒索病毒時並沒有特效藥,建立多層次防禦來阻止其進入網路和系統以盡可能減少其到達終點風險是最好的辦法。

大多數勒索病毒透過電子郵件出現,使用最新的電子郵件和網頁閘道解決方案來盡可能地最小化惡意軟體進入網路的風險。

★主動出擊就是最佳的防禦

從 2015 年 10 月至今,趨勢科技已攔截一億次以上的勒索病毒威脅。即刻採用趨勢科技PC-cillin 2016 雲端版來主動防範勒索病毒進入您的電腦。
免費體驗 >>



對重要資料建立定期的備份也可以讓網路勒索無下手之地,因為受害者不必選擇支付贖金來重新取得被鎖住的資料。

關鍵是要加強使用者對網路犯罪份子常用手法的認識,IT管理員應該要主動教育員工關於勒索病毒可能的進入點和建立政策來防止存取可能有害的網站進而危害公司網路。

PC-cillin雲端版 30 天免費下載試用

本文引自趨勢官方授權之網路優質文章:http://blog.trendmicro.com.tw/?p=27943

→更多的【PCDIY!資訊安全世界】: 請見

→更多的【PCDIY!資訊安全專欄】: 請見

→更多的【PCDIY!八卦】: 請見

→更多的【PCDIY!軟體玩家】: 請見

→更多的【PCDIY!開箱文】: 請見

→更多的【PCDIY!玩家話題】: 請見

延伸閱讀

(01)防毒良藥》PC-cillin 2017雲端版守護電腦,趨勢科技行動安全防護App保障手機!
(02)原廠檔案都有木馬了,難怪怎樣玩都會被盜帳號!
(03)震撼!群暉NAS爆史上最嚴重漏洞》Synology NAS年初才爆挾持挖礦,鬼月又出脅迫逼付贖金
(04)震撼,被嫌史上最吵防毒軟體》業主請求協助刪除360安全衛士,以毒攻毒這哪招?
(05)硬碟故障資料救援報價3萬8 引爆網友熱議!
(06)趨勢PC-cillin 2017雲端版,防範勒索病毒的最佳良藥!
(07)英雄聯盟LoL病毒、流亡黯道PoE木馬的殺毒挑戰,30家防毒軟體業者掃描不出木馬病毒!
(08)跨平台新病毒傳染途徑更廣泛,使用PC-cillin 2017雲端版來全面防範!
(09)Cerber勒索病毒透過惡意廣告散播,台灣已成重災區
(10)震撼,Microsoft出包沒修好臭蟲又爆新災情》網友氣炸爆Windows Update比病毒還可怕,視窗更新一波未平一波又起!
(11)2016資安數字大盤點,使用PC-cillin 2017自我防護
(12)在出現勒索訊息之前,勒索病毒暗中做的四件事
(13)hao123也是寄生獸會綁架人腦 引爆網友熱議!
(14)勒索病毒肆虐,PC-cillin雲端版讓你遠離檔案危機
(15)震撼,Microsoft爆史上最嚴重出包》Windows Vista、7、8與8.1全中獎,安裝更新之後就得要修理或重灌!
(16)這隻皮卡丘抓不得》勒索病毒也搶搭寶可夢Pokemon GO抓寶熱潮,玩家必看的5個手機遊戲安全秘訣!
(17)謹防網路交易安全,搭配PC-cillin「密碼管理通」保障購物安全
(18)網拍陷阱多,看穿詐騙網站手段三秘訣
(19)震撼,史上最強病毒潛伏6年》Regin木馬程式暗中竊取機密資料,特工級瑞晶間諜軟體一度掃描不出來!
(20)帳號保護與社群防護須知,搭配趨勢PC-cillin「密碼管理通」與「社群網站防護」來保障您的數位隱私
(21)勒索病毒徹底防護大作戰》小心資料被綁架,安裝趨勢防毒軟體保平安
(22)防毒軟體殺很大》「趨勢科技PC-cillin 2016雲端版」價格砍到見骨,台幣200元有找真便宜!
(23)震撼,網友瘋傳Apple iCloud流出女星裸照、性愛影片》網友跪求下載點,880MB、150MB謎之壓縮檔案意外爆紅!
(24)105年報稅→104年度綜所稅,報稅五大須知,用PC-cillin 2016安全報稅
(25)老闆,我要買趨勢科技PC-cillin 2016雲端版!
(26)全新硬碟存有中國機密資料 網友警告:小心中南海殺手盯上!
(27)研發代號Win7 SP2》 最新的微軟Windows 7更新懶人包推出,系統更新一次搞定!
(28)趨勢科技PC-cillin 2016雲端版完整功能介紹與最佳化調校設定




















發表您的看法

請勿張貼任何涉及冒名、人身攻擊、情緒謾罵、或內容涉及非法的言論。

請勿張貼任何帶有商業或宣傳、廣告用途的垃圾內容及連結。

請勿侵犯個人隱私權,將他人資料公開張貼在留言版內。

請勿重複留言(包括跨版重複留言)或發表與各文章主題無關的文章。

請勿張貼涉及未經證實或明顯傷害個人名譽或企業形象聲譽的文章。

您在留言版發表的內容需自負言論之法律責任,所有言論不代表PCDIY!雜誌立場,違反上述規定之留言,PCDIY!雜誌有權逕行刪除您的留言。