Trace Id is missing
跳到主要內容
Microsoft 安全性

什麼是勒索軟體?

深入了解勒索軟體的運作方式,以及如何保護自己和您的企業免於此類網路攻擊。

勒索軟體的定義

勒索軟體是一種惡意軟體或惡意程式碼,它會透過破壞或封鎖重要資料或系統的存取權來威脅受害人,直到對方支付贖金。過去大多數的勒索軟體皆是以個人為下手目標,不過近期以組織為目標對象的人為操作勒索軟體已成為了規模更大且較難以預防以及反轉的威脅。攻擊者集團會透過人為操作勒索軟體並運用他們的集體智慧,來取得組織企業網路的存取權。這類攻擊中有部分攻擊非常複雜,攻擊者會使用他們發現的內部財務文件來設定贖金的金額。

新聞中的勒索軟體攻擊

不幸的是,提到勒索軟體威脅的新聞現在十分常見。最近備受關注的勒索軟體攻擊影響了重要的基礎結構、醫療保健和 IT 服務提供者。隨著攻擊範圍變得更加大膽,它們帶來的影響也越來越無法預測。以下會帶您了解一些勒索軟體攻擊,以及它們對組織所造成的影響:

  • 2022 年 3 月,希臘的郵政系統淪為勒索軟體的受害者。這場攻擊暫時中斷了郵件的配送,且影響了金融交易處理。
  • 印度最大的航空公司之一在 2022 年 5 月遭到了勒索軟體攻擊。這場事件導致航班延誤和取消,並造成上百名旅客滯留當地。
  • 某間大型人力資源公司在 2021 年 12 月遭受勒索軟體攻擊,當時使用該公司雲端服務的客戶在薪資與休假系統方面皆受到影響。
  • 2021 年 5 月,一個美國燃料管道遭到勒索軟體攻擊盜用其數千名員工的個人資訊,他們隨後關閉了相關服務,以防止進一步的外洩事件發生。此事件造成東岸地區的天然氣價格向上飆升。
  • 某個德國化學製品經銷商在 2021 年 4 月受到了勒索軟體攻擊。6,000 多人的出生日期、社會安全號碼、駕照號碼以及部分醫學資料遭竊。
  • 全球規模最大的肉品供應商在 2021 年 5 月成為了勒索軟體攻擊的目標。在暫時關閉其網站並停止生產後,該公司最後以比特幣支付了 1,100 萬美元的贖金。

勒索軟體的運作原理為何?

勒索軟體攻擊會靠奪取個人/組織資料或裝置的控制權,來藉此勒索金錢。社交工程攻擊在過去幾年中最為常見,不過近期的人為操作勒索軟體因擁有能夠勒索鉅額贖金的潛力,便成了罪犯們的熱門選擇。

社交工程勒索軟體
這類攻擊會運用網路釣魚 (一種攻擊者會假冒合法公司或網站的欺騙手段),來誘使受害人點選連結或開啟會在對方裝置上安裝勒索軟體的電子郵件附件。這種攻擊通常會出現危言聳聽的訊息,導致受害者因為害怕而採取行動。例如,網路罪犯可能冒充知名銀行,並傳送一封電子郵件,提醒某人他們的帳戶因可疑活動而被凍結,並催促他們點選電子郵件中的連結以解決問題。一旦他們點選連結,系統就會安裝勒索軟體。

人為操作勒索軟體
人為操作勒索軟體通常會運用盜取的帳戶認證來展開行動。一旦攻擊者透過這種方式取得組織網路的存取權,他們便會透過盜取的帳戶來確定他們具有可進行更廣泛存取的帳戶認證,並尋找有機會大撈一筆的資料與業務關鍵系統。接著,他們會在這些敏感性資料或業務關鍵的系統上安裝勒索軟體,例如加密敏感性檔案,使組織必須在支付贖金後才能夠進行存取。網路罪犯通常會要求以加密貨幣支付贖金,因為加密貨幣具有匿名性。

這類攻擊者會鎖定能比一般人支付更多贖金的大型組織,有時候甚至會開口索要數百萬美元的金額。由於此種規模的入侵事關重大,許多組織會選擇支付贖金,以避免敏感性資料被洩漏或冒著受到網路罪犯進一步攻擊的風險,儘管付款並不保證能防止上述兩種情況發生。

隨著人為操作勒索軟體攻擊事件不斷增加,其背後的罪犯已變得更有組織性。事實上,現今許多勒索軟體行動皆採用勒索軟體即服務模型,這表示一群犯罪開發人員會自行開發勒索軟體,然後僱用其他網路罪犯集團來入侵組織的網路並安裝勒索軟體,兩班人馬再依說好的比例進行利潤分成。

不同類型的勒索軟體攻擊

勒索軟體主要分成兩種,一種是加密勒索軟體,另一種則是非加密勒索軟體。

加密勒索軟體
當個人或組織成為了加密勒索軟體攻擊的受害者時,攻擊者會加密受害者的敏感性資料或檔案,使對方必須在支付要求的贖金後,才能夠進行存取。理論上,受害者在支付贖金後就會收到能存取該檔案或資料的加密金鑰。不過,即使受害者支付了贖金,也不保證網路罪犯一定會傳送加密金鑰或交出控制權。隱私挾持軟體是一種加密勒索軟體,它會加密並威脅要公開受害者的個人資訊,目的通常是為了要對方難堪,迫使對方支付贖金。

非加密勒索軟體
在非加密勒索軟體攻擊事件中,受害者會被鎖在裝置之外,無法登入。受害者會在螢幕上看到一則贖金信,說明他們已遭到鎖定,並提供支付贖金來取回存取權的指示。由於這種勒索軟體同常不會涉及加密一事,因此當受害者取回其裝置的存取權後,任何敏感性檔案與資料都會保留下來。

應對勒索軟體攻擊

如果發現自己成為了勒索軟體攻擊的受害者,您可以選擇向外求助以及移除軟體。

請謹慎對待支付贖金一事
雖然花錢消災的做法可能很難以抗拒,不過卻無法保證網路罪犯會信守承諾,授與您資料的存取權。安全性專家與執法機構建議勒索軟體攻擊的受害者不要支付對方要求的贖金,因為這種做法可能會導致受害者在未來受到威脅,且會變成是在主動支持犯罪行業。如果已支付贖金,請立即聯繫您的銀行,因為如果您是以信用卡支付贖金,款項就有機會可以擋下來。

將受到感染的資料獨立出來
情況允許的話,請立即將遭到入侵的資料獨立出來,以協助防止勒索軟體散播到您網路中的其他區域。

執行反惡意程式碼程式
許多勒索軟體攻擊在安裝反惡意程式碼程式並將勒索軟體移除後就沒問題了。選擇值得信賴的反惡意程式碼解決方案 (例如 Microsoft Defender) 後,請務必隨時更新至最新版本並保持為開啟狀態,以便讓自己擁有抵禦最新型態攻擊的防護力。

回報攻擊事件
請聯繫地方或聯邦執法機構並回報攻擊事件。美國地區的民眾可以聯繫 FBI 本地辦公室IC3特勤局。雖然此措施可能無法解決您目前的問題,不過卻很重要,因為這些主管機關會主動追蹤並監控不同的攻擊事件。向對方提供您所經歷的詳細過程,可能會在整個尋找以及起訴網路罪犯或網路罪犯集團的過程幫上大忙。

勒索軟體防護

隨著勒索軟體攻擊事件數量達到歷史新高峰,加上很多人都以數位形式保存個人資訊,攻擊事件所產生的潛在不良影響著實讓人不敢想像。所幸,我們可以透過很多方式來維持平穩的數位生活─您的數位生活,不是別人的數位生活。以下會帶您了解如何透過主動進行勒索軟體防護來讓自己安心。

安裝反惡意程式碼程式
預防就是最好的保護。許多勒索軟體攻擊都可透過值得信任的反惡意程式碼服務加以偵測和封鎖,例如適用於端點的 Microsoft Defender、 Microsoft Defender XDR 或適用於雲端的 Microsoft Defender。當您使用反惡意程式碼程式時,您的裝置會先掃描您嘗試開啟的任何檔案或連結,以協助確保它們安全無虞。如果檔案或網站具有惡意,反惡意程式碼程式將會提醒您,並建議您不要開啟。這些程式還可以從已被感染的裝置中移除勒索軟體。

定期舉行訓練
透過定期訓練讓員工了解如何識別網路釣魚和其他勒索軟體攻擊的跡象。這樣不僅能教導他們更安全的工作方法,還能讓他們知道如何更安全地使用個人裝置。

移至雲端
當您將資料移至雲端式服務 (例如Azure 雲端備份服務Azure 區塊 Blob 儲存體備份) 時,您將可以輕鬆備份資料,並獲得更安全的儲存方式。如果您的資料曾遭勒索軟體入侵,這些服務能協助確保進行立即且全方位的復原。

採用零信任模型
零信任模型會在允許所有裝置和使用者存取應用程式、檔案、資料庫和其他裝置之前評估風險,從而降低惡意身分或裝置存取資源和安裝勒索軟體的可能性。例如,實作多重要素驗證 (零信任模型的其中一個元件) 已被證明可以將身分識別攻擊的有效性降低 99% 以上。若要評估貴組織的零信任成熟度階段,請進行 Microsoft 的零信任成熟度評定

加入資訊共用群組
資訊共用群組經常會按產業或地理位置進行管理,鼓勵類似結構的組織共同合作,致力打造網路安全性解決方案。這些群組還能為組織提供不同的好處,例如事件回應和數位鑑識服務、有關最新威脅的消息以及公用 IP 範圍和網域的監控。

維護離線備份
由於部分勒索軟體會嘗試搜尋並刪除您可能擁有的任何線上備份,因此最好保留您定期測試之敏感性資料的更新離線備份,以確保在您受到勒索軟體攻擊時可以進行復原。不幸的是,如果您是遭到加密勒索軟體的攻擊,維護離線備份的動作將無法解決問題,但它會是您遭到非加密勒索軟體攻擊時可派上用場的有效工具。

將軟體更新至最新版本
除了持續更新反惡意程式碼解決方案外 (考慮選擇自動更新),請務必在可用時立即下載並安裝任何其他系統更新和軟體修補程式。這有助於最大限度地減少安全性漏洞,讓網路罪犯無法輕易惡意探索並存取您的網路或裝置。

建立事件回應計劃
就像制定火災發生時如何離開家裡的緊急計劃,可以讓您更安全、更有所準備一樣,建立遭受勒索軟體攻擊時的事件回應計劃將讓您獲得可行措施,來應對不同的攻擊情況,進而讓您盡快恢復正常並安全地營運。

使用 Microsoft 安全性協助提供全面保護

Microsoft Sentinel

透過雲端原生安全性事件與事件管理解決方案 (SIEM),取得企業整體的完整檢視。

深入了解

Microsoft Defender XDR

使用延伸偵測及回應 (XDR) 保護您的端點、身分識別、電子郵件和應用程式。

深入了解

適用於雲端的 Microsoft Defender

從開發到執行階段,保護您的多雲端和混合式環境。

深入了解

Microsoft Defender 威脅情報

透過完整且會持續更新的網際網路圖,了解威脅執行者及其工具。

深入了解

對抗勒索軟體威脅

透過 Microsoft 安全性的自動攻擊中斷和回應來預防威脅。

深入了解

Microsoft 數位防禦報告

熟悉目前的威脅情勢以及如何建置數位防禦。

深入了解

建置反勒索軟體計畫

探索 Microsoft 如何打造最佳勒索軟體復原狀態以根除勒索軟體。

深入了解

使用劇本封鎖勒索軟體

清楚說明每個人在封鎖勒索軟體程序中的角色並加以視覺化。

深入了解

常見問題集

  • 很遺憾的是,幾乎所有在線上活動的人都有可能會成為勒索軟體攻擊的受害者。個人裝置與企業網路都是網路罪犯經常會鎖定的目標。

    然而,投資主動式解決方案 (例如威脅防護服務) 是防止勒索軟體感染您網路或裝置的一種可行方法。因此,在攻擊發生之前備妥反惡意程式碼程式和其他安全性通訊協定 (例如零信任模型) 的個人和組織,成為勒索軟體攻擊受害者的可能性會最小。

  • 傳統的勒索軟體攻擊會在個人受騙與惡意內容互動時發生 (例如開啟受到感染的電子郵件,或瀏覽會在裝置上安裝勒索軟體的有害網站)。

    在人為操作的勒索軟體攻擊事件中,攻擊者團體會鎖定並入侵組織的敏感性資料 (通常是藉由盜取的認證達成目的)。

    一般情況下,社交工程勒索軟體與人為操作勒索軟體都會向受害者或組織提供贖金信,詳細列出失竊的資料以及將資料歸還的金額。然而,支付贖金並無法保證對方會真的歸還資料,或者未來是否能預防入侵事件再度發生。

  • 勒索軟體攻擊所造成的影響可能會非常恐怖。在個人與組織層面上,受害者可能會被迫支付高額贖金,但卻無法保證對方會歸還資料,或不會進一步做出攻擊。網路罪犯洩漏組織的敏感性資訊後,其名譽可能會受損,且會被投以不值得信任的眼光。此外,視流出的資訊類型以及組織的規模而定,無數民眾可能會成為身分盜竊或其他網路犯罪的受害者。

  • 透過勒索軟體感染受害者裝置的網路罪犯要的是錢。他們通常會以加密貨幣的形式設定贖金,因為加密貨幣具有匿名以及無法追蹤的特性。在以個人為目標的社交工程勒索軟體攻擊事件中,贖金可能會是數百或數千美元的金額。在以組織為目標的人為操作勒索軟體攻擊事件中,贖金可能會高達數百萬美元。這種較為複雜且以組織為目標的攻擊可能會使用網路罪犯在入侵網路所發現的機密財務資訊,來作為設定他們認為組織能夠負擔的贖金的依據。

  • 受害者應向地方或聯邦執法機構回報勒索軟體攻擊事件。美國地區的民眾可以聯繫 FBI 本地辦公室IC3特勤局。安全性專家與執法官員建議受害者不要支付贖金;如果您已支付贖金,請立即聯繫銀行和地方機關。如果您是以信用卡支付贖金,銀行就有機會將款項擋下來。

關注 Microsoft