甚麼是勒索軟件?其運作原理及危險性
勒索軟件是最具破壞力的惡意軟件之一——它加密您的文件並要求支付贖金以換取解密金鑰。了解其運作原理是防範它的第一步。
勒索軟件是最具破壞力的惡意軟件之一——它加密您的文件並要求支付贖金以換取解密金鑰。了解其運作原理是防範它的第一步。
勒索軟件是一種惡意軟件,使用強大的加密算法對受害者的文件進行加密,使其在沒有攻擊者持有的解密金鑰的情況下無法訪問。加密完成後,勒索軟件會顯示勒索通知,要求以加密貨幣支付贖金以換取解密金鑰。現代勒索軟件使用的加密通常達到軍事級別(文件加密使用AES-256,密鑰交換使用RSA-2048或橢圓曲線加密),無論受害者的技術能力多強,在沒有金鑰的情況下解密文件在計算上都是不可行的。
攻擊序列遵循一致的模式。初始訪問通過傳遞途徑獲得——網絡釣魚電郵附件、惡意下載、被入侵的遠程桌面協議(RDP)憑證,或利用未修補的軟件漏洞。一旦勒索軟件可執行文件在受害者系統上運行,它通常會進行偵察:映射已連接的驅動器、網絡共享和備份位置。然後開始加密階段,針對文件、圖片、數據庫和其他有價值的文件類型,同時故意跳過保持電腦正常運行所需的系統文件(以便受害者能讀取勒索通知並付款)。最後,它會刪除卷影複製和其他本地備份機制,以阻止免費恢復。
現代勒索軟件行動——尤其是針對企業和機構的行動——通常採用「雙重勒索」模式。除加密文件外,攻擊者會在加密前先竊取敏感數據。這給了他們第二個籌碼:即使受害者從備份中恢復數據而不需要解密金鑰,攻擊者也會威脅在不支付贖金的情況下在洩露網站上公布竊取的數據。一些勒索軟件組織甚至採用「三重勒索」模式,增加威脅對受害者發動DDoS攻擊,或在未收到付款的情況下通知其客戶和合作夥伴有關數據洩露的消息。
勒索軟件的歷史可追溯至1989年的AIDS木馬——在世界衛生組織會議上透過磁碟片分發——但現代勒索軟件時代真正始於2013年的CryptoLocker,它引入了強大的RSA加密和比特幣付款,建立了沿用至今的攻擊模板。此後,勒索軟件歷經多代演變。早期變體針對個人消費者;第二代轉向「大型獵物獵殺」,針對企業、醫院和政府機構提出更高的贖金要求。第三代引入了現在主導威脅格局的「勒索軟件即服務」(RaaS)模式。
勒索軟件即服務使勒索軟件攻擊實現了產業化。LockBit、BlackCat/ALPHV、Cl0p等RaaS平台運作方式類似合法的SaaS企業——完整配備聯盟計劃、為支付贖金的受害者提供客戶支援,以及平台開發者與實施攻擊的聯盟操作員之間的利潤分成。這種模式大幅降低了勒索軟件攻擊的入場門檻:聯盟成員不需要開發惡意軟件,只需部署它。平台運營者抽取20至30%的贖金收入;聯盟成員保留其餘部分。這種結構使全球勒索軟件攻擊的數量和複雜程度均大幅增加。
除文件加密勒索軟件外,相關威脅類別也應運而生。鎖屏勒索軟件鎖定裝置螢幕而非加密文件——技術複雜度較低,恢復可能性更高,但仍具破壞性。擦除器惡意軟件偽裝成勒索軟件,但實際上旨在永久銷毀數據而不提供任何恢復機制,有時由國家支持的行為者部署以造成最大破壞。恐嚇軟件假裝是勒索軟件但實際上沒有加密任何內容,希望受害者支付贖金以避免實際上並不存在的威脅。了解這些區別有助於確定正確的防禦措施的優先順序——真正的加密勒索軟件是最嚴重的威脅,而恐嚇軟件則是不應觸發付款的麻煩。
香港已發生重大勒索軟件事故,影響公共和私營部門機構。香港生產力促進局(HKPC)記錄了影響本地企業的勒索軟件案例持續增加,中小企業因IT安全資源有限而尤為脆弱。值得注意的事故包括對物流公司、專業服務機構和醫療機構的攻擊——這些行業持有敏感的業務和個人數據,使其成為具吸引力的勒索軟件目標。香港電腦保安事故協調中心(HKCERT ↗)定期發布針對本地區的勒索軟件威脅通報。
多重因素使香港企業特別容易面臨勒索軟件風險。互聯網連接商業系統的高度普及、遠程訪問工具的廣泛使用(VPN和RDP連接在COVID-19限制期間顯著增加)以及大量安全IT資源有限的中小企業,形成了目標豐富的環境。金融服務業——香港經濟的重要組成部分——因金融數據的敏感性和監管合規壓力而成為優先目標,這在PDPO和金融監管機構要求下產生了額外動機,促使企業迅速支付贖金以避免數據洩露披露義務。
是否支付勒索軟件贖金的決定是複雜的,不應在時間壓力下作出。包括香港警察和Europol、FBI等國際機構在內的執法機構建議不要支付贖金——付款資助犯罪活動,不能保證文件恢復(相當大比例的勒索軟件付款並未獲得有效解密),且可能標記受害者為願意付款者,從而再次被針對。然而,對於面臨在沒有可用備份的情況下失去無法替代的數據的組織,這種計算更加困難。最佳方法是透過預防和備份策略使付款決定變得不必要,而非在受攻擊條件下面對這一決定。
在加密完成前識別正在進行的勒索軟件攻擊,可以大幅限制損害。早期警示跡象包括:突然出現大量磁盤活動(文件被加密時大量讀寫)、未知進程佔用高CPU、目錄中的文件突然獲得異常擴展名(.locked、.encrypted、.WNCRY或隨機字符串),以及防毒軟件關於可疑文件系統活動的警報。許多現代端點安全 ↗產品包含勒索軟件專用行為偵測,當偵測到大規模文件加密活動時會觸發警報。時間至關重要:每分鐘的主動加密意味著更多文件丟失。
如果您懷疑存在活躍的勒索軟件感染,即時回應優先事項包括:立即斷開網絡連接(拔掉網線、停用Wi-Fi)以防止勒索軟件蔓延至網絡共享和其他已連接裝置;不要關閉電腦(在某些勒索軟件變體中,揮發性記憶體可能包含加密金鑰——法證專家有時可以從中恢復);拍攝或記錄勒索通知以供執法機構報告;並聯繫您的IT支援或事故回應供應商。不要嘗試在受感染的機器上運行額外軟件,因為這可能覆蓋法證證據。如果其他人的個人數據可能已遭洩露,請向HKCERT ↗(https://www.hkcert.org)和香港警察報告事故。
在不支付贖金的情況下從勒索軟件攻擊中恢復,完全取決於備份質量。3-2-1備份規則——三份數據副本,存放在兩種不同的媒體類型上,其中一份在異地或離線——是使勒索軟件在數據恢復方面實際上無法造成威脅的黃金標準。關鍵要求是至少有一份備份副本完全與網絡斷開,且勒索軟件無法訪問(「氣隙」或不可變備份)。許多發現備份也被勒索軟件加密的組織,犯了將備份存儲在網絡可訪問驅動器上的錯誤,這些驅動器被勒索軟件與主要數據一起映射和加密。具有版本控制的雲備份服務(如Backblaze、Acronis或具有版本歷史記錄的OneDrive Vault)提供能夠在勒索軟件攻擊後倖存的異地、版本保留副本。
