Trace Id is missing
跳到主要內容
Microsoft 安全性

什麼是勒索軟體?

深入了解勒索軟體,以及如何保護您的企業免於此類網路攻擊。
保護您不受勒索軟體侵擾

了解勒索軟體

勒索軟體是一種惡意軟體或惡意程式碼,除非支付贖金,否則網路罪犯會使用此軟體來封鎖存取、銷毀或發佈受害者的重要資料。 傳統的勒索軟體同時以個人與組織為攻擊目標,但最近兩種發展 (人為操作勒索軟體攻擊與勒索軟體即服務) 已對企業和其他大型組織造成很大威脅。

攻擊者集團會透過人為操作勒索軟體攻擊並運用他們的集體智慧,來取得企業網路的存取權。安裝勒索軟體之前,他們會研究公司以了解弱點,並在某些情況下發現可協助他們設定勒索資料的財務文件。

在勒索軟體即服務模型中,一組犯罪開發人員會建立勒索軟體,然後雇用其他網路犯罪成員入侵組織的網路並安裝勒索軟體。這兩個集團會以一致同意的比例分割利潤。

所有勒索軟體會為受到攻擊的個人和組織帶來重大損失。可能需要數天、數週或甚至幾個月的時間,才能讓受影響的系統重新上線,進而導致生產力和銷售下降。組織可能也會受到與客戶和社群之間的聲譽損害。

主要重點

  • 勒索軟體是一種惡意軟體,會加密資料,並要求支付贖金來進行解密。
  • 其可以透過網路釣魚電子郵件、惡意網站和惡意探索套件進行散佈。
  • 在人為操作勒索軟體攻擊中,攻擊者集團會透過人為操作勒索軟體並運用他們的集體智慧,來取得企業網路的存取權。
  • 勒索軟體有兩種主要類型,一種是加密敏感性資料和檔案的加密勒索軟體,另一種是將受害者反鎖於裝置之外的保險箱勒索軟體。
  • 勒索軟體攻擊可能會對個人和企業造成嚴重的財務、聲譽和營運損害。
  • 您可以採取一些步驟來保護自己不受勒索軟體攻擊,例如使用強式安全性軟體、備份您的資料,以及提升組織的網路安全性意識。

勒索軟體類型

勒索軟體主要分成兩種,一種是加密勒索軟體,另一種則是非加密勒索軟體,而兩者可以進一步分成多個子類型。

加密勒索軟體
在加密勒索軟體攻擊中,攻擊者會加密受害者的敏感性資料或檔案,使對方必須在支付要求的贖金後,才能夠進行存取。理論上,受害者支付贖金後,攻擊者會提供解密金鑰,使其能夠存取檔案或資料,然而,這些都無法保證。許多組織在支付贖金之後便永久失去其檔案的存取權。

非加密勒索軟體
在保險箱勒索軟體中,惡意行為體將受害者反鎖於裝置外,並在畫面上呈現的勒索事項,以及如何支付贖金以重新取得存取權的指示。由於這種勒索軟體同常不會涉及加密一事,因此當受害者取回其裝置的存取權後,任何敏感性檔案與資料都會保留下來。保險箱勒索軟體通常用於行動裝置。

這兩種勒索軟體的主要形式歸類於下列子類型:

勒索軟體
勒索軟體利用人們的恐懼來詐領贖金。在這些類型的網路攻擊,惡意行為體會以執法機構身分傳送訊息給受害者,指控犯罪行為並要求支付罰款。

Doxware
在 Doxware 中,惡意行為體會竊取個人資訊,並威脅若不支付贖金,則會公開犯罪行為。

雙重勒索軟體
在雙重勒索軟體中,攻擊者不只加密檔案,還會竊取敏感性資料,並威脅若不支付贖金,則會公開犯罪行為。

Wipers
Wipers 威脅受害者,若不支付贖金,則會摧毀其資料。

勒索軟體的運作原理

大部分的勒索軟體攻擊都遵循三步驟流程。

1. 取得存取
不良執行者會使用各種方法來取得公司敏感性資料的存取權。其中一個最常見的是網路釣魚,網路罪犯會使用電子郵件、文字或電話來誘騙人們提供認證或下載惡意軟體。惡意行為體也會鎖定員工和其他惡意網站的使用者,這些惡意網站會使用稱為惡意探索套件的惡意網站,自動將惡意代碼下載並安裝到受害者的裝置上。

2. 加密資料
一旦勒索軟體攻擊者取得敏感性資料的存取權,他們會複製並摧毀原始檔案,以及他們能夠存取的任何備份。然後,他們會加密其副本,並建立解密金鑰。

3. 要求贖金
在使資料無法存取後,勒索軟體會透過警示方塊傳送訊息,說明資料已加密,並要求支付贖金 (通常是加密貨幣) 來換取解密金鑰。如果受害者拒絕付款,這些攻擊背後的惡意行為體可能也會威脅公開資料。

勒索軟體攻擊的影響

除了作業的立即中斷,勒索軟體攻擊的結果可能包括嚴重的財務損失、聲譽毀損,以及長期的營運挑戰。

財務影響
支付贖金的成本可能相當可觀,通常達到數百萬美元,而且無法保證攻擊者會提供解密金鑰或正常運作的金鑰。

即使組織拒絕支付贖金,仍然可能會耗費大量財務成本。勒索軟體攻擊所造成的中斷可能會導致延長的停機時間,進而影響生產力,並可能導致收入損失。從攻擊中復原需要額外費用,包括鑑識調查的成本、法律費用,以及提升安全性措施的投資。

聲譽毀損
客戶與合作夥伴可能會失去對已遭到入侵企業的信任,導致客戶忠誠度降低,並可能遺失未來業務。引人注目的攻擊通常會吸引媒體注意,這可能會損害公司聲譽和品牌形象。

營運挑戰
即使有了備份,也存在資料遺失或損壞的風險,這可能會影響商務持續性和作業效率。企業也可能因為無法保護敏感性資料數據而面臨法律及法規處分,特別是當企業受到資料保護法規 (例如歐盟的一般資料保護規定或加州消費者隱私法) 的規範時。

真實世界勒索軟體範例

許多引人注目的的人為操作勒索軟體攻擊是由勒索軟體群組所執行,這些集團使用勒索軟體即服務商務模型運作。

 
  • 從 2019 年開始,LockBit 以各種領域為目標,包括金融服務、醫療保健和製造業。此勒索軟體以自行傳播到網路的能力而著名,因此特別危險。 LockBit 成員曾發動多起各界關注的攻擊,利用精密技術加密資料並勒索贖金。 
  • BlackByte 攻擊通常涉及雙重攻擊,其中網路罪犯會加密和竊取資料,如果不支付贖金,可能會威脅公開遭竊的資料。 此勒索軟體已用於鎖定重要的基礎結構部門,包括政府和金融服務。
  • 主導 Hive 勒索軟體的集團活躍於 2021 年 6 月到 2023 年 1 月之間,採用雙重勒索,且通常是以政府機構和關鍵基礎結構為目標,包括醫療保健設施。 在打擊網路犯罪方面,為了對抗網路犯罪,FBI 在 2022 年侵入 Hive 網路,並取得解密金鑰,遏止了超過 1.3 億美元的勒索要求。 
  • Akira 勒索軟體是一種複雜的惡意代碼,自 2023 年初起就持續活躍,且同時以 Windows 和 Linux 系統為攻擊目標。惡意行為體會使用 Akira 透過 VPN 服務中的弱點來取得初始存取權,特別是在沒有多重要素驗證的情況下。自發跡以來,Akira 已影響超過 250 個組織,並索取約 4200 萬美元的勒索軟體收益。
 
防護

勒索軟體防護和保護策略

保護您的端點和雲端

預防就是最好的保護。許多勒索軟體攻擊可以使用受信任的端點偵測及回應解決方案 (例如適用於端點的 Microsoft Defender) 來識別並封鎖。延伸偵測及回應 (XDR) 解決方案 (例如 Microsoft Defender 全面偵測回應) 超越端點保護,可協助保護您的裝置、電子郵件、共同作業應用程式和身分識別。此外,在雲端進行如此大量業務時,使用適用於雲端的 Microsoft Defender 等解決方案來保護您所有雲端基礎結構和應用程式。

定期舉行訓練

透過定期訓練讓員工了解如何識別網路釣魚和其他勒索軟體攻擊的跡象。若要強化學習並把握其他訓練機會,請定期追蹤網路釣魚模擬。這將協助您的員工學習更安全的工作方法,讓他們知道如何更安全地使用個人裝置。

採用零信任模型

零信任模型假設每個存取要求 (即使是來自網路內部的要求) 都是潛在威脅。零信任原則包括透過持續驗證來明確驗證身分、執行最小權限存取以降低權限範圍,以及透過強大的封鎖與監控措施來減少風險來應對可能的外洩。這項額外的詳細檢查會降低惡意身分識別或裝置存取資源並安裝勒索軟體的可能性。

 加入資訊共用群組

資訊共用群組經常會按產業或地理位置進行管理,鼓勵類似結構的組織共同合作致力於網路安全性解決方案。這些集團還能為組織提供不同的好處,例如事件回應和數位鑑識服務、威脅情報以及公用 IP 範圍和網域的監控。

維護離線備份

由於部分勒索軟體會嘗試搜尋並刪除您可能擁有的任何線上備份,因此最好保留您定期測試之敏感性資料的更新離線備份,以確保在您受到勒索軟體攻擊時可以進行復原。

將軟體更新至最新版本

除了持續更新反惡意程式碼解決方案外,請務必在可用時立即下載並安裝任何其他系統更新和軟體修補程式。這有助於最大限度地減少安全性漏洞,讓網路罪犯無法輕易惡意探索並存取您的網路或裝置。

建立事件回應計劃

事件回應計劃會提供在不同攻擊情況下需要採取的步驟,以便儘快恢復正常和安全的運作。

應對勒索軟體攻擊

如果發現自己成為了勒索軟體攻擊的受害者,可以選擇向外求助以及移除軟體。

將受到感染的資料獨立出來
情況允許的話,請立即將遭到入侵的資料獨立出來,以協助防止勒索軟體散播到您網路中的其他區域。

執行反惡意程式碼程式
隔離任何受感染的系統之後,請使用反惡意程式碼程式來移除勒索軟體。

解密檔案或還原備份
如果可以,請使用執法機構或安全性研究人員所提供的解密工具來解密檔案,避免支付贖金。如果無法解密,請從備份中還原檔案。

回報攻擊事件
請聯繫地方或聯邦執法機構並回報攻擊事件。美國地區的民眾可以聯繫 FBI 本地辦公室IC3特勤局。雖然此措施可能無法解決您目前的問題,不過卻很重要,因為這些主管機關會主動追蹤並監控不同的攻擊事件。向對方提供您所經歷的詳細過程,可能會在整個尋找以及起訴網路罪犯或網路罪犯集團的過程幫上大忙。

請謹慎對待支付贖金一事
雖然花錢消災的做法可能很難以抗拒,不過卻無法保證網路罪犯會信守承諾,授與您資料的存取權。安全性專家與執法機構建議勒索軟體攻擊的受害者不要支付對方要求的贖金,因為這種做法可能會導致受害者在未來受到威脅,且會變成是在主動支持犯罪行業。
資源 

探索 Microsoft Security

使用統一的 AI 支援威脅防護解決方案和經證明的最佳做法,保護組織免於複雜的勒索軟體。
一個穿著綠色襯衫的女士對著電腦微笑。
解決方案

防範勒索軟體

在多雲端、多平台環境中公開和回應複雜的網路攻擊。
深入了解
一名男士坐在桌前使用膝上型電腦。
解決方案

使用 AI 支援、統一的 SecOps 來排除威脅

在單一平台上取得 XDR 和安全性資訊與事件管理。
深入了解
桌上的膝上型電腦。
產品

使用 Microsoft Defender 全面偵測回應保護整個企業

保護您的端點、身分、雲端應用程式和資料免於網路攻擊。
深入了解
在膝上型電腦前,一名戴著眼鏡、留著鬍子的男士正拿著紙張。
產品

使用適用於企業的 Microsoft Defender 來防護您的小型企業

使用新一代防毒軟體以及企業級 AI 支援的端點偵測及回應,協助防範跨裝置的複雜勒索軟體攻擊。
深入了解
看著膝上型電腦的女士與男士。
威脅防護入口網站

網路安全性與 AI 新聞

探索網路威脅防護和安全性 AI 的最新趨勢和最佳做法。
取得最新資源
返回 [資源] 章節

常見問題集

  • 勒索軟體是一種惡意軟體,會加密珍貴資料,並要求支付贖金以換取解密。
  • 很遺憾的是,幾乎所有在線上活動的人都有可能會成為勒索軟體攻擊的受害者。個人裝置與企業網路都是網路罪犯經常會鎖定的目標。
  • 傳統的勒索軟體攻擊會在個人受騙與惡意內容互動時發生 (例如開啟受到感染的電子郵件,或瀏覽會在裝置上安裝勒索軟體的有害網站)。
    在人為操作的勒索軟體攻擊事件中,攻擊者團體會鎖定並入侵組織的敏感性資料 (通常是藉由盜取的認證達成目的)。
    一般情況下,社交工程勒索軟體與人為操作勒索軟體都會向受害者或組織提供贖金信,詳細列出失竊的資料以及將資料歸還的金額。然而,支付贖金並無法保證對方會真的歸還資料,或者未來是否能預防入侵事件再度發生。
  • 勒索軟體攻擊所造成的影響可能會非常恐怖。在個人與組織層面上,受害者可能會被迫支付高額贖金,但卻無法保證對方會歸還資料,或不會進一步做出攻擊。網路罪犯洩漏組織的敏感性資訊後,其名譽可能會受損,且會被投以不值得信任的眼光。此外,視流出的資訊類型以及組織的規模而定,無數民眾可能會成為身分盜竊或其他網路犯罪的受害者。
  • 透過勒索軟體感染受害者裝置的網路罪犯要的是錢。他們通常會以加密貨幣的形式設定贖金,因為加密貨幣具有匿名以及無法追蹤的特性。當成為攻擊目標時,贖金可能是數百或數千美元。人為操作勒索軟體攻擊通常耗費數百萬美元。
  • 受害者應向地方或聯邦執法機構回報勒索軟體攻擊事件。美國地區的民眾可以聯繫 FBI 本地辦公室IC3特勤局。安全性專家與執法官員建議受害者不要支付贖金;如果您已支付贖金,請立即聯繫銀行和地方機關。如果您是以信用卡支付贖金,銀行就有機會將款項擋下來。

關注 Microsoft 安全性