勒索软体介绍与防护应变措施施品光.PDFVIP

勒索軟體 介紹與防護應變措施 中山大學圖資處 施品光 (一) 簡介 勒索軟體是 特洛伊惡意程式 (Trojan Horse) ，成功入侵使用者電腦後 ， 惡意程式將取得使用者電腦的控制權，加密電腦內的檔案 。 最早於 1989 年首次被發現，但因其高技術門檻 ，該項威脅一直被忽 視 。2005 年出現透過網路散布方式的勒索軟體 ，勒索軟體會偽稱為 當地的執法機關，告知使用者違反法律規定，要求使用者支付罰款 。 直至2013 年出現CryptoLocker的勒索軟體 ，擅自更換使用者電腦內 部設定 ，並跳出警告訊息，要求使用者在限定期限內 交付贖金，否則 將移除解密的金鑰 。 雖然 CryptoLocker團隊已於 2014 年破獲，但類似的勒索軟體卻 不斷 出現，如TorLocker 、Crypt0L0cker ，乃至目前最具破壞性的 CryptoWall 等。目前勒索軟體大多使用RSA-2048高階演算法將檔案加密，要能 成功解密非常困難。 (二) 軟體發展 1. 起源 最早於 1989 年首次被發現，但因其高技術門檻，此威脅一直被忽 視 。 在 2005~2006 年開始出現勒索軟體 TROJ_CRYPZIP.A ，將系統內 的檔案封裝壓縮成密碼保護的壓縮檔，刪除原始檔 案。以txt檔來 留下勒索訊息，告知使用者支付贖金的訊息 。 2011 年出現TROJ_RANSOM.QOWA以挾持系統的方式，直接鎖 住使用者的電腦 系統，並在螢幕上顯示支付贖金的訊息 。 2. 2012 年勒索手法升級 REVETON勒索軟體 偽稱為當地的執法機關 ，告知使用者違反法 律規定，要求使用者支付罰款 。 3. 2013~年加密手法日趨成熟 最危險的勒索軟體Cryptolocker ，採用RSA 以及AES 不可逆的方 式將檔案加密，透過 Botnet散布含有惡意程式的郵件 。成功入侵 使用者電腦後 ，要求使用者 以虛擬貨幣( 比特幣)來支付贖金。 (三) 攻擊手法 1.感染途徑 (1) 電子郵件 常 以聳動或吸引人的郵件標題，發送內含惡意程式的電子郵件。 其中惡意程式常偽裝 成Word 文件等檔案讓， 收件者降低戒心 ， 誘使開啟電子郵件的附件。 執行惡意程式後 開始， 加密電腦內 的檔案 。因此使用者應避免點選這類連結或附件檔案， 以減少 系統被入侵的機率。 (2) 系統或程式的漏洞 電腦內的作業系統 、舊版的 Java 與Adobe 系列等應用程式 ， 未安裝最新的修補程式或 未更新至最新版，有心人士將透過這 些漏洞，在使用者的電腦中植入惡意程式 ，使用者常在不知情 的 狀況下受到這類型攻擊。因此 定期更新作業系統 ，修補系統 漏洞 ，可以降低系統被感染的風險。 (3) 其他常見的病毒傳播方式  各種儲存媒體 –隨身碟 惡意程式可能藏在各種儲存媒體內，誘使使用者點擊執行該程 式。  區域網路 -- 網路芳鄰、檔案共享 透過區域網路內檔案共享的功能散佈惡意程式 。 2. 運作原理 勒索軟體是 特洛伊惡意程式 (Trojan Horse) ，一旦感染惡意程式 ，便 可以透過網路取得使用者電腦的控制權 ，加密電腦內的檔案 。 以AES 加密檔案，再用非對稱金鑰RSA 加密來將AES 金鑰加密， 使金鑰長度變為 2,048位元，讓使用者難以用暴力方式解開加密。 3. 加密檔案類型 Word 、Excel 、PowerPoint 、PDF 、JPG檔，等近百種常見檔案 格式 ，都為勒索軟體 加密的對象。 加密檔案類型： *.odt, *.ods, *.odp, *.odm, *.odc, *.odb, *.doc, *.docx,