勒索軟體會將受害者的檔案加密,接著向受害者出售加密金鑰,以供擷取檔案,此軟體經常透過惡意電子郵件的附加檔案或惡意廣告傳送,已行之有年。若資料主無法擷取檔案,勒索軟體便等同於是摧毀資料的元兇。
據專家估計,付給勒索軟體作者的金額總計恐多達3.25億美元(約新台幣105億元),然而支付贖金未必能確保檔案可恢復到能夠存取的狀態。為幫助電腦使用者更了解勒索軟體,Forcepoint整理了常見問答集如下。
1. 檔案受感染後,勒索軟體將之加密的速度有多快?
答:立即;一旦能連線到它的指揮控制處時。勒索軟體只要列舉所有磁碟,搜尋其目標檔案類型(依照副檔名),便會開始加密。值得注意的是,部分勒索軟體,例如 CTB-Locker,不需連線到指揮控制處即可開始加密,那是因為能夠自行產生金鑰,而只要加密程序完成,金鑰資訊就會傳回指揮控制處。
2. 付款給勒索軟體之後,有多大機會能取回檔案?
答:惡意程式作者有釋出檔案的動機,以便鼓勵未來的受害者付款。然而,若儲存金鑰資訊的指揮控制伺服器被去除,則即使付過贖金,仍無法將檔案解密。
3. 勒索軟體採用哪些加密演算法?
答:部分勒索軟體變種採取對稱演算法,例如AES-256(Teslacrypt),有些使用公開金鑰RSA-2048(CryptoLocker、CryptoWall)。偶爾會見到勒索軟體使用自訂密碼編譯演算法。
針對勒索軟體,Forcepoint提出以下建議。首先,將資料備份到外部磁碟或服務,要是能從備份擷取檔案,便不需要支付贖款。其次,更有效地教育使用者不去開啟電子郵件訊息中未預期或不熟悉的附加檔案,也不要點按不明的連結。
第三,判斷基礎架構或程序中是否有可受勒索軟體策動入侵的弱點存在。第四,思考原本要為擷取檔案所支付的贖款,用來投資更有效的防護措施,以防止未來發生類似事故(例如教育使用者、及網址與附加檔案的沙箱作業),是否更有價值。