齊抗勒索軟件

1. 認識勒索軟件

1.1 加密勒索軟件

加密勒索軟件是惡意軟件的一種，它加密受害者的檔案，並以當中的資料作為要脅。加密勒索軟件會加密特定的檔案，有時甚至加密受害系統的整個硬碟以及外置儲存裝置和網絡硬碟。受害人無法存取被加密的檔案直至攻擊者提供解密密鑰。攻擊者會要求用戶支付贖金來換取解密密鑰。

(上圖) WannaCry 和 CryptoLocker 的勒索訊息

1.2 感染途徑

加密勒索軟件一般透過以下途徑感染電腦：

1. 垃圾電郵

部份受害人透過打開垃圾電郵中的附件被感染。已知的惡意附件檔案類別包括壓縮檔(.zip)，內藏執行檔(.exe) 或 javascript 檔(.js)及啓用巨集的微軟Office檔。大規模垃圾電郵攻擊通常由殭屍電腦發出。

2. 被入侵的網站

部份受害人透過瀏覽被入侵的網站受到感染。這些網主要針對未更新的系統或應用程式，包括瀏覽器和插件。

3. 惡意廣告

部份受害人被正當網站內的惡意廣告感染。

4. 遙距登入

部份勒索軟件嘗試利用窮舉密碼的方式攻擊遠端登入服務，如遠端桌面或Team Viewer，以滲透數據儲存，發動攻擊。

5. 自我傳播

大部份加密勒索軟件都是木馬程式， 不會自動傳播；惟部份已進化至擁有自我傳播能力。這些勒索軟件在感染電腦後會嘗試透過網絡及USB裝置等途徑感染其他裝置。

1.3 惡意程式的運作

加密勒索軟件會使用高強度加密技術把電腦檔案及內聯網絡的檔案加密。檔案類別包括文件、圖片、影片、繪圖編輯檔、數據庫檔案及電子證書檔案等等。

加密後，惡意程式會把加密密鑰回傳到指令及控制伺服器 (C2 server)，並在受感染的電腦留下勒索訊息，要求用戶支付指定金額的比等幣 (bitcoin)，以換取解密密鑰，否則唯一的解密密鑰將被刪除。

由於加密勒索軟件使用高強度加密算法，因此，在沒有解密密鑰的情況下，被加密的檔案無法回復。

(上圖) CryptoWall 和 CTB-Locker 的勒索訊息

1.4 感染加密勒索軟件的處理方法

1. 首先將受感染的電腦離線，防止惡意程式對內聯網絡檔案造成影響。
2. 下載檢查及清除軟件，並執行完整掃描，及清除惡意程式。
3. 如果在感染惡意程式之前已為系統或數據建立備份，用戶可進行回復系統及數據。
4. 如果系統沒有備份，我們建議用戶暫時不要重裝系統，以免令加密檔案記錄資料丟失。
5. 向HKCERT舉報

1.5 預防方法

1. 注意可疑電郵，不要隨意打開電郵附件，特別是壓縮檔 (zip 檔案) 或執行檔 (exe 檔案)
2. 安裝保安程式及更新最近的保安定義
3. 更新系統及軟件，例如 Microsoft Windows、Office、Adobe 閱讀器、Flash 播放器等，以修補保安漏洞，防止受惡意程式利用。
4. 盡量減少擁有域名管理權限的用戶，限制攻擊的範圍和影響，並在日常操作中使用普通帳戶;
5. 對重要的檔案進行及時和定時備份。備份檔案應存放在安全的位置，避免受惡意程式影響。
6. 若使用雲端備份，請確認雲端服務提供版本紀錄 (version history) 功能。即使受影響的檔案已同步到雲端，這功能可以回復檔案到之前版本。

2. 工具

反惡意軟件工具請按此。

3. 其他資源

3.1 視頻資源

* 部份視頻資源只提供單一語言及字幕