勒索病毒白皮書 | Datavideo Academy-The most professional online learning platform for live production courses

什麼是勒索軟體

勒索軟體是一種讓受害者不能夠存取他們電腦的惡意軟體。它的目的是要威脅受害者付出贖金來讓系統或資料復原。勒索軟體分成兩種，一種是加密型勒索軟體，另外一種是限制系統運作的勒索軟體（例如將受害者系統鎖住，除了付贖金之外，不能做其他動作）。

勒索軟體的歷史根據維基百科的描述，第一個勒索軟體是出現在1989年的AIDS木馬，AIDS木馬會將C槽的目錄隱藏，把檔名加密，要求受害者付出美金189元來重新更新授權。之後勒索軟體便沈寂了很長一段時間。

直到2005至2006年間，比較精密的勒索軟體才再度出現，便是TROJ_CRYPZIP.A，它會搜尋受害者硬碟上某些副檔名的檔案，將這些檔案壓縮成含有密碼保護的壓縮檔，再將原始檔刪除。

2011年的TROJ_RANSOM.QOWA是屬於限制系統存取的勒索軟體，他會把使用者電腦鎖
住，得撥打付費電話支付12美元才能解鎖。2012年的REVETON開始假冒當地警察，讓使用者以為自己做了違法的事情，所以必須付出罰款。同時也做在地化，會追蹤使用者的位置，出現當地的執法機關的標誌，受害者遍及歐洲跟美國。

2013年出現了當時最危險的Cryptolocker，此勒索軟體除了把整台電腦鎖住之外，也會將檔案加密，Cryptolocker使用了AES配上RSA的加密演算法，讓使用者無法還原檔案。而Cryptolocker要求的贖金高達300美元。此時勒索軟體的散布方式演進成使用垃圾郵件來散布。

2014至2015年間，開始出現了利用比特幣來支付贖金的勒索軟體TROJ_CRYPTRBIT.H，勒索軟體陸陸續續也出現了各種「進化」，像是利用Tor網路來隱藏自己行蹤CTBLocker，以及利用e-mail誘導使用者進入偽造官方網頁，並要求輸入驗證碼來下載檔案的TorrentLocker。也開始出現針對企業機構的勒索軟體，像是Ransomweb會把網站和網站伺服器加密，而Chimera勒索軟體則除了加密檔案之外，還威脅使用者如果不付贖金，就會將檔案公開在網路上。在行動裝置方面，也出現了針對Android手機的勒索軟體。

2016年，出現了針對Mac OSX的勒索軟體KeRanger，勒索軟體也開始對醫院造成重大影響，像是Locky造成醫院緊急將所有電腦關機，改用紙本作業；SamSam則是藉由攻擊伺服器的漏洞來散布，主要攻擊目標也為醫療產業。勒索軟體最終的目的是從中得利，所以金流一向是勒索軟體所重視的，金流必須具有匿名性而且可靠，2009年出現的比特幣剛好符合這個特性。勒索軟體作者不再需要使用預付卡這類的付款機制，而是可以直接透過網路匿名交易比特幣來獲取不法收益，最重要的是，很難發現他們的行蹤。而當惡意駭客發現使用勒索軟體的獲利能力很高時，便大量撰寫勒索軟體來增加收益，部分更開始經營勒索軟體服務。

勒索軟體的流行原因

駭客讓使用者無法正常使用電腦，直到使用者付出贖金，才能正常使用系統，這種類型不是對檔案加密，而是鎖住電腦。檔案加密類型駭客會針對目標檔案使用加密演算法進行加密，多為文件與影音照片，讓使用者無法開啟自己的檔案，由於文件與影音照片對大部分使用者的價值較高，所以願意付出贖金的意願也會更大。勒索軟體分為兩種，一種是限制系統運作類型，另一種則是現在最流行的檔案加密類型，造成影響分別如下。

限制系統運作類型：駭客讓使用者無法正常使用電腦，直到使用者付出贖金，才能正常使用系統，這種類型不是對檔案加密，而是鎖住電腦。

檔案加密類型：駭客會針對目標檔案使用加密演算法進行加密，多為文件與影音照片，讓使用者無法開啟自己的檔案，由於文件與影音照片對大部分使用者的價值較高，所以願意付出贖金的意願也會，不過，隨著勒索軟體的演進，近期也開始看到針對MBR與MFT加密的勒索軟體（例如：PETYA），這類的勒索軟體不是針對檔案做加密，而是直接對整個磁碟做加密，當使用者重開機時，被竄改過的MBR便會讓使用者看到勒索畫面，而無法順利進入作業系統。根據FBI在2015年公布的報告*1，典型的勒索軟體要求的贖金範圍在200美金到1萬美金之間。