病毒、勒索軟體與惡意軟體:差異解析
談到網路安全時,某些術語常被混為一談,這可能會令人感到困惑。最早的惡意軟體攻擊通常被稱為"病毒"。 同樣地,最早的網路安全產品也常被定位為防毒解決方案,這進一步強化了"病毒是主要網路威脅"的觀念。然而,在過去幾十年間,網路犯罪分子的策略已大幅演變,衍生出具備不同傳播方式、攻擊目標及系統影響的新型惡意軟體。
了解病毒、惡意軟體與勒索軟體之間的差異,有助於您及早識別風險、針對不同情境採取適當的預防措施,並避免資料遺失。
什麼是惡意軟體?
惡意軟體(malware)是"惡意軟體"的簡稱,是一個泛指任何可能損害裝置或破壞資料的外部惡意程式碼的通用概念。在談論網路安全時,惡意軟體通常是適用於大多數情境的最廣泛術語。勒索軟體和病毒是惡意軟體的兩種類型。其他類型的惡意軟體包括:
- 間諜軟體 這使駭客能夠追蹤另一台裝置的活動。間諜軟體會蒐集個人資料,例如信用卡資訊、密碼、使用者名稱等,供駭客日後用於入侵電腦。
- 機器人 這類惡意軟體會將遭駭的裝置連接到中央伺服器。這類裝置組成的網路被稱為"殭屍網路"。即使包含數百萬台裝置,殭屍網路仍能隱匿行蹤而不被察覺。殭屍網路利用遭駭裝置的運算能力,可發送網路釣魚訊息與垃圾郵件、竊取個人資訊,並發動拒絕服務(DDoS)攻擊。
- 根套件 讓駭客能在使用者毫不知情的情況下控制裝置。一旦安裝,Rootkit 便能變更系統設定並下載其他惡意檔案。
- 蠕蟲 蠕蟲是一種無需主機檔案,即可在同一網路中的電腦之間自動傳播的程式。蠕蟲可能刪除或修改資訊、竊取資料,或安裝其他惡意軟體。雖然如今蠕蟲已不那麼常見,但其他惡意軟體仍會採用相同的攻擊手法。
- 特洛伊木馬, 與蠕蟲不同,木馬需要宿主才能運作。它們屬於隱蔽型惡意軟體,通常偽裝成合法檔案。木馬主要透過網路釣魚傳播,但這並非唯一途徑。有時,木馬攻擊會隱藏在假冒的防毒軟體中,這些軟體會出現在聲稱能為裝置提供保護的網站上,並彈出視窗誘使用戶安裝。一旦安裝在電腦上,木馬便能進行監控及篡改資料。
- 廣告軟體 這是一種以常見彈出視窗形式出現的惡意軟體。它通常會隨免費遊戲或其他未經授權的程式一併出現。有時,它造成的唯一威脅只是讓電腦運行變慢。然而,在某些情況下,它也可能導致間諜軟體被安裝。
- 無檔案惡意軟體 這是一種會直接進入電腦記憶體,並破壞 PowerShell 或 Windows 腳本等可信賴程式的惡意程式碼。與其他類型不同,無檔案型惡意軟體通常不會留下任何惡意程式痕跡,因此更難被掃描工具偵測到。
然而,病毒和勒索軟體是最為普遍的惡意軟體類型。
什麼是病毒?
病毒是一種透過受感染的網站和檔案傳播的惡意程式。當裝置接觸到病毒時,病毒會在使用者不知情的情況下被安裝並開始執行。病毒可能破壞資料、損壞裝置並影響其效能,甚至格式化硬碟。某些病毒還能自我複製並在區域網路中傳播。即使是簡單的病毒,也會透過佔用電腦記憶體來大幅降低系統速度,並導致系統頻繁當機。
病毒是如何傳播的?
即使是那些為防範潛在惡意軟體威脅而採取預防措施的謹慎系統管理員和使用者,恐怕也曾有過接觸病毒的經歷。病毒的傳播途徑多種多樣。病毒可能透過以下日常活動滲入系統網路:
- 裝置間的資料交換
- 瀏覽受感染的網站(即使未下載檔案,裝置仍可能遭到感染)
- 下載種子檔案或其他免費軟體
- 使用先前曾連接過受感染電腦的外部儲存裝置(例如 USB 隨身碟)
- 開啟受感染的email附件
病毒:迷思與事實
迷思 1: 一旦電腦遭到感染,你肯定會察覺。
事實: 惡意軟體往往會在未被察覺的情況下傳播。正因如此,您未必總能判斷裝置是否已遭感染。
迷思 2: 可信的網站不會含有病毒或其他惡意軟體。
事實: 駭客可能會在知名網站上投放惡意廣告。即使只是瀏覽廣告而未點擊,也可能導致惡意軟體被安裝。有時,就連最知名的網站也可能遭到惡意軟體感染。
迷思 3: Apple 裝置不會感染病毒。
事實: 這是一個根深蒂固的誤解,因為無論是運行 macOS 還是其他作業系統,任何裝置都可能遭到感染。駭客會不斷改進他們的程式,以入侵任何系統和環境。
迷思 4: 來自可信來源的email不會被感染。開啟來自可信來源的email附件總是安全的。
事實: 即使email來自可信來源(例如同事、朋友等),也無法保證其安全性。有些病毒會潛入聯絡人清單並感染email。因此,如果email附件看起來可疑,最好不要開啟。
迷思 5: 當電腦上沒有任何重要資料時,惡意軟體便不構成威脅。
事實: 即使裝置未儲存任何關鍵資料,惡意軟體仍會對安全性構成威脅。惡意軟體鮮少主動搜尋資料,而是會存取聯絡人清單來發送垃圾email,或佔用裝置的記憶體與運算資源,進而影響整個網路的運作。
迷思 6: 防火牆提供全面的病毒防護。
事實: 防火牆提供多種保護機制,主要功能在於過濾流量並限制未經授權的資料存取。然而,惡意軟體仍可能入侵裝置並透過網路傳播。
什麼是勒索軟體病毒?
嚴格來說,"勒索軟體病毒"並非一個正確的術語。與病毒不同,勒索軟體並非具有自我複製能力的感染程式,但犯罪分子可能會將病毒作為更複雜的勒索軟體攻擊的一部分加以利用。勒索軟體的運作原理基於加密技術——這原本是為保護電腦而開發的最有效安全技術之一。加密會將資料轉化為秘密代碼,唯有透過解密金鑰才能解碼。
駭客會要求受害者支付贖金(通常以比特幣支付),以換取解密金鑰並重新取得檔案存取權限。然而,並非所有勒索軟體攻擊都以獲取金錢利益為目的。在某些情況下,例如"擦除型勒索軟體"(如 NotPetya),駭客的目標在於造成系統中斷或刪除資料,因此犯罪分子可能會生成虛假的加密貨幣錢包地址,或要求受害者支付不切實際的贖金。
企業自然擔心失去信任與聲譽受損。因此,支付贖金看似是解決問題的快速方案。然而,支付贖金絕不能保證您能重新取得系統存取權限。
與其資助駭客並擔憂能否取回資料,更好的解決方案是備份您的工作負載。 勒索軟體防護的最佳方法是制定"3-2-1"備份計畫,其中應包含不可變更(immutable)及空間隔離(air-gapped)的備份。此計畫意味著您應至少擁有三(3)份備份複製,其中兩(2)份儲存於不同媒體,並將一(1)份存放於異地。透過此備份計畫,即使遭遇勒索軟體攻擊,您的還原流程仍將快速且簡便。
勒索軟體是如何傳播的?
勒索軟體最常見的傳播方式包括:
- 網路釣魚email 這類垃圾email通常會附帶惡意附件或連結。一旦開啟附件或點擊連結,勒索軟體就會被下載到電腦上。有時,這類email的寄件者可能是您通訊錄中的聯絡人。
- 社群媒體貼文中的連結 可能包含惡意連結,該連結會在裝置上啟動勒索軟體。
- 惡意網站 一旦造訪這些網站,可能會導致勒索軟體被安裝。這種情況在串流影音平台及其他免費內容網站上相當常見。
- 其他惡意軟體 攻擊那些已隸屬於殭屍網路(即彙集遭駭電腦的伺服器)的裝置。在此情況下,該裝置會進一步遭到其他惡意軟體的感染。
勒索軟體:迷思與事實
迷思 1: 勒索軟體攻擊的對象是企業,而非個人。
事實: 勒索軟體不分對象。無論是個人還是企業,都可能成為勒索軟體攻擊的目標。
迷思 2: 支付贖金後,您總能取回資料。
事實: 在大多數情況下,支付贖金的人並無法取回自己的資料。支付贖金看似是解決問題的簡易且快速的方法。然而,支付贖金等同於資助網路犯罪,並鼓勵駭客發動更多攻擊,卻無法保證能獲得解密金鑰。
迷思 3: 勒索軟體無法加密備份。
事實: 雖然定期備份是保護資料的最佳方式,但這些備份仍有可能包含受感染的工作負載,或遭第三方篡改。為降低這些風險,務必定期執行惡意軟體掃描,並遵循 3-2-1 備份法則,並針對備份資料實施加密、不可變性及基於角色的存取控制等安全措施。像這樣的全面解決方案 NAKIVO Backup & Replication 透過備份、災難還原及勒索軟體防護的功能,讓您能夠從單一管理介面全面應對這些風險。
勒索軟體、惡意軟體與病毒的比較
| 惡意軟體 | 勒索軟體 | 病毒 | |
| 分類 | 惡意軟體是描述任何惡意程式的統稱。 | 勒索軟體是一種惡意軟體。 | 病毒是一種惡意軟體。 |
| 進攻方的目標 | 惡意軟體的設計旨在對電腦造成各種損害,具體損害程度取決於惡意軟體的類型。 | 勒索軟體的設計目的是在用戶支付贖金之前,阻止其存取資料。 | 病毒是一種附著於獨立檔案上的惡意程式碼。病毒可能導致硬碟被格式化,也可能完全無害。 |
| 對系統的影響 | 惡意軟體能夠控制及竊取資料、佔用電腦資源、破壞系統等。 | 勒索軟體會鎖定系統並加密所有資料。 | 病毒可能會損壞裝置、破壞資料、降低裝置的效能等。 |
| 《Variety》 | 惡意軟體種類繁多,包括蠕蟲、間諜軟體、根套件、木馬程式、勒索軟體等。 | 最常見的類型有三種:Locker、Doxware 和 Crypto。 | 病毒有各種形式:檔案感染型病毒、巨集病毒、多態性病毒等。 |
| 運送方式 | 根據類型不同,惡意軟體可能透過email、軟體安裝、瀏覽網頁、利用系統漏洞等方式傳播。某些類型的惡意軟體必須由使用者觸發才會生效,而另一些則無需任何使用者操作即可感染系統。 | 勒索軟體主要透過釣魚email中的惡意附件,或社交媒體貼文中的連結進行傳播。 | 病毒會在下載或交換檔案、瀏覽惡意網站等情況下傳播,並由使用者觸發。 |
| 拆卸簡便 | 遵守網路安全規範並備份資料,是預防惡意軟體感染及保護資料的最佳解決方案。 | 勒索軟體是最棘手的惡意軟體之一。對抗勒索軟體的最佳"解方"就是預防和備份。 | 防毒軟體是保護裝置免受病毒侵害最常見且最有效的方法之一。 |
如何避免遭受勒索軟體、病毒及其他惡意軟體的侵害?
在了解各類惡意軟體的差異後,最先浮現腦海的問題是:惡意軟體攻擊能否被預防?使用者可透過多種方式保護裝置免於感染。最佳解決方案是遵循基本的網路安全規則:
- 請安裝防毒軟體、反間諜軟體及防火牆,並確保它們始終保持最新狀態。
- 請定期更新您的作業系統和應用程式。
- 請加強瀏覽器的安全性設定,並封鎖彈出視窗。
- 請避免開啟來自未知寄件者的訊息和email。
- 請勿開啟可疑的附件、連結及網站。
- 下載前請先評估免費程式、檔案及軟體。
- 請設定強密碼,並定期變更登入資訊。
遵守這些規則可將惡意軟體感染裝置的風險降至最低。然而,沒有任何方法能保證百分之百的安全。因此,將資料備份至多個位置至關重要,最好遵循"3-2-1"備份原則,其中包含不可變更、加密及空間隔離的備份。如此一來,即使遭遇勒索軟體攻擊,您也能透過幾次點擊即可還原資料。
如何偵測惡意軟體?
另一個常見的問題是,如何判斷電腦或網路是否已遭感染。若您遇到以下部分問題,電腦可能已遭感染:
- 電腦運行緩慢且經常當機
- 電腦運作異常(電腦在未經使用者操作的情況下發送訊息或垃圾email,或自行開啟/關閉程式等)
- 原因不明的資料遺失
- 螢幕上顯示的彈出視窗及其他訊息
- 藍屏死機 (BSOD)
然而,最佳做法是使用結合多種偵測方法與機器學習的全面性惡意軟體偵測軟體。此類解決方案能掃描系統以搜尋已知的病毒簽名或識別類似的程式碼模式,監控系統以偵測異常活動,並對可疑檔案執行沙箱測試。
如何移除惡意軟體?
偵測和移除惡意軟體可能是一項複雜的任務。除非您是專業人士,否則很容易忽略某些細節或處理失當。此外,也很難判斷惡意軟體是否已對系統造成無法挽回的損害。移除惡意軟體的一般流程如下:
- 請執行防惡意軟體程式,以掃描潛在威脅。
- 一旦偵測到惡意軟體,請刪除受感染的檔案。
- 如果無法自動完成,請聯絡您的資安供應商技術人員尋求協助。
- 格式化磁碟機後,請從備份中還原資料(某些備份解決方案,包括 NAKIVO Backup & Replication,讓您能在執行還原前先掃描備份檔以檢查是否有惡意軟體),並在必要時重新安裝這些程式。
- 分析電腦受感染的過程,以防範未來的惡意軟體攻擊。
- 請花點時間向所有使用者說明網路安全規則。
若您的部分檔案因勒索軟體攻擊而被加密,請執行以下步驟:
- 切勿支付贖金。
- 如果受感染的電腦已連接到網路,請拔掉電源線或關閉存取點(若為 Wi-Fi 連線)。
- 請拍攝螢幕上顯示的鎖定畫面。這有助於辨識勒索軟體的類型。
- 請使用任何只讀媒體搭配防惡意軟體程式,掃描電腦上的所有磁碟,並刪除惡意軟體。
- 若發生任何問題,請聯絡專業技術人員。
最具破壞性的惡意軟體
MyDoom
網路攻擊不僅會導致資料損毀和電腦受損,還會造成巨大的財務損失。其中一樁代價最慘重的網路攻擊,便是由惡意軟體所引發的 MyDoom,造成約380億美元的損失。嚴格來說, MyDoom,亦稱為 Novarg,是一種透過釣魚電子郵件傳播的蠕蟲。
此次攻擊的嚴重性,源於發送的email數量極為龐大。2004 年某個時刻, MyDoom 負責發送了所有email的四分之一。在感染電腦後, MyDoom 竊取了所有 email 清單,並將自身副本四處散發。受感染的電腦隨後組成一個殭屍網路,用以發動 DDoS 攻擊。
MyDoom 仍在流傳。即使在創作16年後的今天, MyDoom 至今仍持續發送超過十億封附帶自身副本的email。儘管當局曾懸賞 25 萬美元徵求線索以追查攻擊者,但此蠕蟲的創作者至今仍未被查出。
我愛你
這款惡意軟體的誕生是一個轉捩點,或者更確切地說,是一個無法回頭的臨界點。 ILOVEYOU 這是首批透過email發動的網路攻擊之一。這隻蠕蟲在 10 天內成功感染了 5,000 萬台電腦,造成總計 150 億美元的損失。首先,它會發送一封看似情書的email。安裝完成後,它會再向受害者的聯絡人發送 50 封惡意email。
這隻蠕蟲是由 Onel de Guzman,一名來自菲律賓的大學生。由於手頭資金不足,他編寫了這款蠕蟲程式,讓它自動登入需繳納註冊費的線上服務。他當時根本無法預料事態會發展到何等規模。當時,菲律賓尚未制定任何針對網路犯罪的法律,因此 Onel de Guzman 從未被起訴。現年44歲的這名駭客居住在馬尼拉,並對創建該 ILOVEYOU.
WannaCry
WannaCry 該勒索軟體於 2017 年首次現身。此勒索軟體感染了約 150 個國家的 20 萬多台電腦,造成超過 40 億美元的損失。 WannaCry 這場攻擊不僅給企業和個人造成巨大損失,也波及政府機構和醫院。駭客最初要求以比特幣支付 300 美元贖金,後來贖金金額提高至 600 美元。
經查證,該惡意軟體是利用了微軟 Server Message Block(SMB)協定中的漏洞。 在勒索軟體攻擊發生前兩個月,微軟已發布安全修補程式以保護用戶系統。然而,那些未將作業系統保持最新狀態的使用者,仍面臨 WannaCry 攻擊。
NotPetya(ExPetr)
2017年那場被稱為 NotPetya 堪稱迄今為止最具破壞性的勒索軟體攻擊之一。僅需 45 秒便使整個銀行網路癱瘓, NotPetya 此次攻擊波及全球超過 2,000 家組織,包括馬士基、默克、聯邦快遞旗下 TNT Express 以及佳麗珍等業界巨頭。估計造成的損失超過 100 億美元,但實際損失遠高於此數字。例如,馬士基耗費 10 天並動員 600 名人員才重建網路,而完全還原則需數月時間。據報導,
的攻擊目標原本是烏克蘭政府, NotPetya 這是一款旨在造成干擾與破壞,而非謀取金錢利益的勒索軟體。該勒索軟體利用了美國的"EternalBlue"入侵工具(該工具先前在一次資料外洩事件中遭洩露),該工具亦曾被用於 WannaCry 該年稍早發生的襲擊事件,以及 Mimikatz,這是自 2011 年以來已知的安全漏洞。與早期的 Petya 需要使用者互動才能感染系統的版本, NotPetya 可能在幾秒鐘內透過網路傳播,並偽裝成例行的會計軟體更新。
琉克
第一 Ryuk 2018年針對《論壇報業集團》的攻擊事件,導致《紐約時報》和《華爾街日報》運作中斷,延遲了數天的印刷作業。後來,該駭客組織 Wizard Spider 已使用 Ryuk 以全球各地的大型政府、醫療、教育及製造業組織為目標。 Ryuk 勒索軟體曾涉及最高達 1,250 萬美元的贖金,而截至 2021 年,駭客的總獲利已達 1.5 億美元。
Ryuk 通常是透過攜帶 spam email carrying a TrickBot 感染。 Ryuk 它也是暗網中使用最廣泛的"勒索軟體即服務"(RaaS)軟體之一。開發者將其出售給其他駭客,並從成功的贖金支付中抽取一定比例的分成。
ShrinkLocker
ShrinkLocker 概覽
ShrinkLocker 這是卡巴斯基於 2024 年 5 月發現的一種新型勒索軟體。此勒索軟體利用 Windows 的 BitLocker 加密特點,將使用者鎖在裝置之外,且不提供任何還原選項。
ShrinkLocker 如何利用 Windows BitLocker
ShrinkLocker 該程式基於 Windows 系統中已遭廢棄的程式語言——VBScript。入侵系統後,它會先辨識 Windows 作業系統,並視情況選擇關機(適用於 2000、2003、XP、Vista 版本),或執行其程式碼中對應該特定作業系統的部分。
ShrinkLocker 利用 BitLocker 加密資料,隨後移除 PIN 碼、啟動金鑰、復原金鑰等預設保護機制,使受害者無法還原加密資料。犯罪分子隨後透過 TryCloudflare—這是 CloudFlare 專為開發者設計的官方工具。攻擊成功後, ShrinkLocker 它會刪除所有檔案並清除 PowerShell 日誌,以逃避偵測。
雖然這並非勒索軟體首次利用 BitLocker 加密資料,但這種新變種更進一步,旨在擴大破壞範圍並增加偵測難度。微軟宣布 BitLocker 將在 Windows 11 24H2 版本中自動啟用,這將擴大潛在受害者的範圍。
ShrinkLocker 攻擊的實例
到目前為止,這款勒索軟體已攻擊了墨西哥、約旦和印尼的鋼鐵及疫苗製造商。攻擊者並未留下勒索檔案,且刻意讓其聯絡email地址難以被察覺,這顯示他們的目標在於造成營運中斷,而非勒索贖金本身。
結論:
網路安全是當今最關鍵的挑戰之一。病毒、勒索軟體以及其他類型的惡意軟體,對資料的完整性與安全性構成了嚴峻威脅。避免遭受攻擊的最佳解決方案,就是遵循網路安全的通用準則。為了避免經歷漫長的系統還原與從頭重建過程,請務必備份您的資料。
NAKIVO 解決方案的先進功能性,能協助您建立一套全面性的資料備份、還原與安全策略。透過 NAKIVO Backup & Replication.
