什麼是 0xxx 勒索軟體?偵測、防護與還原
0xxx 是一種勒索軟體,最早於 2021 年初現身,此後便持續對全球各地的組織造成巨大損害。基本上, 0xxx 這是一種勒索軟體感染,會透過添加加密 .0XXX 例如常見的檔案副檔名,如 .txt, .docx, .xlsx一旦感染,使用者將無法再存取這些已被重新命名的檔案。為了取回被鎖定的資料,受害者會被要求以比特幣支付贖金。隨後,0xxx 病毒背後的網路犯罪分子聲稱,他們將提供解密工具作為交換。
在簡要介紹勒索軟體及其兩大主要類型後,這篇部落格文章將探討 0xxx 勒索軟體、資料保護方法,以及系統遭感染時如何恢復資料。
什麼是勒索軟體?
勒索軟體是一種惡意軟體,通常會在用戶不知情或未經同意的情況下自行安裝至裝置上。在大多數情況下,一旦裝置遭到感染,勒索軟體便會加密部分或全部檔案,而網路犯罪分子則會要求支付贖金以換取解密工具(即使支付了贖金,對方也可能不提供解密工具)。 勒索軟體最常見的感染途徑,是點擊釣魚email中的連結,或是開啟來自未知寄件者的惡意附件。
勒索軟體不僅會阻斷使用者存取檔案,還能透過將自身複製到網路儲存裝置或雲端儲存帳戶中,在網路內從一台裝置傳播到另一台裝置。僅憑這一點,就足以將勒索軟體歸類為最危險的惡意軟體形式之一,也是網路威脅中的重大威脅。
勒索軟體的運作原理在於盡可能增加受害者取回資料的難度。某些勒索軟體變種會在加密後犧牲資料完整性,甚至允許駭客修改或刪除檔案。這使得受害者恢復資料的難度大幅增加,若無備份可用於特定時間點還原,更可能導致資料永久遺失。
勒索軟體的類型
勒索軟體主要可分為兩大類:非加密型與加密型。
不加密型勒索軟體 不會加密檔案。相反地,它會將您的系統作為人質。這類勒索軟體會在作業系統啟動時或開啟瀏覽器時顯示一則訊息,聲稱您正在使用的裝置因涉及非法活動,已被政府(或政府機關)接管。對方會要求支付贖金,作為撤銷對您的指控並解鎖裝置的條件。一般來說,非加密型勒索軟體不會影響您的資料完整性,且可從裝置中移除。
另一方面, 加密型勒索軟體 通常透過惡意email附件或釣魚連結滲透您的裝置,並封鎖您對該裝置上檔案和程式的存取權限,直到您支付指定的贖金為止。但即使支付了贖金,也無法保證您會收到解密工具以取回檔案的存取權限。在某些情況下,攻擊者甚至可能威脅要公開某些敏感資料。
加密型勒索軟體是最具破壞性的勒索軟體類型,可說是近年來出現的最惡劣網路威脅之一。企業若支付巨額金錢以取回資料,無異於鼓勵網路犯罪分子擴大活動範圍並鎖定更多受害者。
什麼是 0xxx?
0xxx 是一種加密型勒索軟體,它使用 AES 以及 RSA 用於加密檔案的演算法。 AES 以及 RSA 是各國政府及持有敏感資料的組織所採用的強大加密安全標準。多年來,該 AES 以及 RSA 這些標準已逐漸成為勒索軟體界的常態,因為這兩種演算法都被視為某些最惡名昭彰的變種背後的主要驅動力,例如 Cryptolocker 以及 Teslacrypt.
就像同類型的其他勒索軟體一樣,例如 Redeemer, Ouelezin Zebi 以及 Iqll, 0xxx 透過加密檔案來阻止存取,並將檔案副檔名更改,同時在受感染磁碟機上的每個資料夾中建立一個文字檔,內含索要贖金的訊息。
生成的 “!0XXX_DECRYPTION_README.TXT” 該檔案包含一組受害者必須遵循的解密指示。但首先,系統會告知受害者,其所有檔案均已被 0xxx 病毒加密,且可使用比特幣購買解密工具。
隨後,受害者會被要求將系統指派的唯一識別碼(32 位元的大寫十六進位碼)連同三份加密檔案,一併寄送至指定的電子郵件地址。作為概念驗證,系統會回郵給受害者先前寄出的三份檔案,這些檔案已完全解密且不含病毒。在同一封email中,受害者將收到一個比特幣錢包地址,指定贖金必須轉帳至該地址。最後,幕後策劃此攻擊的網路犯罪分子 0xxx 病毒集團承諾,一旦付款完成,便會寄送解密工具。
以下是該頁面的截圖: 0xxx 勒索軟體的文字檔案,其中說明受害者應如何支付贖金:
如何 0xxx 感染電腦?
雖然勒索軟體會利用多種感染途徑進行傳播,但當今網路犯罪分子最常使用的兩種傳播方式是 0xxx 包括釣魚email和特洛伊木馬惡意軟體。
作為最常見的攻擊途徑,釣魚攻擊已變得比以往任何時候都更加精巧且危險。 釣魚email是一種詐騙email,旨在誘使收件人點擊連結或下載惡意內容,進而引發勒索軟體攻擊。釣魚email通常偽裝成來自可信來源(例如銀行或信用卡公司)的信件。此類email可能包含作為勒索軟體載體的檔案。一旦下載並安裝,這些惡意檔案便會立即感染系統,並 0xxx 勒索軟體。
特洛伊木馬是一種惡意軟體,表面上看似合法的軟體,但其實是經過程式設計,旨在破壞系統或網路上的資料。使用者通常會不慎從聲稱提供 非法 啟用工具(亦稱為"破解工具")以及 假的 針對諸如以下應用程式的更新 Google Chrome 或 Microsoft Office。一旦安裝,木馬惡意軟體便會為惡意攻擊者開啟後門,使其能夠檢視並操控主機系統上的資料。若攻擊者成功取得系統的完全存取權限,便可能注入勒索軟體,例如 0xxx……這很容易就能做到。
如何偵測 0xxx 勒索軟體?
有幾個指標可以幫助您察覺 0xxx 您的裝置上出現勒索軟體:
- 檔案名稱副檔名的可疑變更:該
0xxx勒索軟體的首要行動是新增.0XXX所有檔案副檔名。這款勒索軟體會保留原始檔案名稱不變。例如,document.pdf變成document.pdf.0XXX這並非單純的檔案副檔名變更,而是表示該檔案已遭加密。 - CPU 使用率過高:該
0xxx勒索軟體會消耗大量系統資源,因此程式在執行和載入時可能會明顯變慢。加密和重新命名數千個檔案是一項極度耗費 CPU 資源的任務,可能會導致系統速度變慢,甚至完全無法回應。 - 無法存取檔案: 0xxx 勒索軟體的主要目的是讓您無法存取檔案。一旦檔案被加密,便無法開啟,必須使用解密工具才能恢復至原始狀態。只有在支付指定贖金後,才會提供解密工具。
- 網路通訊異常: 若您的系統遭到
0xxx若感染勒索軟體,您可能會遇到網速變慢的情況。發動勒索軟體攻擊的網路犯罪分子會在他們的伺服器與受感染的電腦之間建立通訊系統,藉此操控檔案。這可能會導致持續的連線問題。
如何保護系統免受勒索軟體侵害?
無論規模大小,各組織都絕不能低估勒索軟體的威脅。無論您的安全系統有多麼完善,勒索軟體仍可能入侵您或員工的電腦。沒有任何組織能完全免受勒索軟體的威脅。因此,為了保護組織資料免受任何形式的勒索軟體侵害,您必須採取多層次的防護策略。
教育同事
建立一套有效的員工勒索軟體培訓計畫,讓同事了解何謂勒索軟體及其運作方式。您還應涵蓋如何避免遭到惡意軟體感染,以及一旦發生勒索軟體攻擊時該如何應對。
定期透過email向員工發送勒索軟體相關新聞及網路威脅的危險性資訊,是一項良好的做法,特別是當貴組織的工作流程仰賴雲端生產力與協作工具(如 Microsoft Office 365)時。
定期舉辦勒索軟體意識培訓課程,能大幅協助員工辨別電子郵件、附件及網站中哪些內容屬詐騙性質、哪些屬合法內容。因此,誤點釣魚連結或下載惡意軟體等錯誤操作的發生機率將能顯著降低。
設定email篩選器
大多數主流email服務都內建過濾功能,能保護您或您的同事免受網路威脅,包括勒索軟體。部分服務還提供進階安全措施,例如自動偵測並拒收來自不可信或未知來源的可疑電子郵件。我先前曾探討過 如何設定 Microsoft Defender for Office 365 的防釣魚與防冒充原則 並列出了所有能將email安全性提升至最高水準的需求。
掃描並監控您的系統
透過已更新的防毒或反惡意軟體程式執行預定的完整系統掃描,有助於偵測可疑活動,例如大量檔案副檔名被重新命名或異常的磁碟使用情況。配備最新病毒定義檔的防毒軟體,可透過將下載的惡意軟體隔離來消除勒索軟體的威脅,從而限制感染在系統及網路中的擴散。此外,請務必在安全修補程式一發布時,立即為您的作業系統安裝最新版本。
資料備份
遵循"3-2-1 備份法則"定期執行備份,可確保您的資料在遭受勒索軟體攻擊時,僅承受最小的損害。3-2-1 法則是一種常見且有效的資料備份方法。該法則規定,您應保留至少 3 份資料副本,並將其儲存於 2 種不同的儲存媒體上,同時將其中 1 份副本存放於異地。
此外,您可能還想採用新的備份技術,例如不可變備份,以保護您的數據資產免受勒索軟體的侵害。不可變備份依賴於 WORM (Write Once Read Many) 在此模型中,您的資料會備份至一個僅可寫入一次的儲存卷。在指定的時間段內,該儲存卷上的資料可多次讀取,但無法被覆寫、修改或刪除。
如何在發生後恢復檔案 0xxx 勒索軟體攻擊?
如果您的電腦感染了 0xxx 勒索軟體,除非支付贖金,否則無法恢復任何資料——至少這是網路犯罪分子希望您相信的。雖然防毒或反惡意軟體程式可以移除惡意軟體並限制其擴散,但它們無法提供恢復已受感染檔案的選項。唯一的解決方案是從備份中恢復檔案,前提是在感染發生前已建立備份,且該備份儲存於其他位置。
若您正在尋找一套完整的数据保護解決方案,不妨考慮部署 NAKIVO Backup & Replication. NAKIVO Backup & Replication 可為所有環境(包括虛擬、實體、雲及 SaaS 環境)提供高階防護。透過此解決方案,可保護 VMware vSphere、Microsoft Hyper-V、Nutanix AHV、Amazon EC2、Windows/Linux 機器以及 Microsoft 365 資料。
NAKIVO Backup & Replication 為您的備份資料提供額外的勒索軟體防護層。此解決方案讓您能夠將備份資料設為不可變更,無論是存放於本機 Linux 作業系統儲存空間或 Amazon S3 儲存桶中,皆可依需求維持此狀態。如此一來,在該期間屆滿前,您的備份複製將無法被修改、覆寫或刪除。透過鎖定備份,備份資料將免於遭勒索軟體加密,且若遭遇如 0XXX 侵襲您的系統。
