什麼是勒索軟體?
2025 年,勒索軟體已大幅超越簡單的檔案加密。在拒絕存取您資料的同時 加密中 ,並要求 贖金支付用於解密密鑰仍是一個核心策略,但如今的勒索軟體功能遠不止於此。網路— 攻擊者現在 經常加入額外的 功能,例如資料竊取。這表示他們 不僅鎖定您的檔案,還會竊取敏感資訊。這種雙重威脅造成受害者支付贖金的更大壓力,因為他們不僅會面臨資料遺失,遭竊資料還有可能公開曝光或在暗網上出售。
勒索軟體已迅速成為最 突出 以及可見的惡意軟體類型。最近的勒索軟體攻擊影響了醫院提供關鍵服務的能力,削弱了城市的公共服務,並對各種組織造成了重大損害。
勒索軟體攻擊為何層出不窮?
現代勒索軟體熱潮始於 2017 年 WannaCry 爆發。這次大規模且廣為人知的攻擊表明,勒索軟體攻擊是可能的,並且可能有利可圖。從那時起,數十種勒索軟體變種被開發出來並用於各種攻擊。
COVID-19 大流行也促成了最近勒索軟體案件的激增。隨著組織快速投入遠距工作,他們的網路防禦也出現了缺口。網路罪犯已利用這些脆弱性傳播勒索軟體,導致勒索軟體攻擊激增。
高達 71% 家公司曾遭遇勒索軟體攻擊,每次事件平均造成 435 萬美元的財務損失。
光是 2023 年,全球就有 10% 的組織遭受勒索軟體攻擊。相較於去年 7% 的組織面臨類似威脅,比率大幅上升,是近年來最高的記錄。
勒索軟體如何運作
為了成功,勒索軟體需要存取目標系統,加密其中的文件,並向受害者索取贖金。
雖然一種勒索軟體變體的實施細節有所不同,但所有勒索軟體變體都共享相同的核心三個階段
- 第一步。感染和分佈載體
與任何惡意軟體一樣,勒索軟體可以透過多種不同的方式存取組織的系統。然而,勒索軟體操作者往往更喜歡一些特定的感染媒介。
其中之一是網路釣魚電子郵件。惡意電子郵件可能包含託管惡意下載的網站的連結或內建下載器功能的附件。如果電子郵件收件者陷入網路釣魚,則會下載勒索軟體並在其電腦上執行。
另一種流行的勒索軟體感染媒介利用遠端桌面協定 (RDP) 等服務。透過 RDP,竊取或猜測員工登入憑證的攻擊者可以使用這些憑證對企業網路內的電腦進行身份驗證並遠端存取。透過此存取權限,攻擊者可以直接下載惡意軟體並在其控制的電腦上執行它。
其他人可能會嘗試直接感染系統,例如 WannaCry 如何利用 EternalBlue 脆弱性。大多數勒索軟體變種都有多個感染媒介。
2025 年,勒索軟體攻擊經常 利用組織第三方供應商的脆弱性,將其視為較弱的入侵點。這通常始於遭竊的憑證或廠商系統中未修補的軟體,能讓攻擊者獲得初步存取權限。從那裡開始,威脅行為者利用供應商與目標組織間的可信連結,橫向移動並部署勒索軟體,繞過主要公司的直接防禦。
- 步驟2.資料加密
勒索軟體獲得系統存取權限後,它就可以開始加密其檔案。由於加密功能內建於作業系統中,這僅涉及存取檔案、使用攻擊者控制的金鑰對其進行加密,以及用加密版本取代原始檔案。大多數勒索軟體變體在選擇要加密的檔案時都很謹慎,以確保系統穩定性。某些變體還會採取步驟刪除文件的備份和陰影副本,以使沒有解密金鑰的恢復更加困難。
- 第三步贖金要求
文件加密完成後,勒索軟體就準備提出贖金要求。不同的勒索軟體變體以多種方式實現這一點,但將顯示背景更改為勒索字條或放置在包含勒索字條的每個加密目錄中的文字檔案的情況並不少見。通常,這些筆記需要一定數量的加密貨幣以換取訪問受害者的文件。 如果支付了贖金,勒索軟體業者將提供用於保護對稱加密金鑰的私鑰副本或對稱加密金鑰本身的副本。這些資訊可以輸入解密程式(也由網路犯罪分子提供),該程式可以使用它來反轉加密並恢復對使用者檔案的存取。
雖然這三個核心步驟存在於所有勒索軟體變體中,但不同的勒索軟體可能包含不同的實現或附加步驟。例如,Maze 等勒索軟體變種在資料加密之前執行檔案掃描、登錄資訊和資料竊取,而 WannaCry 勒索軟體會掃描其他易受攻擊的裝置以進行感染和加密。
勒索軟體攻擊的類型
勒索軟體在過去幾年中已經顯著演變。一些重要的勒索軟體類型和相關威脅包括:
- 雙重勒索: 像 Maze 這樣的雙重勒索勒索軟體結合了資料加密與資料竊取。此技術是因應組織拒絕支付贖金,而改從備份進行還原而開發的。透過竊取組織的資料,網路犯罪分子還可能威脅如果受害者不支付贖金,就會洩露這些資料。
- 三重勒索:三重勒索勒索軟體在雙重勒索的基礎上增加了第三種勒索手段。通常這包括向受害者的客戶或合作夥伴勒索贖金,或對公司發動分散式阻斷服務 (DDoS) 攻擊。
- 檔案加密勒索軟體:檔案加密勒索軟體是一種不會加密受害者電腦上檔案的勒索軟體。它反而會鎖定電腦,使受害者無法使用,直到支付贖金為止。
- 加密勒索軟體:加密勒索軟體是勒索軟體的另一個名稱,強調勒索軟體付款通常以加密貨幣支付。原因在於加密貨幣是數位貨幣,由於不受傳統金融體系管理,因此較難追蹤。
- 擦除器: 擦除器是一種與勒索軟體相關但又有所不同的惡意軟體。雖然它們可能使用相同的加密技術,但目標是永久禁止存取加密檔案,這可能包括刪除加密金鑰的唯一副本。
- 勒索軟體即服務(RaaS):RaaS 是一種惡意軟體散佈模式,其中勒索軟體團夥為「附屬組織」提供其惡意軟體的存取權。這些附屬組織會用惡意軟體感染目標,並與勒索軟體開發者瓜分贖金。
- 資料竊取勒索軟體:某些勒索軟體變體專注於資料竊盜,完全放棄資料加密。其中一個原因是加密可能耗時且容易偵測,讓組織有機會終止感染並保護部分檔案免於加密。
流行的勒索軟體變種
存在數十種勒索軟體變體,每種變體都有其獨特的特徵。然而,一些勒索軟體團體比其他勒索軟體團體更加猖獗和成功,使他們脫穎而出。
1.Ransomhub
RansomHub,一個知名的勒索軟體即服務 (RaaS) 2024 年 2 月出現的組織,透過吸引 ALPHV 等已解散組織的附屬組織迅速崛起,並 LockBit。儘管支付率低,但其高聯盟利潤分享模式 (90%) 驅使攻擊激增,尤其是在 2024 年 7 月和 8 月,主要針對美國和巴西企業。 RansomHub’s 勒索軟體以 Golang 和 C++ 編寫,聞名的是 因其快速加密、使用 EDRKillShifter以及近期實施遠端加密。 然而,在 2025 年 4 月 1 日, RansomHub’s 停止營運,據報附屬公司轉移到 Qilin 和 DragonForce 聲稱擁有控制權,標誌著它在勒索軟體領域中的消亡。
2.Akira
Akira 是 2023 年第 1 季首次發現的勒索軟體變種同時針對 Windows 和使用 ChaCha2008 加密的 Linux 系統。它透過網路釣魚郵件和 VPN 脆弱性滲透系統,然後採用諸如以下策略: LOLBins和憑證轉移來逃避偵測和取得特權。Akira 利用 間歇性加密 以避開安全解決方案並刪除陰影複製以阻礙還原。該團體也執行 僅以勒索為目的的攻擊,竊取資料並要求贖金而不進行加密。Akira 要求高額贖金,主要針對北美、歐洲和澳洲的大型企業,特別是教育、金融、製造和醫療保健產業。為了減輕 Akira 攻擊的影響,組織行號應實施網路安全意識培訓、反勒索軟體解決方案、定期資料備份、修補管理、強化使用者驗證 (MFA),以及網路分段。
3. Play
Play Ransomware Group,也稱為 Play 或 Playcrypt,已 成為自 2022 年以來重要的網路犯罪實體,成功入侵全球超過 300 個組織,包括高知名度目標,如 古巴的 Microsoft、奧克蘭市和瑞士政府。此組織採用獨特的策略,例如 間歇性加密,它只加密檔案的選擇性部分,以逃避偵測,以及 雙重勒索在此情況下,他們不僅會加密資料,而且還將其洩露,並威脅如果不支付贖金就會公開資料。Play 利用脆弱性 FortiOS和暴露的 RDP 伺服器進行初始 存取, 隨後透過群組原則物件以排程任務的方式散佈勒索軟體有效載荷。他們經營 Tor 部落格來宣傳攻擊和竊取的 資料 ,迫使受害者合規。
4.Clop
Cl0p 是一種勒索軟體 即是 一種變體 Cryptomix 惡意軟體。它是一種複雜的威脅,以勒索軟體即服務 (RaaS) 的方式運作,主要針對處理敏感資料的產業,如醫療保健和金融。它採用雙重勒索策略,一方面加密資料,另一方面威脅如果不支付贖金,就會公開發佈竊取的資訊。Cl0p 的散布方式包括網路釣魚郵件及零時差脆弱性的利用,使其難以 預防。這款軟體勒索以數位簽章程式碼、高贖金要求、使用 SDBOT 自我傳播,以及偏好企業網路而聞名。為了防止 Cl0p 攻擊,組織應該實施人工智慧驅動的威脅偵測、持續監控、檢查記錄中的異常活動、全面的員工網路釣魚培訓、快速隔離受感染的系統,以及強大的驗證通訊協定。
5.Qilin
Qilin 是一家著名的 勒索軟體即服務 (RaaS) 公司,利用高度可客製化、基於 Rust 的勒索軟體 針對全球各個行業的目標組織。這個團體在 2025 年 4 月獲得了顯著的關注,在勒索軟體攻擊中名列前茅。 Qilin 採用一種 雙重勒索 技,術不僅會加密受害者的檔案並索取解密贖金,還會 外洩敏感資料並威脅即使支付贖金也會發布。他們複雜的策略包括針對每個受害者量身定制攻擊,修改檔案名稱副檔名,終止特定進程,並提供各種加密模式。Qilin 在暗網上宣傳其服務,展示一個專有的資料外洩網站 (DLS),其中包含不重複的公司 ID 和遭竊取的帳戶詳細資料,並據報在以下情況後獲得附屬團體RansomHub 停止運作。
6.Ryuk
鲁克 是一個非常有針對性的勒索軟體變體的範例。它通常透過魚叉式網路釣魚電子郵件或透過遠端桌面協定 (RDP) 使用受損的使用者憑證登入企業系統來傳遞。一旦系統受到感染,Ryuk 會加密某些類型的文件(避免對計算機運行至關重要的文件),然後提出贖金要求。
Ryuk 是眾所周知的現有最昂貴的勒索軟體類型之一。魯克要求贖金 平均超過 1 萬美元。因此,Ryuk 背後的網絡犯罪分子主要專注於擁有滿足他們需求所需的資源的企業。
7. Maze
The 迷宮 勒索軟體因是第一個勒索軟體變種而聞名 結合文件加密和資料竊取。當目標開始拒絕支付贖金時,Maze 開始從受害者的計算機收集敏感數據,然後加密它。 如果沒有滿足贖金要求,這些數據將公開公開或出售給最高出價者。 可能造成昂貴的數據洩露可能作為付款的額外激勵。
Maze 勒索軟體背後的組織 正式結束營運。然而,這並不意味著勒索軟體的威脅已經減少。一些 Maze 附屬公司已轉向使用 Egregor 勒索軟體,並且 Egregor、Maze 和 Sekhmet 變種被認為具有共同來源。
8.REvil (蘇迪諾基比)
REvil 集團(也稱為索迪諾基比) 是另一種針對大型組織的勒索軟體變體。
REvil 是網路上最知名的勒索軟體系列之一。該勒索軟體組織自 2019 年以來一直由俄語 REvil 組織運營,對「 Kaseya 」和「JBS」等許多重大洩密事件負有責任。
在過去的幾年裡,它一直與 Ryuk 競爭最昂貴的勒索軟體變種的稱號。眾所周知,REvil 有 要求 8 萬美元贖金。
雖然 REvil 最初是一種傳統的勒索軟體變體,但它隨著時間的推移而不斷發展
他們使用雙重勒索技術 - 從企業竊取數據,同時加密文件。這意味著,除了要求贖金來解密數據之外,攻擊者還可能會威脅在未進行第二次付款時釋放被盜數據。
9. Lockbit
LockBit 是自 2019 年 9 月開始運行的資料加密惡意軟體,也是最近的勒索軟體即服務 (RaaS) 。這款勒索軟體旨在快速加密大型組織,以防止其被安全設備和 IT/SOC 團隊快速檢測到。
10. DearCry
2021 年 3 月,微軟發布了 Microsoft Exchange 伺服器中四個脆弱性的修補程式。DearCry 是一種新的勒索軟體變體,旨在利用 Microsoft Exchange 中最近披露的四種脆弱性
DearCry 勒索軟體會對某些類型的檔案進行加密。加密完成後,DearCry 將顯示一條勒索訊息,指示用戶向勒索軟體營運商發送電子郵件,以了解如何解密其檔案。
11. Lapsus$
Lapsus$ 是一個南美勒索軟體團夥,與針對一些知名目標的網路攻擊有關。這個網絡幫派以勒索而聞名,如果受害者沒有提出要求,威脅釋放敏感信息。 該集團自豪地突破了英維亞,三星,尤比索特等。 該組織使用竊取的原始程式碼將惡意軟體檔案偽裝成可信的。
勒索軟體如何影響企業?
勒索軟體攻擊成功會對企業造成各種影響。一些最常見的風險包括:
- 財務損失:勒索軟體攻擊旨在強迫受害者支付贖金。此外,公司可能會因為修復感染的成本、業務損失以及潛在的法律費用而蒙受金錢損失。
- 資料遺失:一些勒索軟體攻擊會加密資料,以此作為勒索手段的一環。通常即使公司支付贖金並收到解密器,也可能無法挽回遺失的資料。
- 資料外洩:勒索軟體集團正愈加投入雙重或三重勒索攻擊。這些攻擊結合了資料竊取與潛在的外洩,以及資料加密。
- 停機時間:勒索軟體會加密關鍵資料,而三重勒索攻擊可能包含 DDoS 攻擊。這兩種情況都有可能導致組織營運中斷。
- 品牌損害:勒索軟體攻擊會損害組織在客戶和合作夥伴中的聲譽。當客戶資料外洩或收到贖金要求時,更是如此。
- 法律和監管處罰:勒索軟體攻擊可能是由於安全疏忽造成的,並且可能包括敏感資料外洩。這可能會使公司面臨監管機構的訴訟或處罰。
常見的勒索軟體目標產業
勒索軟體可以針對所有產業垂直領域的公司發動攻勢。然而,勒索軟體通常作為網路犯罪活動的一部分經過部署,而這些活動通常針對特定產業。2023 年遭受勒索軟體攻擊的前五大產業包括:
- 教育/研究: 2023 年,教育/研究領域遭受了 2046 次勒索軟體攻擊,比前一年下降 12%。
- 政府/軍事:政府和軍事組織是第二大目標產業,共受到 1,598 次攻擊,比 2022 年減少 4%。
- 醫療保健:醫療照護業經歷了 1,500 次攻擊,增幅達 3%,由於其提供的是敏感資料和關鍵服務,因此尤其令人擔憂。
- 通訊:通訊組織在 2023 年成長 8%,共有 1,493 宗已知攻擊。
- ISP/MSP: ISP 和 MSP 是常見的勒索軟體目標,因為它們可能遭受供應鏈攻擊,2023 年遭受了 1286 次勒索軟體攻擊,下降 6%。
如何防範勒索軟體
- 利用最佳做法
適當的準備可以大大降低勒索軟體攻擊的成本和影響。採取以下最佳實踐可以減少組織遭受勒索軟體的風險並最大限度地減少其影響:
- 網路意識培訓和教育:勒索軟體通常透過網路釣魚電子郵件傳播。培訓使用者如何識別和避免潛在的勒索軟體攻擊至關重要。由於目前的許多網路攻擊都是從有針對性的電子郵件開始的,該電子郵件甚至不包含惡意軟體,而只是鼓勵用戶點擊惡意連結的社交工程訊息,因此用戶教育通常被認為是最重要的防禦措施之一組織可以部署。
- 連續資料備份:勒索軟體的定義表明,它是一種惡意軟體,旨在使支付贖金成為恢復對加密資料的存取的唯一方法。自動化、受保護的資料備份使組織能夠從攻擊中恢復,並且不需要支付贖金的情況下,並且不需要支付贖金。 維護定期備份數據作為例行程序是一種非常重要的做法,以防止數據丟失,並在損壞或磁盤硬件故障時能夠恢復數據。 功能備份還可以幫助組織從勒索軟體攻擊中恢復。
- 修補:修補是防禦勒索軟體攻擊的關鍵組成部分,因為網路犯罪分子通常會在可用的修補程式中尋找最新的未發現的漏洞,然後針對尚未修補的系統。因此,組織確保所有系統都應用了最新的修補程式至關重要,因為這可以減少企業中可供攻擊者利用的潛在弱點的數量。
- 使用者身分驗證:使用竊取的使用者憑證存取 RDP 等服務是勒索軟體攻擊者最喜歡的技術。使用強大的使用者驗證可能會使攻擊者更難利用猜測或被盜的密碼
-
減少攻擊面
由於勒索軟體感染的潛在成本很高,預防是最好的勒索軟體緩解策略。通過解決以下問題來減少攻擊表面來實現這一點:
- 網路釣魚訊息 透過採用電子郵件防護部署,例如 Harmony 電子郵件安全
- 未修補的脆弱性,遭洩漏的認證和其他 在暗網上使用外部風險管理工具 (例如 Check Point ERM) 所揭露的資產
- 遠端存取解決方案,採用 SASE 防護。
- 行動惡意軟體安全。
-
部署防勒索軟體解決方案
需要加密所有使用者的檔案意味著勒索軟體在系統上運行時具有唯一的指紋。反勒索軟體解決方案旨在識別這些指紋。良好的反勒索軟體解決方案的共同特徵包括:
- 廣泛的變體檢測
- 快速檢測
- 自動恢復
- 恢復機制不基於常見的內建工具(例如“影子複製”,它是某些勒索軟體變體的目標)
如何移除勒索軟體?
沒有人想在自己的電腦上看到勒索訊息,因為它表明勒索軟體感染已成功。此時,可以採取一些步驟來應對活躍的勒索軟體感染,組織必須選擇是否支付贖金。
- 如何減輕主動勒索軟體感染
許多成功的勒索軟體攻擊只有在資料加密完成並且勒索資訊顯示在受感染電腦的螢幕上後才會被偵測到。此時,加密的文件可能無法恢復,但應立即採取一些步驟:
- 隔離機器:某些勒索軟體變體會嘗試傳播到連接的磁碟機和其他機器。透過刪除對其他潛在目標的存取權來限制惡意軟體的傳播。
- 讓電腦保持開啟狀態:檔案加密可能會使電腦不穩定,關閉電腦電源可能會導致揮發性記憶體遺失。保持計算機開啟以最大限度地提高恢復的可能性。
- 建立備份:無需支付贖金即可解密某些勒索軟體變種的檔案。如果將來有解決方案可用或解密失敗損壞文件,請在卸除媒體上複製加密文件。
- 檢查解密程序:請向「無需再勒索項目」查看是否可用免費的解密程序。 如果是這樣,請在加密數據的副本上運行它,以查看它是否可以恢復文件。
- 尋求幫助:電腦有時會儲存儲存在其中的檔案的備份副本。 如果這些副本未被惡意軟體刪除,數位鑑識專家也許能夠恢復這些副本。
- 清除和還原:從清潔的備份或作業系統安裝還原本機。 這可確保惡意軟體從裝置中完全刪除
Check Point 如何提供協助
Check Point 的反勒索軟體技術使用專門構建的引擎,可防禦最複雜、具有規避性的零日勒索軟體變體,並安全地恢復加密數據,從而確保業務連續性和生產力。我們的研究團隊每天都會驗證這項技術的有效性,並在識別和緩解攻擊方面持續展現出色的成果。
Harmony 端點是 Check Point 領先的端點預防和回應產品,包含反勒索軟體技術,利用 Check Point 業界領先的網路保護為 Web 瀏覽器和端點提供保護。Harmony 端點可跨所有惡意軟體威脅媒介提供完整、即時的威脅防護和修復,讓員工無論身在何處都能安全工作,而不會影響工作效率。
Check Point 外部風險管理方案 顯著增強組織抵禦勒索軟體的能力。透過 持續 攻擊面管理(ASM), Check Point 發現並監控 所有面對網際網路的資產, 找出 勒索軟體集團可能利用的脆弱性缺陷和錯誤設定。 Check Point’s 深網與暗網 監控可主動偵測 洩漏的憑證在利用它們 進行 初始存取或帳戶接管 (一個常見的勒索軟體入口點) 之前。此外,Check Point 提供關鍵的 供應鏈資安情資持續評估第三方廠商與技術的安全態勢,以降低供應鏈帶來的風險,而供應鏈是日益嚴重的 勒索軟體攻擊媒介。最後,他們的 策略性威脅情資透過龐大的資料收集與分析, 可即時洞察新興的勒索軟體趨勢、威脅分子的策略、技術與程序 (TTP),讓組織能夠主動強化防禦,並在攻擊發生之前做出明智的安全決策。
