首頁

壹、前言

貳、何謂勒索軟體

勒索軟體亦稱勒索病毒，屬『阻斷存取式攻擊』（denial-of-access attack）。其又分為2種，一種係僅單純將受害者電腦鎖閉，另一種則有系統性地加密受害者硬碟檔案。勒索軟體皆要求受害者付贖金以取回對電腦的控制權，或逕取得受害者無從自行取得的解密金鑰來解密檔案。勒索軟體的威脅，是近幾年來快速發展的一種新型態網路攻擊，這種駭客行為，成本小，獲利大又難以追蹤，吸引大量駭客投入。

勒索軟體入侵受害者的方式通常以誘騙受害者點選網站惡意連結下載，或是假冒電子郵件誘騙使用者開啟進行，若是受害者點選開啟了勒索軟體，此時若受害者電腦剛好具有駭客可運用之弱點，勒索軟體即開始於受害者網路中擴散並且偷偷地搜尋受害者電腦可存取之儲存設備(含主機硬碟、外接硬碟、網路磁碟等)，並以加密演算法加密後，將原檔刪除。接著於電腦螢幕上顯示訊息(圖2)，要求受害者支付難以追蹤之比特幣贖金，以解鎖加密檔案。

參、使用者習慣是最重要的防線

如同其他常見的惡意軟體威脅，遭受勒索軟體感染的常見途徑首先是下載或點擊到惡意軟體，第二步是正好電腦具有可利用的弱點未修補。是以，除運用安全防護軟體，儘可能檢查所連線或下載的檔案外，正確使用習慣才是面對層出不窮網路攻擊的最重要防線，使用者應隨時確認電腦系統及安全防護軟體的弱點修補與更新狀況(圖3)。留意瀏覽網頁之正確性及安全性，並避免點擊不明或奇怪的免費網站，往往此類網站頁面上的廣告連結可能隱藏著惡意程式，俗話說：「免錢的最貴」，別讓一時的小小好處，讓自己暴露在更大的風險中。

肆、發現勒索軟體時的處理方式

一旦發現了勒索軟體的蹤跡或畫面，代表電腦中的資料已經遭受一定損失，這時就須立即控制危害的範圍。首先，使用者應斷開電腦網路並關機，以中斷勒索軟體持續運作。接著，重開機進入安全模式；或直接將硬碟拆下來安裝於其他乾淨的電腦，備份其中尚未被加密的檔案。另外，亦可嘗試使用防毒軟體業者提供之解密工具搶救，不過由於勒索軟體技術進展快速，變異版本多，也只能姑且一試。此外，部分的勒索軟體將檔案加密產生新的檔案後，僅將原檔案以一般方式刪除，或有機會使用某些資料復原軟體，於磁碟的實體儲存空間找出部分被刪除之原檔案，難免有所損失，例如救回之圖檔會有破碎的狀況。

當盡力搶救檔案後，續將原電腦硬碟進行格式化及重新安裝作業系統，使電腦回復成乾淨的狀況，最後安裝修補漏洞的更新檔及安全防護軟體(圖4)。

有人說，如果願意付贖金，是不是就可以把檔案復原？以實際案例來看，支付贖金也不一定能完全將檔案解密。所以還是需要自行做好萬全的準備。

伍、永遠都要準備的B計畫：備份321

針對珍貴資料的保存，除了仰賴使用者正確使用習慣，以及妥適的資安防護外，面對防不勝防的駭客攻擊，資安防護觀念不只是追求完美的防護，而是考量萬一真的發生狀況時，能將資料回復為可接受的程度，故良好的備份是很重要的措施。

備份的基本法則可以「備分321」來說明：「至少備份3份；使用2種不同的備份方法(如光碟備份、外接硬碟備份、磁帶備份)，其中1份要存放異地」。經由複數備份、異地存放方式，降低資料完全漏失的機率。對於大型組織而言，應確實依照這種備份原則保護組織的重要資料，而個人則可評估可運用資源及資料重要性進行調整。總之，面對重要資料，人人都應有一種備份機制。

在此提醒大家一個小觀念，備份資料應和電腦實體斷開。有些人認為使用可自動進行資料備份的設備，如具磁碟陣列功能的網路儲存設備(NAS：Network Attached Storage)，或是直接在同一臺電腦的硬碟中複製保存兩份以上檔案，就算已進行備份工作，並可以避免勒索軟體綁架檔案的問題。可是由於備份資料是與電腦隨時保持連線，如果此電腦真的被勒索軟體感染，其有可能連備份的資料也被加密勒索，那可就前功盡棄了。

陸、結語

不管是組織或個人，資料的滅失遠比硬體設備毁壞更讓人難以承受，硬體設備損失尚可投入資源回復，但有些資料用金錢也換不回來，也許是公司的機密資訊或核心配方，抑或是個人心愛的重要記憶照片，故平時應有正確的資安觀念，並妥善做好資料備份工作，以珍藏保護我們重要的回憶與資料。