自從香港中小企和學校被勒索軟件攻擊的消息曝光後,勒索軟件已成為眾人防範的對象,但當中的危機仍有增無減。據 Symantec《互聯網安全威脅報告》及其旗下的《Norton 網絡安全透視報告》,勒索金額一年之間已倍增至 5,269 港元,香港由 2015 年 1 月至今年 4 月更錄得 2,714 宗勒索軟件感染個案。
香港五季錄得 2,714 宗勒索軟件感染個案 一般消費者較易中招
Symantec 的報告顯示,由於一般消費者沒有強大的安全保護,他們較企業用戶有更大機會成為勒索軟件的受害人。由 2015 年 1 月到 2016 年 4 月, 消費者成為勒索軟件受害人的比例達 57%。
在這段時間,香港有 2,714 宗勒索軟件感染個案,其中 558 宗是在今年 1 月至 3 月期間發生,較前季的 360 宗相比明顯增加了 55%。事實上,今年 3 月全球的勒索軟件攻擊數字已創下 56,000 宗的新高,每筆勒索金額亦平均從 2015 年約 2,281 港元遞升至今年約 5,269 港元。
勒索軟件傳播方式多 電郵仍是主要途徑
報告同時指出電郵是勒索軟件滲透的主要途徑。黑客會把勒索軟件程式附加在電郵的附件或連結中,並把郵件偽裝成收據、未繳納帳單或郵件通知,再大量散播。Symantec 大中華區消費者事業資深銷售工程師王世煜亦展示了兩封載有勒索軟件的釣魚電郵,一封訛稱自己仍未收到付款,要求收件者開啟附件查閱單據;另一封電郵更訛稱自己為 Symantec 支援小組,通知收件者有員工帳戶被入侵,要求收件者點擊連結來檢查電腦。
黑客攻擊工具亦是另一種滲透途徑,其中已下架的 Angler 更是去年著名的套件。透過該些工具,勒索軟件可寄生在有害的網站中。除此之外,惡意廣告、伺服器端漏洞也使勒索軟件有機可乘。王世煜亦補充,現時用戶瀏覽一些網站時,即使沒有點擊連結,勒索軟件仍可入侵電腦。
隨著手機勒索軟件興起,王世煜說手機短訊已成為新式的傳播途徑,勒索軟件更會偽裝成正當程式誘騙用戶下載,如 LockDroid 會扮作系統更新,但執行後便會鎖定裝置。
「三不」「三要」預防勒索軟件
王世煜表示勒索軟件可分為「鎖定形」和「加密形」兩類,而「加密形」是最棘手,因為專家需要取得解密金鑰才可破解,而且一些勒索軟件如 CryptXXX 已採用高強度的 RSA 4096 加密。
避免勒索軟件入侵,王世煜列出「三不」原則和「三要」應變措施:
- 不要亂開來路不明的電郵、網頁及廣告等。
- 不要亂用可疑郵件的附件檔案,注意是否為偽裝的 exe 執行檔。
- 不要亂點來路不明的網址,除非能夠確認它會導向無害的網站。
- 要定時更新防毒軟件。
- 要落實定時備份重要檔案和掃毒。
- 要為電腦所使用的作業系統及應用程式應隨時更新,以免在尚未更新前、電腦還存在漏洞時被攻擊。
王世煜亦不建議向攻擊者繳交贖金來解密檔案,因為成功率其實不大。他指出,一些勒索軟件有很好的加密能力,但解密能力欠奉,即使付了錢也無補於事。
正確備分方可保護檔案
王世煜又強調用戶要留意檔案的備分方式。他指出,僅僅把檔案由一個磁碟區(drive)複製至另一個磁碟區不是安全的做法,因為勒索軟件可以把所有磁碟區的檔案加密。
至於以 Dropbox 等雲端檔案同步程式來備分,王世煜認為這是個略為安全的做法,因為雲端環境始終較本地安全,但他指出過去已有勒索軟件把雲端檔案加密的事例,而且伴隨勒索軟件而來的惡意程式可擷取雲端服務帳戶的登入名稱和密碼,黑客實際上仍可破壞檔案。
因此,王世煜建議用戶用專門的軟件為檔案備分,因為大部分勒索軟件只會針對 Office 檔案、圖片和影片檔案,不會把電腦所有檔案加密。只要刪除了勒索軟件便可在備分檔中恢復檔案。
他亦建議用戶採用「多層次防護」的安全軟件,因為該類軟件會檢查用戶網絡活動的每一個環節,如點擊連結、瀏覽網頁至安裝程式等,從而抵禦零時攻擊。