勒索軟體,又稱勒索病毒(或是勒贖軟體),是一種特殊的惡意軟體,又被人歸類為「阻斷存取式攻擊」(denial-of-access attack),其與其他病毒最大的不同在於手法以及中毒方式。其中一種勒索軟體僅是單純地將受害者的電腦鎖起來,而另一種則系統性地加密受害者硬碟上的檔案。所有的勒索軟體都會要求受害者繳納贖金以取回對電腦的控制權,或是取回受害者根本無從自行取得的解密金鑰以便解密檔案。
這次被FBI點名的LockerGoga與MegaCortex都是針對大型企業發動攻擊的勒索軟體,這2種勒索軟體會先利用攻擊程式或網釣手法取得登入憑證,再伺機於企業網路中植入勒索軟體,2019年3月它侵襲了挪威的鋁業與再生能源技術公司Norsk Hydro,使得該公司全球40個國家的2萬多台電腦都無法運作,損失超過4千萬美元。
LockerGoga 的主要感染途徑,據研究指出是透過夾帶惡意巨集的 MS Word 或 RTF 文件檔的釣魚郵件散布,它內建多個發行商發行的合法數位簽章,因此能夠躲過某些惡意軟體入侵偵測系統。LockerGoga 也像其他惡意軟體一樣,能透過 SMB網芳在內部網路中尋找對象 Windows 電腦進行感染;甚至還能透過 Active Directory 在內部網路中大量散布。
而在5月現身的MegaCortex已展示其入侵指標(IOCs)與C&C架構,同樣鎖定大型企業進行攻擊。
面對勒索軟體的攻擊並不可怕,只要記得一定要定期備份資料,且存有離線備份;並採用最新版的軟體與作業系統;啟用雙因素身分認證;監控所有遠端登入活動;稽核新帳號;確實掃描傳輸埠;禁用含有眾多漏洞的SMBv1;監控Active Directory 與管理群組的變更;使用最新版的PowerShell;以及啟用PowerShell紀錄並監控所有不尋常的命令……等,就能降低被勒索軟體攻擊成功的機率。
詳文請見ithome 原文新聞稿