網路犯罪破獲行動有時不一定能徹底瓦解網路犯罪集團的營運。2014 年， ZeroAccess  的破獲行動，減少了該「Botnet傀儡殭屍網路」所造成的點閱詐騙案例，但過沒多久，其感染數量就又開始暴增。專門用來竊取銀行密碼的DRIDEX 殭屍網路也出現類似的情況，儘管警方在 2015 年 10 月 查獲 了它多個幕後操縱 (C&C) 伺服器，但它至今仍是企業的一大威脅。我們也觀察到了這樣的趨勢，並且在去年的 年度資安總評報告當中加以探討。

DRIDEX 往往是透過受感染的Word和Excel文件檔作為附件發送網路釣魚信件，誘使受害人使用巨集查看這些內容。一旦用戶執行被感染的檔案，感染系統將成為殭屍網路一環,它可以竊取個人訊息和網路銀行帳戶密碼等資料,再偷偷轉出被害用戶的金錢。

DRIDEX 之所以無法斬草除根，主要有兩大原因：第一，其殭屍網路的派送機制效率很高，因此擁有廣大的受害者；第二，其不易斬草除根的點對點 (P2P) 網路基礎架構，讓它很快就能恢復營運。除此之外，根據我們推測，DRIDEX 目前也在 網路犯罪地下市場上兜售， 因此還有其他網路犯罪集團和駭客也會利用此殭屍網路來從事不法行動。

DRIDEX之所以能成為一項有效的網路犯罪工具，正因為它的社交工程（social engineering ）技巧都是針對企業缺乏資安意識的員工而設計。DRIDEX 絕大部分的網路釣魚（Phishing）都是假裝寄送發票、對帳單、收據、法律聲明等文件。這些垃圾郵件甚至冒用各種合法企業的網域名稱，讓員工在不疑有他的情況下開啟附件檔案。

此外，DRIDEX還會利用惡意巨集讓使用者在不知情的狀況下遭到感染。它有自己的巨集下載程式，這占了絕大多數的 DRIDEX 偵測數量，而非 TSPY_DRIDEX 惡意程式本尊。今年二月，趨勢科技發現除了傳統的巨集下載程式之外，某些 DRIDEX 二進位檔案還會透過 JS 檔案下載程式來散布。在我們分析到的一個樣本中，巨集下載程式先在系統植入了一個 VBScript 程式，再由這個 VBScript 程式來下載真正的惡意程式。

另一個 DRIDEX之所以猖獗的原因是它會經由一些含有知名漏洞攻擊套件 (如 Angler 和 Rig) 的惡意網路廣告散布。最近趨勢科技在德國即發現一些會在系統植入 DRIDEX 惡意程式的 Angler 漏洞攻擊套件。

受害者大多是使用久未更新的作業系統或應用程式，不然就看到了惡意的網路廣告，進而讓漏洞攻擊套件下載 DRIDEX 到系統上。

根據我們的資料顯示，事實上不論大型企業或中小企業，都受到此惡意程式的嚴重威脅。他們之所以成為受害者，多半是因為歹徒所用的社交工程（social engineering ）技巧所致。

與大型企業相比，中小企業其實更難對抗這項威脅，因為中小企業的安全措施較為薄弱，而且 IT 防護及技術也無法與大型企業相提並論。此外還有一項誘因是，中小企業含有一些歹徒可拿到地下市場販賣或用於其他攻擊的重要資料。

儘管先前的破獲行動確實讓 DRIDEX 受挫了一陣子，但 P2P 網路的特性讓它很快就恢復了生機。在破獲行動期間，資安廠商與美國、英國的執法單位及聯邦調查局 (FBI) 合力查封了歹徒存放竊取資料 (銀行帳號資訊) 的後端 C&C伺服器以及系統管理節點，後者專門負責將「Botnet傀儡殭屍網路」電腦的連線導向 C&C 伺服器，並且發送軟體更新。關閉管理節點理論上就能防止殭屍電腦將蒐集到的資料回傳至 C&C 伺服器。所以，很可能當時並非所有的管理節點都已遭到破獲，或者 DRIDEX 網路犯罪集團早就建立了備份節點。因為，只要外部還有任何感染 DRIDEX 的電腦存在，其 P2P 網路就能繼續運作。

另一方面，模組化的程式架構也讓這個惡意程式可以輕易擴充功能或改變攻擊目標。DRIDEX 採用類似  DYRE 及 ZBOT 等知名銀行木馬程式的架構，除了一個獨立的檔案之外，還有多個可輕易新增或修改的附加元件。而且其設定檔案採用 XML 格式，因此駭客可以很方便地增加更多攻擊目標。

DRIDEX 採用所謂的殭屍網路服務 (Botnet-as-a-service，BaaS) 的經營模式。我們在破獲行動之後仔細研究了這項威脅，雖然 DRIDEX 在去年遭到破獲之後其程式碼已經過一些小幅變動，但整體上這些修改或改進並未改變其感染途徑或殭屍網路的運作方式。這些小幅變動包括：改變系統登錄當中自動啟動機碼的名稱、修改了巨集程式碼，以及更改了植入系統的檔案位置。由於 DRIDEX 背後是由多個分散的團體所組成的單一集團所掌控，因此，各個不同垃圾郵件行動所使用的樣本，只要是同一天釋出的，都是相同的變種和程式碼。這一點可以從其大版本和小版本的編號來判斷。

就功能來看，此惡意程式的 P2P 網路通訊協定似乎沒有任何改變，最可能的原因是這樣的修改將破壞整個 P2P 基礎架構。此外，其網路中的每一台被感染的電腦 (也就是殭屍電腦) 也都有自己的加密金鑰，網路各節點在彼此溝通時會用到這個金鑰。除此之外，其管轄的殭屍電腦依然沿用原本的「殭屍網路識別碼」(botnet ID)，而且通常按地區來劃分，因為不同地區會收到專屬於該地區的設定檔，裡面會有該地區的攻擊目標 (銀行)。

儘管其網路犯罪行動在遭到破獲之後已稍微趨緩，但長遠來看，更有效的解決之道應該是逮捕並起訴幕後的網路犯罪份子。這就是為何建立並維持公私部門合作 (PPP) 越來越重要，例如：趨勢科技即與全球執法單位合作，提供他們所需的威脅情報與網路犯罪研究發現。

今年，DRIDEX 預料將更加猖獗。不過，一般使用者及企業機構可採取一些基本的防範措施來保護自己的系統和資訊。既然 DRIDEX 大多經由垃圾郵件來進入電腦系統或網路，因此我們強烈建議企業員工和一般使用者在開啟電子郵件時應隨時保持警覺，即使看似來自正常的來源也應提防。此外，在開啟可疑的附件檔案時，最好不要啟用 MS Word 巨集以避免惡意程式執行。此外，企業應設定一些政策來封鎖含有附件檔案且來自外部或不明來源的電子郵件。定期安裝修補程式以隨時保持系統更新，也能讓電腦多一層防護來防止專門散布 DRIDEX 的漏洞攻擊套件。

資料來源：http://blog.trendmicro.com.tw/

甲骨文發佈四月重大修補程式更新，共修補包括Oracle Database、MySQL、Solaris、Java及EBusiness Suite、Solaris、PeopleSoft等產品的136項重大漏洞，呼籲用戶儘速升級到最新版本。

這次重大修補程式更新也是甲骨文首次使用該公司通用弱點評分標準（Common Vulnerability Scoring Standard，CVSS）3.0版。同時這次修補的數量也是僅次於一月的安全更新，當時破紀錄修補了248項漏洞。

本季MySQL 漏洞出現31項漏洞，是甲骨文所有產品之冠，包括4個可能遭遠端執行程式碼入侵的漏洞，並有2個CVSS分數高達9.8。

最核心產品Oracle Database修補5項漏洞，其中2個可能導致未授權的遠端程式碼執行，在無需用戶帳密情況下開採。針對Fusion Middle則修補22項漏洞，其中21項可允許未授權遠端程式碼執行，更有7項被甲骨文給予9.8的風險評分（滿分10分）。而Oracle E-Business Suite 7項漏洞中，有6項可能被駭客遠端執行入侵。

甲骨文提醒，由於Fusion Middleware產品必須在Oracle Database上執行，因此Database的漏洞也可能影響Fusion Middleware，而必須安裝前者的修補程式。同樣，Oracle E-Business Suite仰賴Fusion Middleware及Oracle Database，因此最好也安裝兩者的安全修補更新。

Java SE部份，甲骨文繼3月底緊急發佈修補程式，以修補存在於Windows、Soloaris、Linux、Macc OS X 版桌面瀏覽器中的Java SE漏洞 CVE-2016-0636後，本季則修補9項漏洞，甲骨文表示，這些漏洞全部都能被用於非授權遠端執行程式碼攻擊，其中4個被列入9以上的高風險等級。

此外，四月更新還修補18項Sun System的漏洞，其中12個可能被用於遠端執行程式碼攻擊，包括Solaris一個存在於RAM LDAP模組、CVSS風險分數9.8的高風險漏洞。其他修補的產品還包括Peoplesot、JD Edwards、Financial Services、Siebel、Retail Applications及Oracle Linux，其中PeoplesSoft此次也修補了多達15項漏洞，包括2項可被遠端執行程式碼攻擊的漏洞。

甲骨文下次重大修補程式更新預定在7月19日發佈。

資料來源：http://www.ithome.com.tw/

Google本周公布了第二次的Android的年度安全報告，指出只安裝Google Play的Android裝置取得潛在有害程式的機率不到0.15%，若同時安裝其他程式市集，載到潛在有害程式的機率則是0.5%。

為了讓外界與Android用戶更了解Android的安全生態體系，Google自前年展開Android的安全調查，並於去年發表首份Android年度安全報告。

Google表示，該公司強化了機器學習能力及事件關聯性來偵測潛在的有害行為，包括每天檢查超過60億個用戶所安裝的行動程式以偵測惡意程式及潛在有害程式（Potentially Harmful Apps ，PHAs），每天掃描4億支裝置上的網路與裝置威脅，以及透過Safe Browsing保護Android裝置上的數億名Chrome用戶。

另一方面，Google也著手阻撓PHAs進入Google Play，與2014年相較，去年透過Google Play安裝PHAs的可能性減少了40%，

被Google列為潛在有害程式的對象包括間諜程式、惡意下載器，以及那些會蒐集使用者資料的程式，這一年來，自Google Play上安裝到間諜程式的比例為0.02%、安裝到惡意下載器的比例為0.01%，安裝到資料蒐集程式的比例為0.08%，分別下滑了60%、50%與40%。

Google指出，如果使用者只自Google Play下載程式，那麼安裝PHAs的比例低於0.15%，若同時自Google Play及其他行動程式市集下載程式，相關裝置安裝PHAs的比例即達到0.5%。

Google還祭出了其他方法來加強Android的安全性，諸如程式驗證服務Verify Apps、於Android平台上添加安全機制，以及供應獎金的抓漏專案等。

資料來源：http://www.ithome.com.tw/

加密勒贖軟體Petya肆虐，先偽裝為求職者信，誘騙受害者開啟履歷，再在受害者的電腦中加密硬碟的主開機檔，進而求支付贖金取得解密金鑰，所幸網路上已有高手提供破解方法，讓受害者不需付贖金就能自行產生解密金鑰，救回被加密的主開機檔。

名為Petya的硬碟加密勒贖軟體在肆虐兩周後，有高手製作出解密工具並在網路上公開釋出。這隻勒贖軟體三月底開始流傳而聲名大噪。受害者接到冒充面試者寄來的履歷，在不疑有他情況下下載並開啟後數秒即出現Windows藍色死亡螢幕而當機。等電腦重新開機後，電腦開始貌似Windows磁碟檢查的過程，實際上是Petya正在加密主開機檔（master boot file），導致硬碟無法使用。

接著受害者會看到一個紅色為底的白色骷髏頭像（如上圖），按下按鍵後出現訊息告知用戶檔案遭到加密，要求付款以取得硬碟解密金鑰。如果受害者延遲不付款，一周內贖金就會加倍。

不過所幸有俠義的高手相助。網路上一名為@leostone的專家製作了一項工具並在網路上釋出，宣稱能產生Petya要求解密主開機檔的金鑰密碼，取回被加密的硬碟，「而且不用支付贖金」。

根據DIY電腦論壇bleepingcomputer網頁指出，使用這個密碼產生器前，必須將感染電腦的啟動磁碟取出，連到另一台乾淨的電腦，然後依網頁指示從被加密的硬碟中撈出資料，包括位於sector 55 (0x37h) offset 0(0x0)的512 bytes資料，以及在sector 54 (0x36) offset: 33 (0x21)的8 bytes nonce。這些資料必須轉成Base64編碼，然後輸入該作者設立的網頁程式（https://petya-pay-no-ransom.herokuapp.com/或https://petya-pay-no-ransom-mirror1.herokuapp.com/）中取得密碼。

然而一般人可能無法執行上述動作，為此，另一名高手Fabian Wosar又製作了可簡單撈取資料的工具供下載。不過受害者還是需要把被加密的硬碟取出再連到正常運作的Windows電腦。網頁也建議可使用USB硬碟外接盒將硬碟接上電腦。

加密勒贖軟體已成近年最猖獗的電腦界禍患之一，從Mac OS、Windows和Linux幾乎無一倖免。安全界也開始設法提供解藥，例如安全公司Bitdefender不久前才釋出可預防目前主要勒索軟體包括Locky、TeslaCrypt與CTB-Locker的工具。

資料來源：http://www.ithome.com.tw/

FireEye、Google、ProotPoint等向Adobe舉報Flash有新漏洞，恐使用戶曝露於勒索軟體攻擊，Adobe已緊急修補該漏洞。

奧多比(Adobe)終於釋出Flash軟體漏洞的修補程式，以防堵傳送勒索軟體到受害者電腦的攻擊行為。

Adobe呼籲使用該軟體包括 Windows、Mac、Chrome及Linux多達10億以上的用戶盡速下載安裝更新。

勒索軟體攻擊近來有上升趨勢，這種軟體會將受害者電腦中的資料加密上鎖，要求受害者支付數額不等的贖金，才會提供密碼或金鑰把資料解鎖，某些針對一般用戶的贖金要求可能從200到800美元不等，而日前在美國發生多起針對醫療院所的勒索軟體攻擊，贖金要求則達到17000美元以上。

Adobe表示，這次修補的漏洞是由FireEye、Google以及ProotPoint等公司提供告知。

資料來源：http://www.ithome.com.tw/

防毒軟體公司Bitdefender釋出一款號稱能夠對抗勒索軟體的工具：Bitdefender Anti-Ransomware，即便不是Bitdefender防毒軟體的用戶亦可免費使用。

Bitdefender指出，Bitdefender Anti-Ransomware可預防目前流行的幾款勒索軟體，包括Locky、TeslaCrypt與CTB-Locker，其中Locky是最近剛被發現的新型勒索軟體，其勒索訊息包含中文版本，在中國已經陸續傳出Locky的受害災情。

Bitdefender安全策略長Catalin Coso表示，新版Bitdefender Anti-Ransomware其實是源於Bitdefender用來對抗勒索軟體CryptoWall的預防工具。隨著CryptoWall之後改變其運作方式，雖然該預防工具失效了，不過，對於目前主流的Locky、TeslaCrypt與CTB-Locker而言，Bitdefender Anti-Ransomware仍有預防保護效果，因而Bitdefender將其免費釋出，而且也不限定是Bitdefender的用戶，讓更多人可以預防勒索軟體的威脅。

Bitdefender公司目前並未對外說明Bitdefender Anti-Ransomware軟體的運作方式，值得使用者注意的是，此款預防勒索軟體的工具並不能取代防毒軟體等相關資安軟體，只是針對Locky、TeslaCrypt與CTB-Locker等3種勒索軟體具有預防效果。

Bitdefender Anti-Ransomware下載網址：http://download.bitdefender.com/am/cw/BDAntiRansomwareSetup.exe

勒索軟體是近來令人頭痛的大問題，隨著勒索軟體的日益猖獗，受害災情可謂哀鴻遍野。而且勒索軟體已經不再是隨機犯案，近來國外傳出多起醫療機構被勒索軟體綁架，導致醫療資訊系統停機、醫院幾乎停擺的事件，更顯示操控勒索軟體的網路犯罪組織不再散彈打鳥，而是進一步鎖定勒索目標。就Bitdefender Anti-Ransomware作為多一道的預防措施，也不失為是可行的方法。

資料來源：http://www.ithome.com.tw/

近年勒索軟體事件頻傳，而多半事件都是發生在Windows作業系統平臺上。然而在近日，連Mac OS X也出現了第一個功能完整，並且可以對系統造成實際傷害的勒索軟體KeRanger，雖然事後僅有約6,000名Mac用戶受到影響。但此事的爆發，對於長久被視為資安淨土的OS X，無非不是個警訊。

資安公司Palo Alto Networks威脅情報小組Unit 42資深研究員Vicky Ray來臺參與2016資訊安全大會時也表示，勒索軟體造成的影響甚鉅，但是「許多人過去討論勒索軟體時，範圍都僅限定於安裝Windows的機器。」

當Unit 42發現這個藏身於BT下載軟體Transmission中的勒索軟體後，除了將自家資安解決方案進行更新外，也馬上通知蘋果及Transmission撤回KeRanger所使用的憑證，而Transmission也緊急把應用程式撤下，讓災情並沒有繼續擴大。

Vicky Ray表示，此次透過三方的快速合作，才得以讓傷害降到最低。而Keranger之所以能造成傷害，其中的關鍵是「使用了通過蘋果簽署的憑證，才能讓惡意軟體成功繞過OS X的安全防禦機制。」

而Unit 42分析此勒索軟體後發現，一旦它成功安裝在OS X上後，KeRanger會在作業系統中蟄伏3天，之後便開始加密使用者的文件，並且索取1比特的贖金。甚至，目前仍持續開發中的KeRanger，也企圖加密Time Machine中的備份檔案，避免使用者藉由回復備份資料，躲避勒索軟體的威脅。

過去Mac OS X經常被視為最安全的作業系統，但是歷經這一次爆出勒索軟體的消息，「此事件相當重要，因為它喚起了眾人的警覺。」Vicky Ray認為，多年以來，大眾都認為Mac OS X是完全安全，與日常發生的威脅事件都擦不上邊。在過去，雖然Windows平臺所遭受威脅數目比確實OS X高的很多，但是「這一次的案例顯示，即使是Mac OS X也是面臨著許多威脅。」

除了打破蘋果的安全神話外，KeRanger是具備了經過簽署的Mac程式開發憑證，因此可以成功繞過蘋果的Gatekeeper，「蘋果有相當嚴格的審核機制，而KeRanger取得經合法認證的憑證」。因此Vicky Ray也認為，過去對經簽署憑證的信賴關係，事件受到破壞。

在分析資安威脅同時，Vicky Ray更提醒「資安事件的情境 （context）也非常重要。」Unit 42的研究小組除了持續尋找外部威脅外，同時也必須確認資安攻擊者握有的資源、攻擊動機及策略。

他表示，資安分析師每天都在檢視不同的威脅，並且經常將各種威脅視為單一案例，「但是這些攻擊事件的情境，常常是遺失的重點。」他舉例，像是組織是否已經被同樣的攻擊者鎖定一段時間，或是某些惡意軟體經常被使用於攻擊特定對象。

Vicky Ray表示，過去分析這些情境都必須花上數周時間。但是在使用Palo Alto Networks推出的大資料智慧威脅解決方案AutoFocus，集結了Unit 42的研究結果、第三方的回饋及每天成千上萬的病毒樣本，可以將分析時間縮短至數秒鐘。他呼籲，企業必須主動預防威脅，而不是偵測威脅。「等到偵測至威脅時，通常都已經為時已晚。」

現代勒索軟體可以追溯至2005年的Trojan.Gpcoder，其將受害者資料加密後同時刪除原始的文件。Vicky Ray表示，勒索軟體已經對使用者造成風險許久年，而在過去5年或10年，針對資安的防護，重點往往都放在威脅偵測。「在過去偵測威脅或許是有效的防治作法，但是到了現今卻不適用了。」如果等到系統偵測到威脅，通常已經為時已晚。因此他認為，只有做好事前預防才是更根本的做法。

而蘋果電腦的使用者怎麼防範來自勒索軟體的威脅？「察覺（awareness）是關鍵。」他表示，察覺風險是保障自我安全的關鍵，而這也是Unit 42將資安研究成果公開的關鍵原因。

雖然過去蘋果電腦帶給使用者安全的印象，不過Vicy Ray認為，使用者必須了解自己正在下載的應用程式，以及這些應用程式的來源。他表示，有許多提供應用程式下載的地方其實並不安全，或許甚至並沒有通過蘋果的認證，「使用者必須察覺到，這些應用程式的來源並不安全，很可能下載到不安全的東西。」

除了個人使用者外，政府機關或是大型企業由於組織龐大，面臨到資安事件爆發時往往無法快速反應。曾經任職於金融產業的Vicky Ray也表示，當今金融產業的面臨的資安風險仍然持續在成長，並且同時面臨來自內外的威脅。例如，企業旗下客戶會特別遭到外部駭客鎖定，而組織內部團隊的高層人員同樣可能會竊取機密資料。

Vicky Ray也建議，使用者除了建立察覺風險的意識外，「我們必須利用更全面（holistic）的角度檢視威脅。」

他解釋，面對不同種的惡意軟體，使用者可能都有各自的解決方案，「但是這些解決方案，各自間並不互相溝通、連結」，對於資安事件的反應時間就會變得比較遲鈍。因此Vicky Ray認為，建立一個首重預防的資安全面平臺相當重要。

3步驟對抗OS X勒索軟體 KeRanger 

1. 搜尋磁碟中的惡意程式

使用終端機或是Finder，搜尋/Applications/Transmission.app/Contents/Resources/ General.rtf或是/Volumes/Transmission/Transmission.app/Contents/Resources/ General.rtf路徑是否存在。如果存在，代表使用者已經遭受到感染，必須將此些檔案刪除。

2. 搜尋背景執行的惡意程式

利用Mac OS X中預設的活動監視器（Activity Monitor），檢查kernel_service此程序是否正在運行。如果在運行的話，確認/Users/<用戶名稱>/Library/kernel_service的檔案是否存在。如果存在，將此程序強制結束。

3. 確認惡意軟體存在後，將可疑檔案徹底移除

完成上述步驟後，在 ~/Library目錄夾中，檢查是否存在以下4個可疑檔案：kernel_pid、 kernel_time、 kernel_complete及 kernel_service。如果有，也一併刪除。

資料來源：http://www.ithome.com.tw/

Trustwave觀察過去一週約有400萬含有病毒的垃圾郵件，佔整體垃圾郵件約18%，這些惡意的垃圾郵件中大多數含有JavaScript的附加檔案，以散佈Locky勒索軟體，加密電腦中的資料，並要求受害者支付贖金。Trustwave建議企業可利用電子郵件閘道器攔截垃圾郵件，並封鎖其中含有JavaScript附加檔案或是Office巨集文件的惡意郵件。

資安業者Trustwave發出警告，他們觀察到大量含有病毒的垃圾郵件，且病毒類型為Locky勒索軟體，因而對外提出警告。Trustwave說明，他們在7天之中看到了400萬封含有病毒的垃圾郵件，佔據所有垃圾郵件的18%，一般而言，垃圾郵件中的惡意郵件比例通常不到2%，而且這些大量的惡意郵件絕大多數都是Locky勒索軟體的下載器。

進一步解析這些惡意郵件，發現含有一個JavaScript的附加檔案，開啟後可用來下載Locky勒索軟體，它會加密使用者電腦上的檔案並要求贖金。

傳遞這些病毒郵件的是既有的垃圾郵件殭屍網路，該殭屍網路過去也曾傳遞過用來下載Dridex木馬程式的惡意巨集，只是這次將傳遞的內容改為JavaScript與Locky。

Trustwave建議企業可利用電子郵件閘道器來攔截大量的垃圾郵件，並封鎖含有JavaScript附加檔案或是Office巨集文件的郵件。

資料來源：http://www.ithome.com.tw/

3年前Dell SecureWorks的資安研究員發現加密型式的勒索軟體CryptoLocker，如今2016年了，勒索軟體的危害不僅未曾消退，在攻擊手法不斷變種的情況下，威脅反而日益增大。由於近來臺灣受害災情快速擴大，企業對於勒索軟體可不能掉以輕心。

CryptoLocker這類加密型勒索軟體之所以惡名昭彰，在於這款勒索軟體入侵電腦後，就會鎖定使用者常用的檔案類型，如Office文件檔案、圖片檔案等，偷偷將這些檔案陸續以RSA公私鑰加密機制執行加密，一旦加密作業完成，CryptoLocker就會顯示勒索訊息，要求使用者依指示支付贖金，以取得可以解密檔案的私鑰。

這種將原本用來保護資訊安全的加密機制，反過來做為勒索的工具，讓許多受害者非常痛苦。因為RSA 2048位元加密可不是一般人破解得了，倘若沒有備份檔案，不付贖金就肯定是要放棄被綁架的檔案，然而個人電腦裏有許多文件、照片檔案都是生活中重要的記錄，或是工作上的重要資料。有的人因此被迫要放棄小孩的所有照片，痛苦萬分；有的公司因為重要業務資料被綁架，一片人仰馬翻。

然而，上述只是CryptoLocker初期作虐的受害情景，在勒索軟體不斷變種、攻擊手法不斷變化的情況下，勒索軟體對企業的危害更加嚴重了。現今，勒索軟體的威脅已經不只是個人電腦，就連網站伺服器也會被綁架勒索；而企業受害的情況也不再只是喪失幾臺電腦的資料而已，而是整個業務營運被迫中斷。

勒索軟體雖然也是惡意程式，但企業必須了解勒索軟體與一般惡意程式的特性有所不同。在背後操作勒索軟體的組織，都是以獲利為考量的網路犯罪組織，他們之所以會把受害者電腦的檔案加密起來，就表示他們要的不是資料，而是贖金，也因此，操作勒索軟體的犯罪組織一定會持續尋找最容易付贖金的標的。

有些人在被勒索軟體綁架後，痛恨犯罪組織，不想因為支付贖金而助長網路勒索歪風，遂忍痛割愛，這樣犯罪組織就無法得逞。於是，犯罪組織把目標轉向網站伺服器，除非被綁架的網站有勤做備份，或能夠承受長時間中斷網站營運，甚至狠下心關站，否則大部分被綁架的網站都只能乖乖繳贖金。

不僅如此，從一些現象不難發覺操作勒索軟體的犯罪組織正一步步瞄準企業的要害，像是綁架加密的檔案類型不再只是Office文書檔案，甚至會鎖定如設計圖檔等關乎企業命脈的重要資料。最近資安專家新發現的一種勒索軟體Locky，不僅會加密電腦本地端的檔案，還會尋找網路上的磁碟機，其危害更是直指企業內部網路。

再者，勒索軟體也開始盯上無法承受業務營運中斷的產業，像是醫療業最近就是災情頻傳。2月中旬，在美國與德國都發生多起醫院被勒索軟體綁架的事件，而這些醫院的醫療資訊系統都因此無法運作，整家醫院被迫重回沒有電腦的時代，X光片檔案被綁架無法開啟、醫生重回手寫病歷、檢驗結果只能靠電話傳真來傳遞，重大的病患或重要的手術，也被迫要轉診。

在過去，很難有什麼惡意程式能夠讓醫院發生上述整個停機的情況，但現在，單單一個勒索軟體就有這麼大的破壞力。所以，企業對於勒索軟體不能等閒視之。

企業也不能再以為臺灣不是勒索軟體的重災區，雖然CryptoLocker肆虐時，臺灣的災情可說是雷聲大雨點小，但是根據趨勢科技的研究，2015年上半年臺灣遭遇勒索軟體的數量，足足是2014年的3倍；而且，資安專家也在上述的Locky勒索軟體中，首度發現中文版勒索信。這些訊息在在證明，勒索軟體已經在臺灣肆虐，企業應該要立即提高警戒。

資料來源：http://www.ithome.com.tw/

資安業者Palo Alto Networksr近期揭露了一款鎖定Mac OS X的新勒索軟體KeRanger，這並不是OS X上出現的第一個勒索軟體，卻是該平台上首個具備完整功能且的確可造成傷害的勒索軟體。

Palo Alto Networks指出，他們在BT下載軟體Transmission 2.9的兩個安裝檔中發現了KeRanger，而且這些安裝檔存在於Transmission官網上，懷疑是Transmission網站遭到危害，使得駭客得以將官網上的Transmission軟體置換成惡意版本。

Transmission為一開放源碼的BT（BitTorrent）客戶端程式，除了具備簡潔的介面之外，它的效能穩定且支援Windows、Linux與OS X等多個平台，因而頗受用戶好評。

根據Palo Alto Networks的分析，KeRanger具備有效的Mac程式開發憑證，因而可通過蘋果的Gatekeeper安全機制。當使用者安裝了受到感染的軟體時，系統即會執行一個嵌入檔案，KeRanger將蟄伏3天，靜待透過Tor匿名網路傳輸的C&C遠端控制伺服器的指令。

3天後KeRanger便會開始加密使用者系統上特定格式的檔案與文件，並要求受害者支付1個比特幣（約400美元）的贖金來取回檔案。仍在持續開發中的KeRanger亦企圖加密Time Machine的備份檔案以避免受害者藉由回復備份資料來逃離駭客的勒索。

在將此事通報蘋果及Transmission之後，蘋果已取消了KeRanger所使用的憑證，同時更新了XProtect病毒碼，而Transmission亦立即移除受到感染的安裝檔，並釋出Transmission 2.92。Transmission呼籲下載了Transmission 2.90的OS X用戶應馬上升級到Transmission 2.91以移除KeRanger。

2014年時卡巴斯基實驗室（Kaspersky Lab）即曾發現一款針對OS X的勒索軟體FileCoder，但當時FileCoder的功能貧乏，除了只能感染少數的OS X之外，加密能力也是殘缺的。

資料來源：http://www.ithome.com.tw/