Symantec發表勒索軟件調查報告 勒索金額年內急升兩倍

勒索軟件（Ransomware）是發展最快的網絡犯罪方式，今年本港受到多種不同的勒索軟件攻擊，首先是Locky，然後又是CryptXXX；利用加密技術令用戶無法打開檔案，要繳付贖金後才換取解密金鑰，已成全球新興的網絡犯罪。

勒索軟件普遍採用Bitcoin支付贖金，不少更屬於跨境犯罪，難以偵破和繩之於法，加上利潤可觀，吸引愈來愈多罪犯加入。

據Symantec的全球調查顯示，全球勒索軟件的重災區為美國，28%的受害者均在美國，其次則為加拿大。2016年勒索軟件勒索金額平均為679美元，錄得兩倍增長以上。以行業分類，服務業是受影響最嚴重地區。今年七月，中國國家計算機病毒應急處理中心表示，各類勒索軟件大量湧現，中國的個案不斷增加。

據Symantec報告，勒索軟件歐美出現幾年後，2015年10月至11月激增之後，曾一度回降，但今年三月又再回升，與Locky爆發的同期吻合。香港也受到勒索軟件廣泛攻擊，香港生產力促進局屬下「香港電腦保安事故協調中心」公佈，五月本港勒索軟件事故創新高；Locky已大幅回落，但新勒索軟件「CryptXXX」又冒起，然後又有冒充Locky的PowerWare，受害者多為一般家庭用戶、教育機構及中小企業。

2015年，勒索軟件家族已達100多種，每個家族又不斷變種，避開防毒軟件掃描，實際數量已無從知悉。

勒索軟件個案增加，亦跟分工精細有關；市場上有「勒索軟件即服務」（Ransomware-as- a-Service）的雲服務出現，類似Cerber，不少罪犯可租用服務作為犯案用途。勒索軟件的攻擊目標，仍以個人為主。Symantec大中華區總裁陳毅威說，不少勒索仍針對個人為主，很難排除黑客，會轉移針對企業。「企業客戶可負擔的支付贖金的金額更高。」

Symantec大中華區首席運營官羅少輝表示，勒索軟件也開始演化，懂得利用Script避過掃描，一般的防毒掃描只針對執行檔，類似JavaScript、PHP、PowerShell由文字構成，一般防毒掃描不偵察Script的內容，有關Script掃描系統後，再下載有病毒的執行檔，為檔案進行加密。去年底XRTN就是以Script攻擊的例子。

羅少輝說，勒索已只從釣魚郵件，轉而利用更加先進攻擊方式，包括利用Script，甚至以工具包掃描系統，甚至類似APT，化整為零的方式攻擊。

羅少輝表示：「新的勒索軟件也會將受害人的電腦加入僵屍網絡，向其他電腦發動類似DDOS攻擊。部分的病毒，類似 CryptXXX，甚至找尋BitCoin錢包數據；部分勒索軟件也通過系統漏洞攻擊包；例如Neutrino就曾攻擊通過系統漏洞，攻擊中國內地「愛拍網」。

今年三月，勒索軟件也出現針對Mac OSX系統的攻擊，贖金高達二千六百美元，同期美國多家醫院，亦受到Samsam勒索軟件的攻擊。羅少輝說，部分勒索軟件會刪除用戶備份檔，部分甚至每隔數小時就不斷刪除檔案，以威脅用戶快速繳付贖金。

避免受到勒索軟件的攻擊，除了定期更新防毒軟件，並更新系統，以杜絕安全漏洞。羅少輝說，電子郵件仍是感染的主要途徑，用戶必須謹慎檢視所有Microsoft Office附件；如無法確定其內容，就應立即刪除。如果擁有備份，可以清除感染後恢復備份。

他表示，Symantec的安全產品可從多層加入防護，大大減低企業的感染機會；從禦防、遏制、事故響應等三方面，以減低勒索軟件帶來的損失。