聯合對抗勒索軟件：提供超過 160,000 個解密匙！新工具助受害者恢復資料

勒索軟件早前我們都有提到，其最可怕之處就是會將受害者的電腦加密，令用户一旦「中招」後，除了付費便幾乎沒有任何解決方法。

不過近日荷蘭警方、歐洲刑警組織、Intel Security 和卡巴斯基實驗室便聯合啟動了一項被稱為拒絕勒索軟件(No More Ransom)的倡議行動。No More Ransom 是一個全新的網站，目的是為公眾提供有關勒索軟件的資訊，協助受害者在無需向網路罪犯支付贖金的前提下，恢復自己被加密的資料。

勒索軟件是一種能夠鎖定受害者電腦、或加密使用者資料的惡意軟件，它們會向受害者要求贖金，從而重新獲取受影響設備的控制權或恢復被加密檔案。對歐盟執法機關來說，勒索軟件是一種頭號威脅。約有三分之二的歐盟成員國正在對這種形式的惡意軟件攻擊進行調查。這種惡意軟件的目標通常是個人使用者設備、同時企業、甚至政府部門的網路同樣遭受影響。受害者的數量正以驚人速度增長：根據卡巴斯基實驗室統計，遭受加密勒索軟件攻擊的使用者數量增長了 550%，從 2014 至 2015 年間的 131,000 名用戶增長到 2015 至 2016 年間的 718,000 名用戶。

NoMoreRansom.org

計劃的網站 www.nomoreransom.org 目的是為勒索軟件受害者整合有用的網上資源。使用者可以通過網站瞭解勒索軟件和其攻擊的原理，更為重要的是可以瞭解如何保護自己。安全意識非常重要，因為目前並非所有勒索軟件都有解密工具。如果被這種惡意軟件感染，受害者很可能永遠丟失資料。而遵循一系列簡單的網路安全建議使用互聯網，有助於從根本上避免被這種惡意軟件感染。

網站同時為用戶提供解密工具，一旦資料被網路罪犯加密，受害者可嘗試利用這些工具解密自己的資料。在初始階段，此網站包含四款針對不同類型惡意軟件的解密工具，當中包括於 2016 年 6 月最新發佈的、開發的針對 Shade 勒索軟件變種的解密軟件。

Shade 勒索軟件

Shade 是一種勒索軟件木馬，最早於 2014 年末出現。這種惡意軟件通過惡意網站和電子郵件附件進行傳播。一旦入侵使用者系統，Shade 惡意軟件會對電腦上的檔案進行加密，並建立包含勒索資訊和指導訊息的 .txt 檔，告知使用者該如何取回檔案。針對每個加密檔，Shade 都使用了高強度解密演算法，並且生成兩個隨機的 AES256 密匙：其中一個用於加密檔案本身，另一個用於加密檔案名稱。

從 2014 年開始，卡巴斯基實驗室和 Intel Security 共攔截了超過 27,000 次 Shade 木馬試圖攻擊用戶的行為。大多數感染都發生在俄羅斯、烏克蘭、德國、匈牙利和哈薩克斯坦。此外，我們還在法國、捷克、義大利和美國發現 Shade 木馬的活動情況。

通過與不同的組織緊密合作和共用資訊，執法機關成功控制了網路罪犯儲存密匙的 Shade C&C 伺服器，並且將發現的密匙和卡巴斯基實驗室及 Intel Security 分享並製成特殊的解密工具。受害者可以從拒絕勒索軟件網站下載工具，恢復資料而無需向網路罪犯支付贖金。

公私合作打擊勒索軟件

No More Ransom 是一項非商業倡議行動，目的是讓公共機構和私營機構合作。由於勒索軟件在不斷變化，網路罪犯會定期開發最新的惡意軟件變種，所以此計劃隨時向新的合作夥伴加盟敞開大門。

卡巴斯基實驗室全球研究和分析團隊安全研究員Jornt van der Wiel 指：「加密勒索軟件目前所帶來的最大問題是一旦使用者珍貴的資料被鎖定，使用者會很爽快地向網路罪犯支付贖金，以找回檔案。這種做法加速了這種地下產業的發展，導致從事勒索軟件業務的網路罪犯數量增多，攻擊數量也增多。只有齊心協力打擊勒索軟件，這種情況才會有所轉變。而解密工具的出現，正是我們前進道路上的第一步。我們希望這一項目能夠持續拓展，吸引全球更多國家和地區的公司和執法機關加入，共同對抗勒索軟件。」

報告勒索軟件受害情況

將勒索軟件資訊上報給執法機關非常重要，因為這樣做有助於執法機關更清晰地瞭解威脅整體情況，採取更有效的措施對抗這些威脅。No More Ransom 網站為受害者提供了報告網路犯罪的機會，直接向歐洲刑警組織的網路犯罪報告機制相連。

如果你成為了勒索軟件的受害者，我們建議你不要支付贖金。一旦你支付贖金，就相當於支援了網路犯罪的業務。此外，即使你支付了贖金，也不能保證一定能夠恢復被加密的資料。