淺談勒索軟件：為甚麼傳統防毒軟件較難應付？

中了 Trojan.Randsom.C 的系統，在開機時會出現一個虛假的安全中心警告訊息，並已鎖定用户的系統；在剛開始時，駭客會以一些虛假的安全資訊欺騙用户，但往後卻直接以各家廠商公佈的漏洞作為內容，直接放到這個虛假的安全訊息中心之內以提高仿真度。

當然最後會要求用户付款，由專家替用户解決問題以解除封鎖，都是與先前提及的差不多，可以說是萬變不離其中。

直接勒索、無需理由

到了 2013 年，網絡上便開始出現大家現時所見到的勒索軟件。這些勒索軟件設計十分精良，例如採用了多變碼配合上使用 Bitcoin 作為付款的方式令人無法追查等，因此很多用户唯有乖乖付款；而如果本身有良好的習慣，懂得每天備份的話，則可以選擇直接回復備份，這樣便可不受勒索軟件的威脅。

採用 Bitcoin 收款，根本沒可能查詢到收發雙方是誰，因此 Bitcoin 在駭客界是十分受歡迎的。

為甚麼防毒軟件未能百分百防禦？

現時防毒軟件很多都是基於傳統的方式進行防護，例如是通過 Sandbox 於虛擬環境之中執行惡意程式，並從中分析其執行的 Log，對比防毒軟件的資料庫，從而判斷出該程式所執行的是否為惡意程式等等。

不過為甚麼這些傳統的防禦方法都不能夠比較準確的對付到勒索軟件呢？其中最主要的原因在於這些勒索軟件在開發時採用了被稱為變化碼(Polymorphic code)的方式進行編程；再加上這些勒索軟件都是用戶親自認可並執行的，因而令部份傳統的防毒軟件較難偵測到。

所謂的變化碼，在惡意軟件的應用之中主要是作為加密與解密之用。（注意這裡指的加密解密並非勒索軟件針對系統進行的檔案加密，而是指惡意代碼的加密與解密），並可分為 6 種不同的演算法，包括有半變、定點變化、垃圾代碼變化、演算法固定但指令卻可變、演算法解密部份隨時變化以及是加密與解密完全自動變化。

前四種的演算法由於始終有部份語法或設計上是不變的，因此傳統的防毒軟件是可通過最傳統，增加病毒特徵碼的方式輕易偵測到，但最後兩種分別是演算法解密部份隨時變化以及是加密與解密完全自動變化這兩種編程方式，傳統的防毒軟件根本不能預防。

原因可能大家都會估計得到，那就是因為最後兩種方式根本沒有固定的語法可以讓防毒軟件作為偵測的一種條件。

勒索軟件主要兩大類別

上述都提及了有關勒索軟件的一些歷史；然而勒索軟件好像有很多款式，究竟它們又是如何區分呢？其實簡單來說可分為兩大類別。

待續……

駭客如何看待勒索軟件？勒索軟件的賺錢大計
勒索軟件的歷史：27 年前贖金已達 1400 元！
為甚麼傳統防毒軟件難以應付勒索軟件？