2024 年 2 月,美國最大醫療支付處理商 Change Healthcare 遭 ALPHV/BlackCat 勒索軟體攻擊,導致全美數千家醫院和藥局的保險理賠系統中斷長達數週,最終支付 2200 萬美元(約 70 億台幣)贖金。2025 年,勒索軟體攻擊的目標從大型企業擴展到中小企業、學校和個人,每次攻擊平均中斷業務 21 天。了解勒索軟體的原理和防護方法,比以往任何時候都更重要。
一、勒索軟體是如何運作的?
勒索軟體的核心技術是對稱加密(通常是 AES-256)與非對稱加密(RSA)的組合,使受害者在沒有金鑰的情況下無法解密檔案:
- 滲透系統:透過釣魚郵件、漏洞利用、RDP 暴力破解或受感染的軟體進入系統
- 橫向移動:在網路中擴散,嘗試感染更多裝置(特別是備份伺服器)
- 加密階段:
- 在本地端生成一個隨機的 AES-256 對稱金鑰
- 用此 AES 金鑰加密受害者所有的目標檔案(速度快)
- 再用攻擊者的 RSA 公鑰加密那把 AES 金鑰
- 攻擊者的 RSA 私鑰只存在於攻擊者手上,受害者無法取得
- 勒索階段:顯示勒索通知,要求以 Monero 或 Bitcoin 支付贖金換取 RSA 私鑰
- 雙重勒索(現代變體):在加密前先竊取資料,威脅若不付款就公開敏感資訊
為什麼這套組合難以破解:AES-256 目前被認為是不可暴力破解的(理論上需要宇宙年齡的時間),而 RSA 金鑰只有攻擊者持有。
二、2024–2026 年重大勒索軟體事件
Change Healthcare 攻擊(2024 年 2 月)
ALPHV/BlackCat 集團攻擊 UnitedHealth 旗下的醫療支付處理商,造成全美醫療系統支付中斷。母公司最終支付 2200 萬美元贖金,卻仍未取得所有資料,事後又遭另一個勒索集團二次勒索。
英國醫院 NHS 攻擊(2024 年 6 月)
Qilin 勒索集團攻擊英國 NHS 合作廠商 Synnovis,導致倫敦多家醫院取消逾 3000 台手術和門診,重要病人資料外洩。NHS 拒絕支付 5000 萬美元贖金。
台灣半導體供應鏈事件
2025 年多起針對台灣科技供應鏈廠商的勒索攻擊,攻擊者透過 IT/OT 網路邊界的漏洞滲透,目標是竊取生產資料後進行雙重勒索,影響多家半導體設備和零件供應商。
三、常見入侵管道
| 入侵管道 | 比例(約) | 典型情境 |
|---|---|---|
| 釣魚郵件 | ~40% | 惡意附件(Office 巨集、PDF)或釣魚連結 |
| 遠端桌面(RDP) | ~25% | RDP 暴露在公開網路且密碼薄弱或被暴力破解 |
| 軟體漏洞 | ~15% | 未修補的 VPN、防火牆或應用程式漏洞 |
| 供應鏈攻擊 | ~10% | 受感染的第三方軟體更新(如 SolarWinds 模式) |
| 憑證竊取 | ~10% | 使用暗網購得的帳號密碼登入企業系統 |
四、3-2-1 備份法則:最有效的防護手段
面對勒索軟體,防護的核心答案只有一個:完善的離線備份。而業界最廣泛採用的備份策略是「3-2-1 法則」:
- 3:保留至少 3 份資料副本(1 份原始 + 2 份備份)
- 2:儲存在至少 2 種不同的媒體(如內接硬碟 + 外接硬碟)
- 1:至少 1 份備份放在異地或離線(不連接網路)
為什麼最後一點至關重要:現代勒索軟體在加密前會主動掃描並刪除網路上的備份。如果你的備份硬碟或 NAS 一直掛載在系統上,備份也會被加密。離線備份(Air-gapped Backup)是唯一能免疫勒索軟體的備份方式。
備份驗證——常被忽略的一步
備份的價值取決於能否成功還原。建議定期(每季至少一次)實際測試還原流程。同時,可以計算重要備份檔案的 Checksum(如 SHA-256),記錄下來,下次驗證時重新計算並比對,確認備份未遭竄改或損毀。
五、企業與個人防護清單
個人使用者
- ✅ 開啟系統自動更新(Windows/macOS/手機)
- ✅ 定期備份重要資料到外接硬碟(用完後拔除)或雲端(啟用版本歷史)
- ✅ 不開啟來歷不明的郵件附件,特別是要求啟用巨集的 Office 文件
- ✅ 使用強密碼並啟用雙因素驗證(2FA)
- ✅ 重要帳號使用獨立密碼(避免撞庫攻擊)
中小企業重點
- ✅ 關閉或限制 RDP 的公開網路存取,或改用 VPN + MFA 保護
- ✅ 實施最小權限原則(Principle of Least Privilege)——每個帳號只有完成工作所需的最低權限
- ✅ 分隔 IT 網路與備份網路(備份伺服器不應可直接從辦公室電腦存取)
- ✅ 定期進行釣魚郵件防範訓練(員工是最常見的入侵入口)
- ✅ 訂閱資安情資服務,及時獲知高風險漏洞的修補資訊
六、遭受攻擊後:不要馬上付贖金
如果不幸遭到勒索軟體攻擊,建議按以下順序處理:
- 立即隔離感染主機:拔除網路線或停用 Wi-Fi,防止勒索軟體繼續橫向擴散
- 保留現場:不要立即格式化,保留加密前的磁碟映像可能有助於未來解密
- 確認勒索軟體種類:前往 nomoreransom.org(No More Ransom 計畫,由 Europol 主導)查詢是否有可用的免費解密工具
- 評估備份:確認離線備份是否完好,以及最後備份的時間點
- 向執法機構通報:台灣可向刑事局 165 反詐騙專線或台灣電腦緊急應變小組(TWCERT/CC)通報
- 謹慎考慮付款:支付贖金不保證取得有效解密金鑰;部分國家對特定集團的付款有法律限制
總結
- 勒索軟體用 AES-256 加密你的檔案,再用攻擊者持有的 RSA 金鑰加密 AES 金鑰,沒有正確私鑰幾乎無法解密
- 釣魚郵件和 RDP 暴力破解是最常見的入侵管道,佔所有案例逾六成
- 3-2-1 備份法則是最有效的防護手段,其中「離線備份」最為關鍵
- 遭攻擊時優先隔離、查詢免費解密工具(nomoreransom.org),再評估是否還原備份
- No More Ransom 計畫已協助全球超過 160 萬人免費解密,節省逾 30 億美元贖金