姜朝鳳宗族

監委認維護學術網路資安有「五大問題」 促教育部檢討 【資安日報】2022年12月19日，連網裝置成MCCrash殭屍網路病毒入侵的目標、駭客鎖定食品業者發動BEC攻擊 | iThome
監委認維護學術網路資安有「五大問題」 促教育部檢討 - 政治 - 自由時報電子報 https://bit.ly/4agr85v
2024/03/14 12:35
〔記者楊丞彧／台北報導〕基隆市教網中心2022年12月發生殭屍網路病毒資安事件，監察委員賴鼎銘、王麗珍、葉宜津調查後指出，基隆市該次殭屍網路事件應於在時限內以適當事件等級通報，惟不僅延宕通報時間，又低估事件等級，復未向上申請支援，導致事件衝擊時間拉長及無法進行溯源鑑識，確有違失。監委另指出，不少資訊組長由體育及語文等專長教師兼任，基層存在「五大問題」。學術網路資安實有「末端麻痺」之虞，主管機關教育部責無旁貸，應該檢討改進。
基隆市教網中心2022年12月發生殭屍網路病毒資安事件，監察委員賴鼎銘、王麗珍、葉宜津申請自動調查，並進一步針對國中小資安管理通盤檢討。監察院教育及文化委員會、交通及採購委員會聯席會議今（14）日審查通過調查報告，明確指出基隆市政府教育局在事件通報、復原及根因查明方面均有疏失；教育部則未正視資訊及資安業務之困境，要求教育部及相關單位強化相關配套。
賴鼎銘、王麗珍、葉宜津今發布新聞稿指出，基隆市本次殭屍網路事件造成防火牆瀕於崩潰，嚴重影響該市教育網路及教學活動，應依「資通安全事件通報及應變辦法」在時限內以適當事件等級通報；惟基隆市教網中心不僅延宕通報時間，又低估事件等級，復未向上申請支援，導致事件衝擊時間拉長及無法進行溯源鑑識，確有違失；而TACERT（台灣學術網路危機處理中心）未善盡審核職責，亦有檢討空間。
監委進一步說明，本案經訪談全國56名國中小基層資訊組長，發現不少資訊組長由體育及語文等專長教師兼任，不僅在專業背景及後天教育訓練方面尚待提升，更亟需縮短城鄉資源差距。
調查委員歸納發現，基層存在課程減授嚴重不平等、缺乏資安事件高發時期支援機制、事件通報與教學不能兼顧、專業匱乏及職務混淆等五大問題。例如，有教師反映18堂課之外還要負責網管，或是管理設備數量上千台等等，再再凸顯基層教師僅處理日常排查及維護即已分身乏術，遑論處理資安事件，顯見學術網路資安實有「末端麻痺」之虞，主管機關教育部責無旁貸，應該檢討改進。
調查委員最後補充，資安事件的管理和應處不僅止於事態控制，更應注重深入的根因分析及持續改進，避免風險持續未受控管。但在基隆市個案方面，迄今未能查明殭屍網路的感染方式及橫向移動途徑等技術手法，將難以防堵類似事件再次發生。
此外，調查委員指出，基隆市府教網中心及各校雖有辦理第二或第三方資安稽核及驗證，但監院調查發現相關稽核發現絕大多數都與殭屍網路風險無關，顯見資安稽核並未發揮應有功效。因此，教育部應與資安署合作研謀改善措施，以符合「資安是不斷精進的風險管理」之精神。
監委認維護學術網路資安有「五大問題」 促教育部檢討 - 政治 - 自由時報電子報 https://bit.ly/4agr85v

基隆教網中心遭殭屍網路攻擊延宕通報 監院促檢討 | 政治 | 中央社 CNA

【公告】因近期發生大量網路攻擊事件，將擴大設備封鎖範圍，敬請配合。
基隆市政府教育處－處務公告－ 【公告】因近期發生大量網路攻擊事件，將擴大設備封鎖範圍，敬請配合。 https://bit.ly/3T8O6EE
事由：因近期發生大量網路攻擊事件，嚴重影響本市教育網路及學術網路正常服務。為維護其他使用者正常使用之權益，自111年12月29日19:00起，基隆市教網中心將擴大設備自動封鎖範圍，遭到封鎖之IP將無法進行上網，並且不會自動解鎖(包含DWC 200、DSA 6100等IP分享設備)；請下轄學校資訊組長於確保受感染裝置恢復正常後，來電教網中心解鎖，敬請配合。
基隆市政府教育處－處務公告－ 【公告】因近期發生大量網路攻擊事件，將擴大設備封鎖範圍，敬請配合。 https://bit.ly/3T8O6EE
依中華民國112年1月16日基府教學貳字第1120202464號函續辦。
本次殭屍網路攻擊事件說明如下：
一、本次殭屍網路攻擊，有別於過往由外部受感染裝置大量對內部網路攻擊之方式，而是由內部受感染裝置對外部問題IP進行連線接受攻擊指令後，於短時間內發送大量異常連線封包對外部IP發動攻擊，導致教育網路中心防火牆無法負荷所致；此次攻擊事件初步經由內部連線IP封鎖管理後，教育網路中心主要連線服務及防火牆功能即恢復正常，並通知轄下學校清除受感染之裝置。
二、部分轄下學校反映其連線裝置未有存取不當網頁內容，應屬遭誤判封鎖一事，實屬誤解。不當網頁阻擋為針對有內容疑慮之外部網站進行封鎖，並非封鎖內部IP；本次防火牆封鎖管理，為防火牆自動偵測受感染之裝置對外部問題IP進行連線時，對內部受感染裝置IP進行自動封鎖一事顯有不同，併此敘明。
三、另有部分轄下學校反映IP遭封鎖後致學校無線網路無法連線之情形，應屬學校於校內自行架設無線AP，而該AP所使用之IP遭到封鎖後所致。目前市立學校新規劃之AP架構，每個裝置連線會採用獨立IP進行連線，若其中有單一裝置受到感染，僅會針對該裝置IP進行封鎖；而校內自行架設之無線AP採所有連線裝置共用單一IP進行連線，故該共用IP若遭到封鎖，則相關連線裝置均無法使用；若貴校無自行架設未經授權AP，則不受影響。
四、本次事件經由IP封鎖管理與轄下學校努力清除受感染裝置並解除封鎖後，攻擊情況已明顯緩和。
(市網中心資安組長許愈綸112/3/15)
基隆市建德國中 | 最新消息 https://bit.ly/3x1mABn
--------------------------------------
監委認維護學術網路資安有「五大問題」 促教育部檢討
監委認維護學術網路資安有「五大問題」 促教育部檢討 - 政治 - 自由時報電子報 https://bit.ly/4agr85v
2024/03/14 12:35
〔記者楊丞彧／台北報導〕基隆市教網中心2022年12月發生殭屍網路病毒資安事件，監察委員賴鼎銘、王麗珍、葉宜津調查後指出，基隆市該次殭屍網路事件應於在時限內以適當事件等級通報，惟不僅延宕通報時間，又低估事件等級，復未向上申請支援，導致事件衝擊時間拉長及無法進行溯源鑑識，確有違失。監委另指出，不少資訊組長由體育及語文等專長教師兼任，基層存在「五大問題」。學術網路資安實有「末端麻痺」之虞，主管機關教育部責無旁貸，應該檢討改進。
基隆市教網中心2022年12月發生殭屍網路病毒資安事件，監察委員賴鼎銘、王麗珍、葉宜津申請自動調查，並進一步針對國中小資安管理通盤檢討。監察院教育及文化委員會、交通及採購委員會聯席會議今（14）日審查通過調查報告，明確指出基隆市政府教育局在事件通報、復原及根因查明方面均有疏失；教育部則未正視資訊及資安業務之困境，要求教育部及相關單位強化相關配套。
賴鼎銘、王麗珍、葉宜津今發布新聞稿指出，基隆市本次殭屍網路事件造成防火牆瀕於崩潰，嚴重影響該市教育網路及教學活動，應依「資通安全事件通報及應變辦法」在時限內以適當事件等級通報；惟基隆市教網中心不僅延宕通報時間，又低估事件等級，復未向上申請支援，導致事件衝擊時間拉長及無法進行溯源鑑識，確有違失；而TACERT（台灣學術網路危機處理中心）未善盡審核職責，亦有檢討空間。
監委進一步說明，本案經訪談全國56名國中小基層資訊組長，發現不少資訊組長由體育及語文等專長教師兼任，不僅在專業背景及後天教育訓練方面尚待提升，更亟需縮短城鄉資源差距。
調查委員歸納發現，基層存在課程減授嚴重不平等、缺乏資安事件高發時期支援機制、事件通報與教學不能兼顧、專業匱乏及職務混淆等五大問題。例如，有教師反映18堂課之外還要負責網管，或是管理設備數量上千台等等，再再凸顯基層教師僅處理日常排查及維護即已分身乏術，遑論處理資安事件，顯見學術網路資安實有「末端麻痺」之虞，主管機關教育部責無旁貸，應該檢討改進。
調查委員最後補充，資安事件的管理和應處不僅止於事態控制，更應注重深入的根因分析及持續改進，避免風險持續未受控管。但在基隆市個案方面，迄今未能查明殭屍網路的感染方式及橫向移動途徑等技術手法，將難以防堵類似事件再次發生。
此外，調查委員指出，基隆市府教網中心及各校雖有辦理第二或第三方資安稽核及驗證，但監院調查發現相關稽核發現絕大多數都與殭屍網路風險無關，顯見資安稽核並未發揮應有功效。因此，教育部應與資安署合作研謀改善措施，以符合「資安是不斷精進的風險管理」之精神。
監委認維護學術網路資安有「五大問題」 促教育部檢討 - 政治 - 自由時報電子報 https://bit.ly/4agr85v
---------------------
殭屍網路是什麼？原理與種類詳細介紹，關鍵4招預防攻擊
殭屍網路是什麼？原理與種類詳細介紹，關鍵4招預防攻擊 https://bit.ly/3IDI9uo
用殭屍網路發動DDoS攻擊輕而易舉，傳垃圾訊息、竊取資料、癱瘓服務等造成巨大損失。防守遠遠不夠，告訴你善用CDN Log與告警機制有多重要！
什麼是殭屍網路？誰都可能是受害者
殭屍網路（Botnet）是指眾多連接網路的設備，受到駭客、電腦病毒或是木馬程式入侵，使惡意人士可以以C&C（Command & Control）的方式遠端控制大量受到入侵的設備，進而構成「殭屍網路」（Botnet），發動惡意攻擊。
由於殭屍網路影響的設備並不只局限於可以連接網路的電腦，甚至包含了智慧型手機、家庭路由器、網路監視攝影機等。並且隨著物聯（IOT, Internet of Thing）日益興盛，大量可以連接網路的設備也隨之增加，除降低了殭屍網路建構的難度外，也提高了一般使用者的設備被殭屍網路感染的風險。
恐怖的殭屍網路，被感染將毫無察覺！
「Botnet」會被翻譯為「殭屍網路」也與其特性有關。一般使用者其實難以察覺自己的設備受到感染，因為它並不像傳統的電腦病毒或勒索軟體，讓人感受到電腦有明顯異常，或是檔案無法開啟等，受到感染的裝置可以繼續正常運作，系統的執行速度也不會受到太多影響，因此，受到感染的裝置就像個殭屍一樣，外面看起來無異狀，但其實早已經受到感染，任由駭客擺佈。
⬛延伸閱讀：網站趨勢！滿足速度、資安、一站式管理的 CDN 架構如何運作？
殭屍網路不只能發動多種攻擊，甚至能挖礦！
由於駭客控制受感染的裝置後可以進行的惡意攻擊不勝枚舉，並且隨著時間進步也迭代更新出各種不同的使用方法，從簡單的傳送大量機器人電子郵件，到近期進行比特幣的挖礦，都可以做到，當然也有駭客會利用惡意攻擊來獲取特定的利益。
分散式阻斷服務攻擊（DDoS）
大部分的殭屍網路都具有可以執行DDoS任務的能力，大量受到感染的裝置向被攻擊的目標傳送海量的請求，使其因收到過多的請求導致服務過載，無法回應正常的請求。同時，這些攻擊也會佔用服務的大量頻寬，若佔滿頻寬也會使被攻擊的目標產生「回應無法正常傳送」的情況。
⬛ 網站必看關鍵指標、攻擊分析懶人包：掌握10項專業級監控報表 ╳ 學習流量分析方法！
大量傳送垃圾訊息
大量散播訊息可以作為一種服務，讓有心人士以金錢購買此服務來大量傳遞想要散播的訊息。另外，殭屍網路自身也可能透過傳送大量釣魚郵件，誘使使用者開啟附加檔案，增加受到感染的裝置。
竊取資料
駭客可以透過殭屍網路竊取受到感染裝置的各類敏感訊息，包含您所使用的帳號密碼、信用卡資訊、受感染裝置上儲存的資料等，都有可能是被竊取的目標。
殭屍網路挖礦
過去曾經出現過一個名為ZeroAccess的殭屍網路，主要利用受到感染的裝置，執行比特幣挖掘及其他的惡意任務進行獲利，據研究人員估計，其規模龐大到每年足以獲利數千萬美元。
⬛ 延伸閱讀：WAF是什麼(Web Application Firewall)？傳統防火牆不管用了？
殭屍網路與DDos攻擊及關鍵事件
殭屍網路與DDoS的關係可以說是密不可分，殭屍網路一次可以控制多台設備的特性與DDoS本身的攻擊原理本身不謀而合。
Mirai Botnet
2016年Mirai botnet 開始受到世人關注。知名網路安全專家Brian Krebs 的網站遭到Mirai Botnet進行超過620Gbps的DDoS攻擊，自2012起Brian Krebs都會記錄網站受到的攻擊，而此次的攻擊量是以往的攻擊的三倍。
法國知名伺服器代管商OVH也公布一起針對其客戶的Mirai Botnet的DDoS攻擊事件，估計同時有超過145,000個裝置發起攻擊，並且產生高達每秒1.1Tbps的攻擊，並且持續了大約7天。
DNS服務提供商Dyn受到了1.5Tbps的攻擊，使得許多大型知名網站都無法開啟，包含Airbnb、GitHub、HBO、 Netflix、Twitter、PayPal以及Reddit等。
從以上案例可得知殭屍網路在DDoS方面的規模與力道是不容忽視的，並且在作者開放原始碼後，任何稍具能力的人都可以建立自己的殭屍網路，並且輕鬆地執行DDoS任務。
⬛延伸閱讀：境外網站進軍中國該使用中國CDN嗎？
如何預防受到殭屍網路感染？
相信沒有人希望自己的裝置成為殭屍網路的一員，以下告訴你如何避免裝置受到感染：
1.不使用預設密碼、並且使用高強度的密碼
預設密碼或是過於簡單的密碼在面對入侵時形同虛設，因為惡意軟體常常使用預設密碼與常見密碼來進行暴力破解，使用高強度的密碼，可以提升自身裝置的安全性。
2.即時套用系統與韌體更新
有時候裝置的更新並不一定是有新的功能，而是針對一些發現的漏洞進行修正與預防。即時套用可以保護您的裝置受到有心人士利用裝置的漏洞進行攻擊。
3.避免接觸來源不明的網頁、軟體
不明的釣魚網站與免費的盜版軟體都有可能潛藏風險，為了使自己的電腦不受到侵害，使用者也必須注意，讓自身有安全使用裝置的習慣。
⬛ SOC託管：24/7技術支援，真人回覆；事件分析、威脅監控，攻擊無機可趁
殭屍網路
如何預防殭屍網路攻擊？
殭屍網路演變至今已經是個難以遏止的生態，縱使我們可以使自己的裝置不受到感染，也不一定能夠避免自己架設的網站或伺服器不受到殭屍網路的群起圍攻。 有方法可以預防殭屍網路的攻擊嗎？以下這邊提供一些建議：
確認防火牆的配置，並且檢查是否有不應開啟起的網路服務與通訊埠。
檢查防禦系統是否將系統與韌體更新，並且確認攻擊識別的資料庫等是否都是最新版本。
定期檢視網路設備是否有異常活動。
確保網路防禦機制可以正常運作，並且考慮若無法是否需要添購可以用於緩解攻擊的設備，或是使用第三方的服務進行DDoS緩解。
⬛ 延伸閱讀：這篇就夠！DDoS是什麼意思？有哪些類型？OSI對照！完全解析
善用CDN的Log與告警機制，主動式防禦DDoS攻擊
DDoS攻擊已越趨普遍且防不勝防，這也是越來越多的網站採用防禦型CDN服務的主要原因，一舉了解決網站加速與網路攻擊問題。但DDoS防禦可不只清洗中心與WAF這兩個明星而已，許多網站資安人員可能沒發現，Log與告警機制也是預防DDoS攻擊不可或缺的利器。
完整Log事件紀錄，每項資訊都重要
在事件查詢（Log）當中您可以查看到每一個訪問的完整資訊，包含了域名、URI、IP、國家、觸發規則、http code、請求表頭、請求耗時、源站耗時等等。
Http code、請求耗時與源站耗時以及Upstream status可以協助您判斷目前用戶的訪問是否正常，以及源站的回應是否正常。而透過訪問的IP與表頭是否存在異常，再輔以監控面板的外部訪問做觀察，則可以查看目前是否有異常的訪問量。
詳盡的請求資訊與專業資安人員的分析技術，可以幫助您更全面的了解攻擊發生的情況，並能事先預防。
⬛ 延伸閱讀：WAF防火牆全攻略！攻擊型態破解、防禦邏輯與佈署策略解析
使用進階搜尋，分析異常流量
在事件查詢（Log）當中，您可以使用進階搜尋（Filter）功能找出想查看的資訊，例如，符合某些條件時，訪問的域名、URI、客戶端 IP及表頭等等的相關資訊。
例如：部分異常訪問會在表頭當中缺少一些常見的表頭，例如：accept-encoding、accept-language、user-agent。這些表頭在一般正常的瀏覽器訪問的情況下，都會帶有的Request header，若有大量異常的訪問時，訪問並不會帶有這些表頭，或是表頭的內容有異常，此時，您可以考慮設置WAF規則進行阻擋。
另外您也可以從來訪的IP國家查看是否有異常的攻擊，若您的來訪用戶大部分都是來自亞洲地區，但是異常流量卻來自於歐美國家，也可以考慮針對該國家進行限制訪問。
運用告警機制，Layer 7 攻擊即時阻攔
當您在使用ApeiroCDN時，您可以藉由告警配置，來掌握Layer 7的攻擊情況。
ApeiroCDN可設定訪問頻率發出警告，阻擋殭屍網路發動的攻擊。
以此圖為例，我們可以設置一個當域名10分鐘內有超過1000次訪問便會觸發的告警，若有域名受到大量惡意訪問達到閾值時，告警觸發後便會通知您。
而在接收到告警通知後，您可以透過監控面板以及事件概覽（log）查看攻擊的趨勢，以及是否有異常的Log，再針對攻擊設置WAF規則阻擋攻擊。
可以透過監控面板的部分搜尋受到惡意攻擊的域名，並且查看此域名的訪問量、source IP、http code等等的細部資訊。若需要查看更詳細的訪問紀錄，您可以使用事件概覽（log）的功能，來查看每一筆訪問的詳細資訊與請求表頭，以掌握攻擊者的攻擊模式。
⬛延伸閱讀：CDN躍上網站資安主流：選擇CDN廠商必問的4個技術問題！
ApeiroCDN管理平台可見外部請求趨勢，異常流量立即辨識。
ApeiroCDN管理平台可見外部請求趨勢，異常流量立即辨識。
ApeiroCDN管理平台可見域名請求數、來源IP、Http狀態碼回應次數等趨勢分析，幫助判斷是否遭受攻擊。
ApeiroCDN管理平台可見域名請求數、來源IP、Http狀態碼回應次數等趨勢分析，幫助判斷是否遭受攻擊。
ApeiroCDN管理平台可查看每一筆請求的完整資訊，擋下多少殭屍網路攻擊都看的到。
ApeiroCDN管理平台可查看每一筆請求的完整資訊，擋下多少殭屍網路攻擊都看的到。
DDoS的攻擊往往變化多端且不容易預測攻擊時間，因此提前設置異常流量的告警對於用戶是非常重要的，唯有在第一時間查看到異常流量上升，並且迅速應對進行阻擋，才能夠確保一般用戶永遠都有最佳的使用體驗。殭屍網路是什麼？原理與種類詳細介紹，關鍵4招預防攻擊 https://bit.ly/3IDI9uo

銀行家觀點〉勒索軟體撼動了整個資安保險模型
2023/10/04 08:00
〈銀行家觀點〉勒索軟體撼動了整個資安保險模型 - 自由財經 https://bit.ly/3tldGNt
勒索軟體撼動了整個資安保險模型。（示意圖，路透）
保險業之所以會出現死亡螺旋，就是因為經濟誘因開始主導風險估計方式。保險可以一邊提高整體資安標準，一邊讓企業自己注意風險，保險一旦崩潰只會帶來更大的資安危機。
2017年左右，許多人非常擔心幾年前隨「歐巴馬健保」（Affordable Care Act，《平價醫療法案》）而起的健保市場即將落入「死亡螺旋」。該法案禁止保險公司根據既有病史資料，拒絕最昂貴的保單。這項規定結合高度的政治風險，使得醫療保險吃力不討好，目前不知道還有多少保險公司會繼續提供此類保單。
保險業之所以會出現死亡螺旋，就是因為經濟誘因開始主導風險估計方式。當保費上漲、承保條件限縮，風險較低的客戶就會退出市場，只有風險較高的客戶繼續留著。而這會讓保險公司的支出逐漸增加，於是它們只好提高保費，但這只會加劇惡性循環，使得安全的客戶越來越少，最後保險市場只好關門大吉。
歐巴馬健保的動盪最後穩定了下來，但目前的資安保險市場似乎落入類似困境。這類保單的價格暴漲，理賠範圍卻正在縮小，勒索軟體、「戰爭行為」（只要駭客有拿國家的錢就算），還有許多高度相關的威脅，全都不再理賠。此外，申請理賠的過程耗時越來越長，即使滿足某些先決條件，通常也需要半年的時間；因為資安維護程序不當而被拒絕理賠的比例也越來越高。
這些問題中有一些是無法避免的，因為網路資安風險涉及全球，建立財務模型本來就相當困難。保險可以一邊提高整體資安標準，一邊讓企業自己注意風險，保險一旦崩潰只會帶來更大的資安危機。但保險業該怎麼準確評估風險，卻是個大難題。
形式必須符合功能
在某種意義上，保險業的上述變化，並非道德風險帶來的危機，反而可能促進該行業的健康發展。保險公司為了避免風險，本身會再保險（Re-insurer），把保單分給其他公司負責。當再保險的比例越來越高，最初的保險公司就變成了中盤商，而非真正承擔風險的人。但承接再保險的公司，也會因為看不到通常用來計算風險的統計資料，而變得越來越謹慎。
當第一層的保險公司發現風險太大、太抽象，無法完全掌握時，就會使用再保險。保險公司Verisk財產請求服務主管Tom Johansmeyer在《哈佛商業評論》（Harvard Business Review）的文章中表示，用保險聯結型證券（Insurance Linked Securities, ILS）來轉分保單，便可改善保險市場問題。
資安也一樣。程式碼從上到下分為很多不同層次，維安的方式也應該要層層拆分。很多時候我們必須根據要達成什麼功能，來決定要採取什麼形式。
在這方面，某些客戶難以買到保單，其實反而證實了激勵機制正常發揮作用。資安的風險難以量化，但依然有跡可循。研究顧問公司Forrester Research最近發現，有投保資安險的公司，通常比沒有投保的更安全。這表示保險公司確實讓客戶注重資安，降低了買保險的道德風險與選擇偏差。也就是說，保險公司拒絕了某些不負責任的客戶。也許我們應該把保險當成一種身份象徵，而非一種權利，每個人在尋求外部協助之前，都應該做好基本的資安維護。
受害人變成加害人
以前我們都假設，購買保單的顧客與保險公司的利益站在同一邊，而且遊戲規則相當公平。顧客如果看守不嚴，被入侵之後受到的損失，會遠遠超過賠償金的上限。因此雙方都沒有動機去濫用規則。但勒索軟體蓬勃發展大幅改變了誘因結構，讓道德風險主導了市場，如今賠償金已經不只是保險公司要支出的成本，而是對犯罪行為的補貼。
這表示建立風險模型的困難一直都沒有解決。我們在模擬複雜現象的時候，都希望自己打造的模型不會改變它所代表的現實。但如果要預估的事件相當罕見，激勵機制的影響就會過大。統計學告訴我們，樣本量小的時候很難推導出先驗機率。只要你賭的次數不夠多，就不可能知道賭局是否公平。
而死亡螺旋就是這樣發生的。勒索軟體成功入侵之後，公司通常會請專業顧問來談判贖金，保險市場就是因此受到影響。談判時，雙方必須建立信任。兇手必須向受害者保證，只要拿到贖金就會歸還資料的存取權。照理來說，背信的兇手日後會拿不到贖金，但很多人繼續背信。
更令人驚訝的是，受害者如果跟兇手打好關係，反而可以降低傷害。資安公司MindSense的創始人Kurtis Minder指出，稱讚對方的攻擊技術高超，會讓兇手覺得你至少懂一點資安，跟他們有共通語言，因而降低開出的贖金價格。
而當市場力量充分發揮，受害者就能自由選擇，要交保費給保險公司，還是跟兇手達成共同利益。這大幅增加了投保的道德風險，兇手在使用勒索軟體時，通常會用駭客偷出來的資料，事先調查攻擊目標交付贖金的能力。所以從客戶的角度來看，無論是要避免自己受到攻擊，還是為了防止大家的保費最後落到兇手口袋，最好的選擇都是不要保險。
資安的本質是什麼
勒索病毒服務（Ransomware-as-a-Service, RaaS）把事情搞得更糟。這個名詞的出現，代表資安漏洞的增加已經在暗網撐起了一個犯罪市場，攻破漏洞的人和利用金融方式獲利的人已經成為了商業夥伴關係。不過諷刺的是，勒索軟體的市場化（因加密貨幣的出現而更快發生）反而使風險更容易建模。當然扭曲的誘因依然存在，保險公司即使靠著模型準確算出風險，也無法依此訂出有效的保單價格。我們只是更確定被攻擊的風險多高，但完全無法降低風險。
所以到底哪種觀點才對？到底是因為保險沒有跟著資安畫出層次，還是打從一開始就不該推出資安保險？答案取決於資安的概念到底是什麼。
電腦病毒最早來自生物學，作者只是想寫出一種可以自我複製的程式碼。病毒是道德中立的，某些生物病毒不會影響宿主，某些甚至有益。宿主與病毒的演化是大自然的正常現象。許多早期的「社運駭客」也相信他們偷出的資料可以引發物理世界的政治變革，或者事先找出系統的漏洞及時加以防範，讓世界變得更好。
此外，有些物理世界的跨國犯罪會偶爾使用到線上工具，但我們不該為了避免被這種無法預期的犯罪所牽連而投保，這既不道德也不實際。但這也表示法律必須能夠識別哪些人是真正的罪犯，哪些是被牽連的路人。無論如何，法律不該懲罰支付贖金的行為，這會動搖法治制度，而且讓人無法拯救企業，甚至生命。再說若要降低勒索軟體的威脅，就需要相關威脅的最新資訊，如果執法機關與民間的關係逐漸對立，它們勢必更難獲得這些資訊。
要如何保障資料安全，減少駭客入侵？決定的關鍵可能在於我們要根據不同層次的目標分別設計保險，還是妥善引導經濟誘因。
（本文摘自2023年10月份《台灣銀行家》月刊，本文作者為台灣金融研訓院特聘外籍研究員，撰文：David Stinson孫維德；譯者為劉維人）〈銀行家觀點〉勒索軟體撼動了整個資安保險模型 - 自由財經 https://bit.ly/3tldGNt

台新金、調查局簽訂資安聯防MOU
2022/11/02 05:30
金融業首家》台新金、調查局簽訂資安聯防MOU - 自由財經 https://bit.ly/3Uk956d
台新金與調查局簽訂資安聯防合作備忘錄，台新金董事長吳東亮（右四）親自出席表示支持；簽約儀式由法務部調查局局長王俊力（左四）與台新金控總經理林維俊（右三）代表簽署。（台新金提供）
〔記者高嘉和／台北報導〕台新金與法務部調查局昨舉行數位金融聯防合作備忘錄（MOU）簽訂儀式，台新金控董事長吳東亮與法務部調查局局長王俊力親自出席宣誓合作；台新金是首家與調查局簽訂資安聯防備忘錄的金融機構，未來將相互分享資安情資進而強化防禦，其次是台新金若遇資安事件時，調查局可提供溯源查處及防護建議，雙方合作將提高對金融用戶有關保障。
台新金總經理林維俊表示，此次合作長期而言可保護客戶資產，善盡企業社會責任並確實貫徹公平待客及保護資產的目標，也是積極響應政府政策；台新金未來將與調查局以資安聯防為起點，擴大至洗錢防制、法令遵循等，發展多方信任夥伴關係，守護客戶金融資產。
王俊力指出，資安即國安，近年資通安全已成為國家安全層級之議題，調查局與民間金控共同建立資安聯防體系，將有效暢通公私部門協防應變管道，提升國家資安防護能量。
林維俊說，數位金融環境下，犯罪及洗錢與資安攻擊手法不斷變化，台新金未來除了持續精進內稽內控機制、深化法遵和風險管理企業文化，在各子公司間進行資安聯防，亦不斷積極與第二方及第三方建立聯防夥伴，提升整體組織韌性，守護客戶資產。
台新金已是金融資安資訊分享與分析中心（F-ISAC）會員，本次更透過與調查局簽訂合作備忘錄，宣示台新金守護數位金融環境之決心，期望透過雙方情資交流與合作，促使台新金因應數位金融犯罪之相關策略更加與時俱進。
金融業首家》台新金、調查局簽訂資安聯防MOU - 自由財經 https://bit.ly/3Uk956d

從竹科七家半導體廠遭駭 到七家金融業者遭攻擊！ 中國駭客全新手法 為何一般資安軟體難抓出？
從竹科七家半導體廠遭駭 到七家金融業者遭攻擊！ 中國駭客全新手法 為何一般資安軟體難抓出？ https://bit.ly/3JMB3SU
2022年2月21日 週一 下午5:33·4 分鐘 (閱讀時間)
中國對台威脅不只在軍事上，在攸關民生經濟的資安威脅也居高不下。繼先前被發現攻擊了至少七家竹科半導體廠後，2021年底中國駭客又攻擊了至少七家國內金融業者，以證券商及期貨商為主。
值得注意的是，國內資安業者奧義智慧科技發現，這次七家金融業者遭駭是知名的中國國家級駭客組織 APT10所為，而且在去年11月底首次攻擊後，又在今年2月10~13日發動第二波攻擊，也就是一個多星期前。
不僅如此，APT10這次的攻擊手法為國內首見，一般資安軟體難以察覺，因此影響範圍與程度皆十分嚴重。
奧義智慧指出，中國駭客對台灣金融單位的網路攻擊，遠比最初發現的更嚴峻，且很可能並非個別案件，而是持續發揮影響的組織性長期行動，背後風險絕不容小覷。
金融業者兩度遭攻擊 都來自中國國家級駭客組織 APT10
國內多家證券商及期貨商去年11月底陸續傳出遭駭客入侵，金管會12月中表示，通報受害的證券商有六家、期貨商一家，駭客多是以密碼撞庫攻擊，使得後台系統「被下單」買進港股。
金管會12月已要求台灣證交所與期交所強化多項措施，以保護投資人權益。
奧義智慧今（21）日發布聲明表示，國內金融業者去年11月遭攻擊後，奧義智慧參與後續處理時，意外監控到第二波駭客入侵行為。經深入調查發現，第二波行動高峰期是在今年2月10~13日，攻擊者來源IP位於香港、使用了名為QuasarRAT的後門程式。
奧義綜合了分析啟動方式、保護機制與C2中繼站等多項情資後研判，這與去年底金融資安事件是相同攻擊者的一系列活動，並可歸因於知名的中國國家級駭客組織 APT10，主要目的是竊取我國金融單位的內部資料。
「發生漏洞的金融軟體，在國內主要金融機構有高市佔率」
奧義智慧說明，這起網路攻擊疑似利用了特定金融軟體系統的網站服務漏洞，是針對金融機構的供應鏈攻擊。駭客首先透過漏洞、取得主機控制權，進而大範圍植入DotNet Webshell與後門程式，藉此竊取受駭單位的資料。
調查也發現，此駭客的攻擊手法可達成無惡意模組落地的效果，藉以掩藏入侵行蹤、降低被防毒軟體偵測到的機率。
由於發生漏洞的金融軟體系統，是在國內主要證券商、基金平台等金融機構有高市佔率的產品，預期可能受波及的範圍十分廣泛。
奧義智慧共同創辦人邱銘彰表示，本次攻擊利用的工具與供應鏈滲透手法爲國內首見，一般資安軟體難以察覺，因此影響範圍與程度皆十分嚴重。
他強烈建議，國內所有金融機構應嚴加防範、修補漏洞、清除可能存在的後門及木馬，並尋求專業資安業者的協助，徹底檢視單位資安防禦措施，以防止清除不夠徹底導致災害再度擴散。
中國駭客攻擊範圍 「幾乎是整個台灣半導體產業」
其實在2020年8月，奧義智慧科技就公開發表過一項為期兩年的調查結果，發現中國不僅在檯面上重金挖角台灣半導體人才，暗地裡也持續以多批駭客入侵竹科半導體業者，兩年多來至少侵入七家相關廠商（及其子公司），從台廠的晶片設計、軟體開發工具到原始程式碼都想偷，但奧義並未透露受害廠商有誰。
邱銘彰認為，台灣經濟仰賴科技業，駭客入侵竹科半導體大廠「不只造成社會動盪，國家安全都受到危害」。
奧義智慧研究員Chad Duffy則提到，中國駭客這麼做可能只是要增強自家半導體業者的實力，「這是要搞垮台灣經濟的一部分，要傷害台灣的長期實力」。
「你看看這個攻擊的廣度，幾乎是整個（台灣半導體）產業，從供應鏈上游到下游都是，如果中國掌握了所有的（台灣半導體業）智慧財產，他們的力量會更強」。
從竹科七家半導體廠遭駭 到七家金融業者遭攻擊！ 中國駭客全新手法 為何一般資安軟體難抓出？ https://bit.ly/3JMB3SU

美國國務院祭出1000萬美元的獎金，徵求提供線索，反制勒索病毒攻擊美國。（法新社）
打擊勒索病毒攻擊！美國務院祭2.8億獎金 徵線索指認駭客 - 國際 - 自由時報電子報 https://bit.ly/3rbWyoh
2021/07/16 06:18Stop Ransomware | CISA https://bit.ly/3z6NKT9
〔即時新聞／綜合報導〕美國近年飽受駭客攻擊威脅，美國國務院15日說，將祭出高達1000萬美元（約新台幣2.8億元）的獎金，鼓勵民眾提供線索，以指認、揪出出曾參與國外政府批准、以勒索病毒攻擊美國等網路惡意行動的人。
綜合外媒報導，這筆獎金來自國務院「正義的獎賞（Rewards for Justice）」計畫，國務院在1份聲明中指出，將在暗網設立告密機制，以保護識別出網路攻擊者或攻擊者位置的消息來源。
白宮日前也已成立勒索病毒應對工作小組。一名美國高級官員說，拜登政府還推出名為「Stop Ransomware」的網站，提供民眾應對網路威脅的公共資源，也藉著民眾加入，擴大反擊網，同時更具反制彈性。
此外，在另一項行動中，美國財政部的金融犯罪執法網路（Financial Crimes Enforcement Network）將與銀行、科技公司和其他機構合作，共同打擊加密貨幣洗錢，並且更快速地追蹤在虛擬貨幣支付中的勒索病毒。
打擊勒索病毒攻擊！美國務院祭2.8億獎金 徵線索指認駭客 - 國際 - 自由時報電子報 https://bit.ly/3rbWyoh
打擊勒索病毒攻擊！美國務院祭2.8億獎金 徵線索指認駭客 - 自由財經 https://bit.ly/3elGj2Q

「加密勒索軟體」/對Crypt0L0cker做出應對中毒解密/勒索病毒/勒索軟體/駭客靠勒贖軟體賺超過百億！每筆受害贖金平均高達21K @ 姜朝鳳宗族 :: 痞客邦 :: http://tinyurl.com/y4a6mmqb
CopyCat+勒索病毒「想哭」（WannaCry）ExPetr+Ransom.Erebus+佩提亞（Petya）病毒的新版本「Petrwrap」的勒索木馬病毒/駭客大賽冠軍/比特幣+以太幣/微軟總裁兼法務長史密斯（Brad Smith）譴責國安局要為此事負責。國安局的技術原本是為了對付美國政府的敵人，結果這些漏洞公諸於世後，就被駭客利用。 @ 姜朝鳳宗族 :: 痞客邦 :: http://tinyurl.com/y2oc7hx7

國會遭駭攻 澳洲調查出爐：中國國安部幹的  https://is.gd/cCtDMY
分享國會遭駭攻 澳洲調查出爐：中國國安部幹的到Facebook分享國會遭駭攻 澳洲調查出爐：中國國安部幹的到Line
澳洲國會及多個政黨2月遭到駭客攻擊，調查報告指幕後黑手是中國國安部。（美聯社資料照）
2019-09-16 16:51
〔編譯孫宇青／綜合報導〕澳洲國會及多個政黨的電腦系統，2月曾遭外國「國家代理人」的大規模入侵。《路透》16日獨家引述消息人士指出，澳洲資訊情報部門早有調查結論，矛頭直指中國國家安全部，但因擔心損及澳中經濟利益，遲遲沒有公開調查結果。
澳洲國會、執政「自由黨」、「國家黨」和在野「工黨」的電腦系統2月遭到駭客入侵，總理莫里森當時指稱，此惡意攻擊是擁有複雜網攻能力的「國家代理人」（state actor）所為，但沒有指名道姓。外界一度憂心，此舉可能是為了干預5月的澳洲國會大選。
《路透》引述5名了解調查詳情的人士指出，澳洲政府網路情報機構「澳洲信號局」（ASD）發現，駭客隱藏訪問權限和身份，但所用的代碼和技術曾為中國使用，且遭攻擊的政黨也是北京間諜活動目標，被查閱文件涵蓋稅收、外交政策等，以及議員與的私人電子郵件。獨立議員及其他政黨則未受影響。
在英國也派出專家小組協助調查下，ASD在攻擊發生的1個月後就得出結論，相信這起事件的罪魁禍首是中國國家安全部，但2名消息人士透露，澳洲外交部建議不要公開此調查結果，以免影響與北京的貿易關係，但有與美國和英國等盟國分享情報。
澳洲總理莫里森辦公室，以及ASD均拒絕評論相關報導。中國外交部也否認參與任何形式的駭客攻擊，指除非有充分證據，否則相關指控無異於造謠和抹黑，並強調中國也是駭客攻擊的受害者。
據報導，中國是澳洲最大的貿易夥伴，是澳洲鐵礦石、煤炭和農產品的主要買家，且佔澳洲出口額超過3分之1，每年還有100多萬遊客和留學生前往澳洲。一名消息人士指出，澳洲政府擔心，要是就這起網路攻擊公開指責中國，將蒙受巨大經濟損失。 https://is.gd/cCtDMY

美財政部：北韓利用3大駭客組織籌錢 網攻竊密勒索樣樣來
https://is.gd/bjRF1j
2019-09-14 21:14
美國指控北韓支持駭客進行網路攻擊，藉此替北韓籌措軍事資金。（歐新社）
〔財經頻道／綜合報導〕北韓遭到國際制裁，但各種武器、飛彈依然繼續研發生產，究竟錢從哪來，美國財政部13日發佈報告指出，北韓透過政府支持的3個駭客組織，進行網路攻擊甚至勒索等方法，藉以非法牟取資金，最有名的例子就是2017年的WannaCry病毒勒索事件。
聯合國日前已發佈報告，指控北韓透過網路攻擊以竊取金融機構資金及加密貨幣，《CNBC》報導，美國財政部還進一步指出，北韓還會透過3個駭客組織發送病毒軟體，藉以勒索企業或政府單位，這些單位若不從的話，可能會有個資外流的風險。
美國財政部指出，北韓3大駭客組織，分別為Lazarus Group、Bluenoroff以及Andariel，Lazarus Group發動網路勒索，也製造了WannaCry事件、Bluenoroff則駭入金融機構、Andariel則企圖竊取金融機構用戶卡片訊息，藉以取得現金或在黑市牟利。
2017年喧騰一時的WannaCry勒索病毒。（美聯社）https://is.gd/bjRF1j
勒索病毒中最有名的就是遍佈全球的WannaCry事件，當時導致英國許多醫院系統癱瘓、日產（Nissan）等數間車廠停擺，以及聯邦快遞（FedEx）無法送件等，總共損失達數億美元之鉅。
美國財政部表示，將會持續執行美國與聯合國對北韓的制裁，也包含這些駭客組織的資產，並與各國合作確保資安。

加入歐洲刑警組織「No More Ransom反勒索病毒平臺」，提供部分勒索軟體的解密工具，但警方指出，一旦中獎真的很難破解，也不保證一定能還原。勒索病毒以亂槍打鳥方式讓民眾在網頁瀏覽、下載音樂影音時，點選惡意連結感染，再以快速加密方式讓使用者的照片、文字等資料無法開啟，往往須支付贖金才能解鎖，否則檔案被消失，向他求援的有個人電腦長期儲存家庭照片、影音等資料被加密，也有公司的文件、圖檔、客戶等重要文件被掌握，對民眾生活影響大，也有客戶付了比特幣卻僅拿回部分資料。勒索病毒通常有一星期的潛伏期，使用者仍可正常開關機與上網，起初無感，但病毒透過遠端網路對電腦重要資料不斷加密-不使用電腦時盡量關機，發現檔名出現亂碼時也不要變更檔名或刪除，仍有機會救回資料。使用已不支援更新的舊版本Win7系統，成為主要中標對象，建議民眾使用作業系統定期更新，可大為降低感染率。https://is.gd/3vC3e5

「勒索病毒」襲台 傳56醫療院所電腦中鏢 列印
 分享獨家》「勒索病毒」襲台 傳56醫療院所電腦中鏢到Facebook 分享獨家》「勒索病毒」襲台 傳56醫療院所電腦中鏢https://is.gd/DjSSMF
2019-08-31 06:00
〔社會新聞中心／台北報導〕國內傳出各重要醫療院所電腦主機系統遭境外的「勒索病毒」肆虐攻擊事件！根據資安人員初步清查，目前全國疑有56家醫療院所電腦主機被加密鎖住，恐有愈來愈擴大趨勢，資安人員全力搶救，現由調查局追查中。
 國內傳出重要醫療院所電腦主機系統遭境外的「勒索病毒」攻擊事件，就連衛福部也受害。（資料照）
國內傳出重要醫療院所電腦主機系統遭境外的「勒索病毒」攻擊事件，就連衛福部也受害。（資料照）
據了解，目前遭「勒索病毒」侵害計有衛生福利部、大型醫院、醫療診所的電腦主機，均遭病毒加密鎖定內存的重要資料，包括有病患資料、員工名冊帳冊、醫療數位影像，斷層掃描都病歷等。
據指出，駭客恐嚇這些中毒的醫療機構，若未能在他們指定的時日內，依約匯兌給付比特幣作為贖金，這些內存資料將會全數被銷毀。
據資訊安全人員表示，一旦電腦主機內的資料被病毒損毀，日後醫療院所對病患的資料重建，可能將秏損數十億新台幣，也嚴重損害病患就診和權益。
但，據衛福部表示，僅承認有兩家醫院被勒索病毒侵入，並表示己向調查局報案，不認為有事態擴大趨勢。
操作「勒索病毒」的駭客集團，是在2017年11月間，將對象逐漸移轉至台灣，以致國內開始陸續有許多商旅、公司載有個資、薪資、帳務的電腦主機，突然無法開啟使用。由於駭客當時勒索的金額不大，泰半公司會付款以求息事寧人和「解套」，也因此一直未憂到國人重視「勒索病毒」會導致的重大危害。https://is.gd/DjSSMF
-----------------------
勒索軟體，又稱勒索病毒，是一種特殊的惡意軟體，又被人歸類為「阻斷存取式攻擊」（denial-of-access attack），其與其他病毒最大的不同在於手法以及中毒方式。其中一種勒索軟體僅是單純地將受害者的電腦鎖起來，而另一種則系統性地加密受害者硬碟上的檔案。所有的勒索軟體都會要求受害者繳納贖金以取回對電腦的控制權，或是取回受害者根本無從自行取得的解密金鑰以便解密檔案。勒索軟體通常透過木馬病毒的形式傳播，將自身為掩蓋為看似無害的檔案，通常會通過假冒成普通的電子郵件等社會工程學方法欺騙受害者點選連結下載，但也有可能與許多其他蠕蟲病毒一樣利用軟體的漏洞在聯網的電腦間傳播。[1]
原先勒索病毒只在俄羅斯境內盛行，但隨著時間推進，受害者開始廣布全球。[2][3][4]2013年6月，網路安全公司McAfee釋出了一份資料，顯示該公司光在該年度（2013）第一季就取得了超過250,000種不同的勒索病毒樣本，並表示該數字是去年（2012）同季的超過兩倍。 [5] 隨著CryptoLocker的流行，加密形式的勒索軟體開始進行大規模的攻擊，在遭當局瓦解以前取得了估計三百萬美元的贖金。[6] 另一個勒索軟體CryptoWall，被美國聯邦調查局估計在2015年6月以前獲得了超過一百八十萬美元的贖金。[7]
行為
勒索軟體通常透過木馬病毒的方式傳播，例如透過下載檔案夾帶，或是透過網路系統的漏洞而進入受害者的電腦。勒索軟體在進入後，會直接執行，或是透過網路下載病毒的實體資料，並恐嚇受害者。恐嚇訊息隨著不同的病毒而異，例如假借執法機關的名義，恐嚇受害者的電腦被發現進行非法行動，如色情、盜版媒體，或是非法的作業系統等。[8][9][10]
某些實體資料只將作業系統鎖住，直到受害者付清贖金後才將電腦解鎖。實體資料可能以數種手段來達成恐嚇，包括將Windows的使用者介面（Windows Shell）綁定為病毒程式，[11] 或甚至修改磁碟的主啟動磁區、硬碟分割表等。 [12] 最嚴重的一種實體資料將受害者的檔案加密，以多種加密方法讓受害者無法使用檔案，唯一的方法通常就是向該病毒的作者繳納贖金，換取加密金鑰，以解開加密檔案。[13][14][15]
獲得贖金是這類病毒的最終目標。要讓病毒的開發者不易被執法單位發現，匿名的繳款管道是開發者的必要元素。有數種的管道發現被開發者用作匿名繳款，例如匯款、簡訊小額付款[16]、線上虛擬貨幣（Ukash、Paysafecard）[2][17][18]、數位貨幣比特幣等。[19][20][21]
歷史
加密性勒索軟體
最早已知的此種病毒是1989年的"AIDS" Trojan病毒，由Joseph Popp製作。該病毒的實體資料會宣稱受害者的某個軟體已經結束了授權使用，並且加密磁碟上的檔案，要求繳出189美元的費用給PC Cyborg Corporation以解除鎖定。開發者Popp在法庭上以精神障礙（無行為能力）為自己辯護，但他仍承諾將獲得的非法款項用於資助愛滋病的研究。[22] 使用公開金鑰加密的構想是1996年由Adam L. Young和Moti Yung所提出的。兩人指出，AIDS Trojan之所以無法有效發揮作用，是因為其採用的是私鑰加密，該技術的加密金鑰會儲存於病毒的原始碼中，從而瓦解該病毒的作用。兩人並且實作了一隻概念驗證的實驗性病毒，在Macintosh SE/30電腦上使用RSA及TEA演算法加密資料。他們將這種行為稱作明顯的「加密病毒勒索」（cryptoviral extortion），屬於現今稱作加密病毒學中的一個分支。[13] 兩人在1996年的IEEE安全與隱私研討會（IEEE S&P）中描述了攻擊者利用電子貨幣從被害者身上勒贖的過程：「專門的加密病毒能被設計成搜尋受害者的電子貨幣並加密。這樣一來，攻擊者就能名正言順的保證受害者付錢，否則受害者將失去所有的電子貨幣。」
2005年5月開始，勒索軟體變得更為猖獗。[23] 在2006年中，勒索軟體開始運用更加複雜的RSA加密手段，甚至加長金鑰的長度，像是Gpcode、TROJ.RANSOM.A、Archiveus、Krotten、Cryzip、MayArchive等病毒。例如在2006年6月發現的Gpcode.AG使用了660位元的RSA公鑰。[24] 2008年6月，發現了該病毒的新變種Gpcode.AK。該變種使用了1024位元的RSA公鑰，據信在不使用分散式計算的情況下，破解該金鑰對單一電腦來說，將是徒勞無功的。[25][26][27][28]
加密勒索軟體隨著2013年尾開始出現行蹤的CryptoLocker又開始了新一波的活躍期，該病毒最大的差異在於利用新時代的比特幣進行勒索。2013年12月，ZDNet估計該病毒單單在該月（12月）15日至18日間，就利用比特幣從受害者身上汲取了2700萬美元的鉅額。[29]CryptoLocker的手法在緊接著的幾個月內被多種病毒所效仿，包括CryptoLocker 2.0（被認為和原始的CryptoLocker無關）、CryptoDefense（值得注意的是，該病毒的初始版本包含了一個嚴重的設計缺陷，將私鑰儲存在使用者能找到的位置，因為其使用Windows的內建加密API進行行動。）[20][30][31][32]，以及2014年8月一個專門針對群暉科技（Synology）生產的網路附加儲存（NAS）裝置進行攻擊的病毒。[33] 在2014年尾，High-Tech Bridge資安公司甚至發現了將整個伺服器上網站都加密的RansomeWeb病毒。[34]
在2015年，刊載了一份詳盡的報告，列舉出不同的勒索軟體所使用的加密技術、弱點，及可能的防範措施等。[35]
2017年5月，勒索軟體WannaCry大規模感染了包括西班牙電信在內的許多西班牙公司、英國國民保健署[36]、聯邦快遞和德國鐵路股份公司。據報導，至少有99個國家的其他目標在同一時間遭到WanaCrypt0r 2.0的攻擊。[37][38][39][40]俄羅斯聯邦內務部、俄羅斯聯邦緊急情況部和俄羅斯電信公司MegaFon共有超過1000台電腦受到感染。[41]中國教育網相連的中國大陸高校也出現大規模的感染[42]，感染甚至波及到了公安機關使用的內網[43]，使得河南省洛陽市的公安系統遭到破壞[44]。國家互聯網應急中心亦發布通報[45]。
非加密性勒索軟體
在2010年8月，俄羅斯當局逮捕了十名與WinLock木馬病毒有關聯的嫌犯。WinLock病毒並不像前面所提到的Gpcode一樣對電腦加密，相反的，WinLock顯示色情圖片遮擋使用者的電腦螢幕，並提示受害者利用大約10美元的簡訊付費以接收解鎖的密碼。這個病毒襲擊了俄羅斯及鄰近國家的許多人，並被報導指出，攻擊者賺取了超過一千六百萬美元的收入。[10][46]
2011年，一個勒索軟體假藉Windows產品啟用的名義行騙，提示受害者的Windows因為是詐騙的受害者（victim of fraud），所以必須重新啟用。就像真正的產品啟用一樣，病毒也提供了線上啟動的選項，卻顯示成無法使用，並要求受害者撥打六支國際電話的其中一隻，並且輸入六位數密碼。雖然病毒宣稱該電話號碼為免費撥打，電話卻實際上會被轉接到高費率的國家，再刻意將該通話置於保留（on hold），藉此讓受害者付出高額的國際長途電話費用。[8]
2013年，一款基於Stamp.EK攻擊套件的病毒浮上檯面。該病毒散發訊息在各個SourceForge和GitHub專案頁面中，並宣稱提供名人的假造裸照。[47] 2013年7月，一個針對OS X的勒索軟體出現。該病毒會顯示一個網頁，宣稱受害者被發現下載色情媒體。不像Windows的病毒一樣對整個系統上鎖，該病毒只能利用點選劫持來混淆受害者的視聽，試圖不讓受害者用正常方式關閉該頁面。[48]
2013年7月，一名來自維吉尼亞州的21歲男子中了勒索軟體，卻在巧合之下，因為自己的電腦確實儲存了和他聊天過的未成年少女的裸照，而病毒顯示FBI查獲兒童色情媒體的警告，向警方自首。[49] 2016年1月，也發現了威脅要將受害者的瀏覽紀錄公開的勒索軟體。[50]
勒索軟體即服務（Ransomware as a service）
暗網中已有越來越多的人宣稱提供勒索軟體作為服務，例如現在已經失效的Tox[83]與Encryptor RaaS等。[84]
反制
就像其他形式的惡意軟體一樣，安全軟體不一定能偵測出勒索軟體的實體資料──尤其是加密用的軟體──直到開始加密或是完成加密了才被發現。對於未知的病毒來說更是如此。[85] 若攻擊尚在早期階段，加密檔案尚未成功，此時強制移除病毒實體資料就能避免對資料的進一步加密，例如拔除電源等物理性做法也是可以搶救回部分資料。[86][87] 安全專家建議了一些預防措施來應對勒索軟體，例如使用安全軟體或設定以避免已知的勒索軟體執行；保留與不與電腦連接的資料備份，尤其某些病毒會將仍與電腦連接的備份檔案一併加密。[19][88]非加密性勒索軟體能被專家移除，或是利用現成的安全軟體刪除。
雖然勒索軟體的威脅無法被完全革除，使用IT業界所稱的多層次預防策略（defense-in-layers security strategy）卻稱得上是不錯的預防手段。多層次預防策略提倡同時部署多種獨立、領域互相重疊的安全措施以建立穩固的安全措施。各安全層被設計和其他安全層互補，使得威脅不易穿透重重防護。例如一個安全策略可能包含下列五層： [1]
全面性的、完備的安全政策
網路和郵件的內容過濾代理伺服器
限制級別存取
以密碼上鎖特定功能
不間斷的員工警覺性訓練
勒索軟體 - 維基百科，自由的百科全書 http://tinyurl.com/y35wpgkx
-----------------------
觀念釐清  [防毒]WannaCry (想哭) 勒索病毒防範方式(已有解密工具) - 國立清華大學工程與系統科學系 http://tinyurl.com/yxjllxog
這次的勒索軟體「WannaCry (WanaCrypt0r 2.0)」是利用作業系統漏洞「主動」進行攻擊，只要電腦開著且連線到網路，尚未安裝修補檔把 EternalBlue 漏洞補起來的就有機會中獎，不是需要使用點選惡意連結或病毒檔案才中。
防範步驟
01.檢查電腦是否已感染病毒：
先拔除網路線再開機，以免萬一中毒後擴散(若原先使用WIFI無線上網，請先將分享器關閉)
開機後按下「Ctrl + Alt + Del」鍵啟動 Windows工作管理員，Win7 以下版本選擇「處理程序」；Win8 以上版本選擇「詳細資料」，若看到 tasksche.exe 或 mssecsvc.exe 執行檔，表示可能已經感染病毒，此時請跳至Step 3 進行感染後的處置；若否，請繼續 Step 2 的預防處理措施
[防毒]WannaCry (想哭) 勒索病毒防範方式(已有解密工具) - 國立清華大學工程與系統科學系 http://tinyurl.com/yxjllxog
--------------------
如何應對勒索病毒
防範勒索的變種速度非常快，一隻一隻在網路上快速推出，因此從感染前的預防和感染後的處置方式都需要快狠準的進行才可以避免問題繼續擴大，慶幸的是，勒索病毒感染後的行為比較單純，就是加密檔案，因此有資料夾監控功能的防毒軟體通常可以在最短時間內注意到病毒在行動，不過在病毒進入到電腦之前硬大建議大家一定要做下列事情來降低發生風險：
定期備份：將檔案備份到雲端硬碟或異地儲存空間至少兩份。
定期更新：定期更新Windows 與防毒軟體維持最佳安全與偵測性能。
足夠的資安知識：知道最近流行什麼病毒、感染途徑是什麼，不要碰！
良好的使用習慣：盜版、限制級的任何事物都不要碰。
安全的網路環境：減少接觸公眾開放免費網路環境的時間與頻率。
認識勒索病毒與現今防毒軟體必備功能 – 資安趨勢部落格 https://blog.trendmicro.com.tw/?p=58515
------------------
中了勒索病毒！駭客要求比幣特幣交付贖金！資料救援專家名世科技，教你怎麼跟勒索病毒駭客斡旋解密救資料！ - PCDIY! online http://tinyurl.com/y54gm877
No More Ransom 在遇到勒索病毒決定支付贖金前，先來這尋求解決方案 https://wp.me/p4CzB-fzM
RANSOM_Waltrix ( CryptXXX )勒索病毒 主要感染症狀及建議緊急處理措施 @ 傻瓜狐狸的雜碎物品 :: 痞客邦 :: http://tinyurl.com/y55wayjt
網友中了勒索病毒 用一招「神還原」檔案被讚爆 - 新知 - 話題 http://tinyurl.com/y22kne44
2019 5 最新完整免費勒索病毒解密工具整理 - OSSLab https://www.osslab.com.tw/?p=16092