惡意程式 (或稱為惡意軟體) 是指各式各樣的有害的程式,其目的是為了干擾、破壞電腦系統,或在未經授權的情況下存取電腦系統。
目錄
惡意程式的意義
惡意程式可經由各種途徑感染裝置,包括:電子郵件附件、已遭入侵的網站,以及軟體下載。一旦它被安裝到系統上,就會執行一些惡意動作,例如:竊取資料、挾持系統,或是讓裝置無法使用。此外,它也可能在背地裡暗中運作來躲避偵測、攻擊軟體中的漏洞,或利用社交工程技巧來誘騙使用者,讓使用者不經意地將它安裝到系統上,導致嚴重的網路資安和資料隱私風險。想要清除惡意程式,通常得借助專門的防毒軟體來掃描、偵測、隔離或刪除其惡意的檔案或程式,將受感染的裝置回復至安全狀態。
惡意程式的類型
惡意程式有各種形式,每一種都是專為入侵系統、竊取資料或中斷營運而設計。認識不同類型的惡意程式,對保護您的裝置和網路至關重要。以下是一些最常見的類型:
病毒
病毒是惡意程式的一種,它會將自己附加到正常檔案或應用程式上,趁受感染的檔案被分享或開啟時進行散播。它一旦啟動之後,就能進行複製,並且損毀或刪除資料、拖慢系統效能,或是竊取資訊。
蠕蟲
蠕蟲是一種會自我複製的惡意程式,它能在電腦與網路之間擴散而不需要隨附在其他程式身上。他們會攻擊軟體漏洞或利用社交工程技巧來滲透系統。有別於病毒,蠕蟲不需依靠使用者採取任何行動就能自行散播。
木馬程式
木馬程式 (或稱為特洛伊木馬) 是一種假扮成正常軟體、但卻含暗藏惡意檔案的程式。有別於蠕蟲或病毒,木馬程式不會自我複製,而是得靠誘騙的方式讓使用者將它們下載並執行。它一旦啟動,就會開啟後門、竊取登入憑證,或者安裝勒索病毒。
勒索病毒
勒索病毒是一種會將使用者的系統鎖住或將其檔案加密的惡意程式,使用者必須支付贖金 (通常使用虛擬加密貨幣) 來解開系統或檔案。它通常經由網路釣魚郵件、惡意附件檔案或漏洞攻擊套件散播。一旦啟動,它就會掃描系統來尋找重要資料,並使用高強度的加密方法將資料加密。
恐嚇軟體
恐嚇軟體會讓使用者誤以為自己的裝置已經遭到感染,促使他們購買假防毒軟體,或者付費取得不必要的服務。它會使用嚇人的彈出視窗、假警報,或是騙人的掃描畫面來製造急迫性和恐慌。而這些警告都是假的,如果使用者真的遵照其中的指示操作,通常會讓系統真的安裝了其他惡意程式。
鍵盤側錄程式
惡意程式如何散播
惡意程式可經由各種方式滲透系統,讓我們來看看一些最常見的情況:
網路釣魚郵件
駭客會利用特製的電子郵件來誘騙使用者下載惡意程式或點選惡意連結。網路釣魚郵件通常看起來很正常,因為這類郵件會假冒來自可信任的來源。
惡意網站 - 水坑式攻擊
使用者若造訪到已遭入侵或惡意的網站,可能會遇到所謂的「順道下載」(drive-by download),也就是惡意程式在不經使用者同意下自動下載及安裝。像這種情況,如果是駭客故意感染這個正常網站,然後等待一般使用者造訪該網站以便散播惡意程式,就叫做「水坑式攻擊」。
軟體下載
從非受信任的來源下載軟體,可能會導致系統感染惡意程式。駭客經常會將惡意程式與看似正常的應用程式打包在一起。
受感染的 USB 隨身碟
惡意程式可能經由受感染的 USB 隨身碟散播,當隨身碟被插入系統時,惡意程式就會自動執行並感染主機。
社交工程
駭客會利用社交工程技巧來誘騙使用者執行一些會造成惡意程式感染的動作,例如分享敏感資訊或停用資安功能。
惡意程式的感染症狀
分辨惡意程式的感染徵兆,對於早期偵測及防範至關重要:
如何防範惡意程式感染?
要防範惡意程式感染,不能只單靠防毒軟體,而是需要一套結合技術、訓練與主動風險管理的多層式資安方法。以下說明個人和企業可採取哪些重要的步驟來降低遇到惡意程式攻擊的風險。
避開常見的惡意程式來源
絕大多數的惡意程式感染都是透過使用者互動來觸發。常見的散布方式包括:網路釣魚郵件、惡意網站、假軟體下載,或是受感染的 USB 裝置。發掘並避開這些威脅,就是您的第一道防禦關卡。請小心不請自來的郵件附件,避免點選不明連結,並且只從信任的來源下載軟體。
讓系統與應用程式隨時保持更新
過時的軟體是惡意程式最常用來入侵的途徑之一。駭客經常攻擊作業系統、瀏覽器和應用程式的已知漏洞。只要定期套用資安修補更新,您就能消除這些漏洞並強化您的整體資安。
安全地備份資料
定期備份是任何惡意程式防護計畫的重要一環。萬一遇到勒索病毒攻擊或資料損毀的情況,只要您擁有一份乾淨的備份,您就不需支付贖金也能復原,而且不會遺失重要檔案。使用加密、離線或雲端備份來確保備份資料的安全,並防止惡意程式存取備份資料。
透過教育訓練讓員工和使用者認識惡意程式威脅
人為錯誤是感染惡意程式的首要原因之一。教育使用者如何分辨網路釣魚、惡意網站,以及可疑的下載,可降低這類風險。定期舉辦新的網路資安意識提升計畫,確保使用者隨時掌握最新威脅。
使用電子郵件與網站過濾工具
電子郵件閘道與網站過濾規則可防止使用者存取到已知的惡意網域,避免可疑附件或連結到達使用者端。這類工具對企業環境尤其重要,因為企業環境內的端點很多,有更多機會接觸到惡意程式。
針對可疑檔案進行沙盒模擬分析
沙盒模擬分析可讓資安團隊先將有潛在危害的檔案隔離在安全的環境中進行分析,檢查沒問題之後才讓檔案在您系統上執行。這項技巧對於偵測傳統防毒軟體無法攔截的零時差威脅和針對性攻擊特別有用。
擬定一套惡意程式事件回應計畫
就算擁有強大的防禦,依然沒有任何系統可以完全免疫。一套明確的事件回應計畫,有助於盡量降低遭遇攻擊時的損害。這套計畫應該包括:回應角色的分配、溝通的程序、備份資料的復原步驟,以及如何協調資安廠商的協助。
如何清除惡意程式
一旦系統感染了惡意程式,快速而有效的清除是防範任何進一步損害的關鍵。不論您面對的是個人裝置或是企業端點,清除惡意程式需要做的不單只有掃描而已,為了完全消除威脅,企業必須採取一套徹底而有條不紊的作法。
請依照以下步驟來安全清除您裝置上的惡意程式:
第 1 步:更新您的資安軟體
開始掃描之前,請務必確定您的防毒軟體或惡意程式防護軟體已是最新狀態。這樣它才能使用最新的特徵碼與經驗式方法來偵測最新的威脅。假使惡意程式已經停用了您的資安工具,請嘗試重新開機進入「安全模式」或使用救援磁碟。
第 2 步:執行一次完整的系統掃描
對整個裝置執行一次深度掃描,絕大多數的防毒工具都會自動隔離或標記可疑檔案。完整掃描可能需要一段時間,但對於偵測隱藏或潛伏的威脅卻非常重要。
第 3 步:查看並移除受感染的檔案
掃描之後,請仔細查看結果。遵照資安軟體的建議,將被感染的檔案刪除或隔離。若您有任何不確定的檔案,請先諮詢您的 IT 團隊或研究一下掃描到的威脅之後再繼續。
第 4 步:重新開機然後再掃描一次
重新啟動您的裝置,並且執行第二次掃描,以確實清除所有惡意程式的痕跡。有些進階的威脅或許會在系統重新開機之後再次感染系統,所以才需要重新檢查一次。
第 5 步:必要時可還原或重設裝置
如果感染依然存在或造成系統不穩定,請考慮將裝置回復至某個乾淨的系統備份,或者重設為出廠狀態。在企業環境中,使用安全的基礎映像來重建系統,通常是最安全的作法。
專家祕訣:定期備份非常重要。將備份儲存在離線環境或雲端環境當中,並搭配版本控管來防範勒索病毒或持續性威脅。
第 6 步:更新密碼並啟用 MFA
惡意程式清除之後,您必須變更所有的密碼,尤其是電子郵件、銀行及公司帳號的密碼。因為像鍵盤側錄程式這樣的惡意程式很可能已經蒐集了您的敏感資訊。啟用多重認證 (MFA) 可增加一道重要的防護,即使您的密碼已經遭到外洩。
第 7 步:監控異常活動
持續監控您的系統是否有可疑的行為跡象,例如未經授權的登入、網路異常,或者出現不熟悉的處理程序。入侵偵測系統 (IDS)、EDR 平台或是暗網監控,都能協助您發掘殘餘威脅或二次威脅。
何時該尋求專家協助
如果您無法手動清除惡意程式,或者惡意程式不斷反覆出現,那就該尋求網路資安專家的意見。像 Rootkit、無檔案惡意程式,或零時差漏洞攻擊這類持續性威脅,通常需要進階工具和專業能力來安全地清除。
惡意程式對個人和企業的影響
感染惡意程式所帶來的後果,很可能對使用者和企業造成嚴重打擊,例如:
財務損失:惡意程式可能讓企業因為詐騙交易、贖金,以及敏感的財務資訊遭到竊取,而導致直接的財務損失。
資料竊取:惡意程式可能竊取敏感資料,包括:個人資訊、智慧財產,以及機密商業資料,進而導致隱私外洩和喪失競爭優勢。
系統停機:惡意程式感染可能導致系統當機、效能變差、長時間停機,進而干擾企業營運與生產力。
商譽損失:遭到惡意程式攻擊的企業有可能損失商譽、失去客戶信任,甚至得面臨潛在的法律與法規後果。
Trend Vision One™ 平台
Trend Vision One 是趨勢科技的全方位網路資安平台,能協助偵測、分析及回應惡意程式來保護端點、電子郵件、雲端以及網路。
它採用進階威脅偵測、XDR (延伸式偵測及回應) 以及自動化回應工具,在惡意程式擴散之前預先加以偵測及攔截。Trend Vision One 是以全球威脅情報為後盾,能即時防範不斷演變的惡意程式威脅。
Kent Stevens 是趨勢科技產品管理副總裁,掌管 Vision One 網路資安平台、託管式服務,以及服務供應商生態系的全球策略。