勒索軟體是一種特殊的惡意軟體專門以使用者檔案為攻擊目標，會將你的電腦內office系列軟體、PDF、MP3、JPG……等檔案內容加密，而不針對系統檔案進行加密，讓你無法開啟被加密後的檔案同時確保使用者能收到支付贖金通知，如果使用者不付贖金給攻擊的背後黑手也就無法取得加密的鑰匙進行解密。基本上，你的資料成為了人質，讓你被迫去支付贖金，這也就是它被稱為「勒索軟體」的原因。其傳播病毒方式通常為:網頁嵌入式、彈出式惡意廣告或者大規模郵件釣魚活動。

    目前常見的密勒索病毒有CryptoLocker、CryptoWall、Locky等不同種類。其中CryptoWall視為是網路上最強大也是最具破壞性的勒索軟體，作者亦不斷更新該軟體，早期的 CryptoWall 版本會偽裝為 CryptoLocker 變種，甚至模仿其勒贖畫面。但後來，CryptoWall 慢慢開始有自己的名稱以及勒贖畫面，其幕後操縱伺服器通訊也開始改用 Tor 洋蔥路由器網路 ，也就是一般稱呼的 CryptoWall 3.0。CryptoWall 3.0將網址寫死在程式內。這些寫死網址的來源都經過了層層加密，因此無法輕易追蹤其源頭。由於企業封鎖網址的作法是屬於因應的手段，因此在遭到封鎖之前，歹徒還有一點空窗期可利用。在這個空窗期，惡意程式就能與幕後操縱伺服器完成通訊，並且取得未來將檔案加密所需的 RSA 公開金鑰。

 

CryptoWall 3.0常見中毒手法如下:

1. 使用者點選惡意的郵件附件檔(.JS檔案，JS 檔案或許是為了躲避偵測，因為其檔案很小，某些檔案掃瞄軟體很可能會因而加以忽略，而且其內容還經過特殊編碼)或瀏覽遭駭客入侵的網站、植入惡意JavaScript之廣告。

2. 執行JS檔後，會連線至特定的IP或網址下載惡意執行檔。

3. 惡意執行檔向幕後伺服器取得RSA公開金鑰後，就會開始將某些副檔名的檔案進行RSA-2048 bits加密，包括：文件、資料庫、電子郵件、影像、音訊、視訊以及程式原始碼。

4. 桌面或被加密目錄會新增HELP_DECRYPT檔案，要求受害者支付贖金(美金、比特幣)取得RSA私鑰將檔案解密。

以下為CryptoWall 3.0加密後的結果:

 

[Word]