勒索軟件

勒索軟件，又稱勒索病毒，是一種特殊的惡意軟件，又被人歸類為「阻斷存取式攻擊」（denial-of-access attack），其與其他病毒最大的不同在於手法以及中毒方式。其中一種勒索軟件僅是單純地將受害者的電腦鎖起來，而另一種則系統性地加密受害者硬碟上的檔案。所有的勒索軟件都會要求受害者繳納贖金以取回對電腦的控制權，或是取回受害者根本無從自行取得的解密金鑰以便解密檔案。勒索軟件通常透過木馬病毒的形式傳播，將自身為掩蓋為看似無害的檔案，通常會通過假冒成普通的電子郵件等社交工程方法欺騙受害者點擊連結下載，但也有可能與許多其他蠕蟲病毒一樣利用軟件的漏洞在聯網的電腦間傳播。^[1]

原先勒索病毒只在俄羅斯境內盛行，但隨着時間推進，受害者開始廣布全球。^[2][3][4]2013年6月，網絡安全公司McAfee釋出了一份數據，顯示該公司光在該年度（2013）第一季就取得了超過250,000種不同的勒索病毒樣本，並表示該數字是去年（2012）同季的超過兩倍。 ^[5] 隨着CryptoLocker的流行，加密形式的勒索軟件開始進行大規模的攻擊，在遭當局瓦解以前取得了估計三百萬美元的贖金。^[6] 另一個勒索軟件CryptoWall，被美國聯邦調查局估計在2015年6月以前獲得了超過一百八十萬美元的贖金。^[7]

行為

勒索軟件通常透過木馬病毒的方式傳播，例如透過下載檔案夾帶，或是透過網絡系統的漏洞而進入受害者的電腦。勒索軟件在進入後，會直接執行，或是透過網絡下載病毒的實體數據，並恐嚇受害者。恐嚇訊息隨着不同的病毒而異，例如假借執法機關的名義，恐嚇受害者的電腦被發現進行非法行動，如色情、盜版媒體，或是非法的作業系統等。^[8][9][10]

某些實體數據只將作業系統鎖住，直到受害者付清贖金後才將電腦解鎖。實體數據可能以數種手段來達成恐嚇，包括將Windows的用戶介面（Windows Shell）綁定為病毒程式，^[11] 或甚至修改磁碟的主啟動磁區、硬碟分割表等。 ^[12] 最嚴重的一種實體數據將受害者的檔案加密，以多種加密方法讓受害者無法使用檔案，唯一的方法通常就是向該病毒的作者繳納贖金，換取加密金鑰，以解開加密檔案。^[13][14][15]

獲得贖金是這類病毒的最終目標。要讓病毒的開發者不易被執法單位發現，匿名的繳款管道是開發者的必要元素。有數種的管道發現被開發者用作匿名繳款，例如匯款、短訊小額付款^[16]、線上虛擬貨幣（Ukash、Paysafecard）^[2][17][18]、數碼貨幣比特幣等。^[19][20][21]

歷史

加密性勒索軟件

最早已知的此種病毒是1989年的"AIDS" Trojan病毒，由Joseph Popp製作。該病毒的實體數據會宣稱受害者的某個軟件已經結束了授權使用，並且加密磁碟上的檔案，要求繳出189美元的費用給PC Cyborg Corporation以解除鎖定。開發者Popp在法庭上以精神障礙（無行為能力）為自己辯護，但他仍承諾將獲得的非法款項用於資助愛滋病的研究。^[22] 使用公開金鑰加密的構想是1996年由Adam L. Young和Moti Yung所提出的。兩人指出，AIDS Trojan之所以無法有效發揮作用，是因為其採用的是私鑰加密，該技術的加密金鑰會儲存於病毒的原始碼中，從而瓦解該病毒的作用。兩人並且實作了一隻概念驗證的實驗性病毒，在Macintosh SE/30電腦上使用RSA及TEA演算法加密資料。他們將這種行為稱作明顯的「加密病毒勒索」（cryptoviral extortion），屬於現今稱作加密病毒學中的一個分支。^[13] 兩人在1996年的IEEE安全與私隱研討會（IEEE S&P）中描述了攻擊者利用電子貨幣從被害者身上勒贖的過程：「專門的加密病毒能被設計成搜尋受害者的電子貨幣並加密。這樣一來，攻擊者就能名正言順的保證受害者付錢，否則受害者將失去所有的電子貨幣。」

2005年5月開始，勒索軟件變得更為猖獗。^[23] 在2006年中，勒索軟件開始運用更加複雜的RSA加密手段，甚至加長金鑰的長度，像是Gpcode、TROJ.RANSOM.A、Archiveus、Krotten、Cryzip、MayArchive等病毒。例如在2006年6月發現的Gpcode.AG使用了660位元的RSA公鑰。^[24] 2008年6月，發現了該病毒的新變種Gpcode.AK。該變種使用了1024位元的RSA公鑰，據信在不使用分散式計算的情況下，破解該金鑰對單一電腦來說，將是徒勞無功的。^{[25][26][27][28]}

加密勒索軟件隨着2013年尾開始出現行蹤的CryptoLocker又開始了新一波的活躍期，該病毒最大的差異在於利用新時代的比特幣進行勒索。2013年12月，ZDNet估計該病毒單單在該月（12月）15日至18日間，就利用比特幣從受害者身上汲取了2700萬美元的鉅額。^[29]CryptoLocker的手法在緊接着的幾個月內被多種病毒所效仿，包括CryptoLocker 2.0（被認為和原始的CryptoLocker無關）、CryptoDefense（值得注意的是，該病毒的初始版本包含了一個嚴重的設計缺陷，將私鑰儲存在用戶能找到的位置，因為其使用Windows的內建加密API進行行動。）^{[20][30][31][32]}，以及2014年8月一個專門針對群暉科技（Synology）生產的網絡附加儲存（NAS）裝置進行攻擊的病毒。^[33]

在2014年尾，High-Tech Bridge資安公司甚至發現了將整個伺服器上網站都加密的RansomeWeb病毒。^[34]

在2015年，刊載了一份詳盡的報告，列舉出不同的勒索軟件所使用的加密技術、弱點，及可能的防範措施等。^[35]

2017年5月，勒索軟件WannaCry大規模感染了包括西班牙電信在內的許多西班牙公司、英國國民保健署^[36]、聯邦快遞和德國鐵路股份公司。據報道，至少有99個國家的其他目標在同一時間遭到WanaCrypt0r 2.0的攻擊。^{[37][38][39][40]}俄羅斯聯邦內務部、俄羅斯聯邦緊急情況部和俄羅斯電訊公司MegaFon共有超過1000台電腦受到感染。^[41]中國教育網相連的中國大陸高校也出現大規模的感染^[42]，感染甚至波及到了公安機關使用的內網^[43]，使得河南省洛陽市的公安系統遭到破壞^[44]。國家互聯網應急中心亦發佈通報^[45]。

2020年12月23日，美國各級政府部門、北約、英國政府、歐洲議會、微軟等至少200個政府單位、組織或公司遭遇數據泄露，影響範圍甚廣^[46]。

2021年5月7日，起源於美國德克薩斯州侯斯頓、主要負責向美國東南部運輸重油的石油管道系統殖民管道遭遇DarkSide發動的勒索軟件網絡攻擊，影響負責管理管道的電腦系統，導致服務地區出現燃油短缺情況^[47]。

非加密性勒索軟件

在2010年8月，俄羅斯當局逮捕了十名與WinLock木馬病毒有關聯的嫌犯。WinLock病毒並不像前面所提到的Gpcode一樣對電腦加密，相反的，WinLock顯示色情圖片遮擋用戶的電腦螢幕，並提示受害者利用大約10美元的短訊付費以接收解鎖的密碼。這個病毒襲擊了俄羅斯及鄰近國家的許多人，並被報導指出，攻擊者賺取了超過一千六百萬美元的收入。^[10][48]

2011年，一個勒索軟件假藉Windows產品啟用的名義行騙，提示受害者的Windows因為是詐騙的受害者（victim of fraud），所以必須重新啟用。就像真正的產品啟用一樣，病毒也提供了線上啟動的選項，卻顯示成無法使用，並要求受害者撥打六支國際電話的其中一隻，並且輸入六位數密碼。雖然病毒宣稱該電話號碼為免費撥打，電話卻實際上會被轉接到高費率的國家，再刻意將該通話置於保留（on hold），藉此讓受害者付出高額的國際長途電話費用。^[8]

2013年，一款基於Stamp.EK攻擊套件的病毒浮上枱面。該病毒散發訊息在各個SourceForge和GitHub專案頁面中，並宣稱提供名人的假造裸照。^[49] 2013年7月，一個針對OS X的勒索軟件出現。該病毒會顯示一個網頁，宣稱受害者被發現下載色情媒體。不像Windows的病毒一樣對整個系統上鎖，該病毒只能利用點擊劫持來混淆受害者的視聽，試圖不讓受害者用正常方式關閉該頁面。^[50]

2013年7月，一名來自維吉尼亞州的21歲男子中了勒索軟件，卻在巧合之下，因為自己的電腦確實儲存了和他聊天過的未成年少女的裸照，而病毒顯示FBI查獲兒童色情媒體的警告，向警方自首。^[51] 2016年1月，也發現了威脅要將受害者的瀏覽紀錄公開的勒索軟件。^[52]

案例

Reveton

2012年，一款叫做Reveton的勒索軟件開始廣布。該病毒基於Citadel木馬病毒，而病毒的有效數據會顯示假造成來自執法機關的訊息（因此，此類病毒又被稱為police Trojan或cop Trojan）。該病毒會宣稱執法機關查獲該電腦有非法活動，例如下載盜版軟件或是兒童色情媒體^[53] ，並且提示受害者使用Ukash 或Paysafecard等匿名電子貨幣進行繳納。為了更進一步取信於被害人，該警訊也會同時列出受害者的IP地址，某些版本甚至會顯示受害者網絡攝影機的畫面。^[2][54]

Reveton在2012年開始在歐洲各國間活動。^[2]變種則有各式各樣的本地化版本，搭配受害者語言與當地執法機關的圖示。例如在英國的變種就會顯示成倫敦警察廳、版權集體管理團體 PRS for Music（搭配受害者下載盜版音樂的警告）、PeCU等。^[55] 倫敦警察廳曾公開澄清，執法單位絕對不會像病毒一樣，將用戶的電腦以調查名義鎖上。^[2][9]

2012年5月，趨勢科技研究員發現美國及加拿大的版本，代表病毒開發者可能本來有意攻擊北美地區。^[56] 2012年8月，Reveton的新變種開始在美國流竄，要求受害者用MoneyPak卡向FBI繳納200美元的罰鍰。^[3][4][54] 2013年2月，一個俄羅斯公民在杜拜遭西班牙當局逮捕，因為被發現他所屬的犯罪組織曾使用過Reveton；十名共犯則以洗錢罪名逮捕。^[57]

2014年8月，Avast Software回報發現新變種，攜帶竊取密碼的軟件作為實體數據之一。^[58]

CryptoLocker

2013年9月，加密性勒索軟件以CryptoLocker之姿重出江湖。該病毒使用2048位元的RSA加密金鑰，並將其回傳至主控病毒行動的伺服器。關於加密檔案，該病毒使用白名單以只對特定的副檔名加密。CryptoLocker威脅受害者，若不以比特幣或付費卡在三天內繳款，就會將所有加密檔案刪除。由於其使用了極大長度的金鑰，被其加密的檔案一般是認為無法復原的。^{[19][59][60][61]} 儘管付款期限已過，解密的金鑰仍能利用其提供的線上工具取得，但是價格會增加為10BTC，相當於2300美元（2013年11月匯率）。^[62][63]

美國司法部在2014年6月2日宣佈，CryptoLocker在Gameover ZeuS殭屍網絡遭到執法機關關閉後被分離出來。司法部也提起了對俄國黑客Evgeniy Bogachev的公訴，因為其對該殭屍網絡運作的涉入。^[64][65] 據估計，在該病毒遭關閉前，已經獲得了至少三百萬美元的收入。^[6]

CryptoLocker.F 與 TorrentLocker

2014年9月，新一波針對澳洲的勒索攻擊開始，以CryptoWall及CryptoLocker（連同CryptoLocker 2.0，不和原始CryptoLocker有關）。該病毒透過假造的電子郵件散佈，宣稱受害者有投遞失敗的澳大利亞郵政包裹。為了避開保安軟件的掃瞄，該變種會先提示用戶輸入CAPTCHA驗證碼來誘使受害者下載病毒數據。賽門鐵克確認了該變種，命名為CryptoLocker.F。^[66][67] 其中的一個受害者是澳洲廣播公司，而其現場轉播的新聞頻道ABC News 24被迫中斷半小時並轉至墨爾本攝影棚錄影，因為雪梨的攝影棚被該病毒攻擊了。^[68][69][70]

另一個搭上順風車的病毒TorrentLocker，最初含有與CryptoDefense類似的缺陷。該病毒對每台受感染的電腦都使用相同的金鑰流，導致安全單位能利用此弱點解開加密的檔案。該缺陷在後來的版本中被修正了。^[30] 在2014年尾，估計光是澳洲就有超過9000名受害者受TorrentLocker所害，僅次於土耳其的11,700名。^[71]

CryptoWall

另一個針對Windows的重大病毒CryptoWall在2014年出現。CryptoWall隨着Zedo廣告網的惡意廣告散佈。在2014年9月，其針對數個主要網站進行了攻擊，將受害者導向至獨立網站，利用瀏覽器漏洞傳輸病毒。一名Barracuda Networks研究員發現該病毒帶有數碼簽章，以取信於保安軟件。^[72] CryptoWall 3.0以JavaScript寫成，作為電子郵件的附加檔案。該指令碼會下載偽裝成JPG圖檔的可執行檔。為了更進一步避開偵測，該病毒會建立複製的explorer.exe及svchost.exe與其伺服器溝通。建立加密檔案時，該病毒也會同時刪除系統還原的備份檔案，並且安裝間諜軟件，竊取受害者的密碼與比特幣錢包。^[73]

聯邦調查局表示，在2015年6月有上千名的受害者向網絡犯罪回報中心回報了CryptoWall的感染，估計損失至少一千八百萬美元。^[7]

在最新的4.0版本中，CryptoWall改進了其程式碼以避免防毒軟件的偵測，並且除了檔案內容外，也一併加密檔案名稱。^[74]

KeRanger

KeRanger在2016年3月出現，是第一個在OS X作業系統上運作的勒索軟件。該病毒加密受害者的個人檔案，並且要求1BTC的贖金以解密檔案。該病毒將.DMG可執行檔偽裝成RTF檔案。該病毒會潛伏三日，接着開始加密檔案，再附上一個寫入解密教學的文字檔案。該病毒也使用2048位元的RSA公鑰加密檔案。後續研究表明，該病毒其實是Linux.Encoder.1為OS X系統而重寫的。

RSA4096

RSA4096是目前加密性勒索軟件的最新世代。最初出現於2015年，該病毒使用公鑰加密，付款則要求受害者利用比特幣向暗網內的代理人購買，卻不保證在付款後能取回私鑰。該病毒有數種變種，大部分都尚未找到解決辦法。某些變種會將檔案的副檔名改變。唯一從攻擊中復原的方法，除了付費購買私鑰以外，只有從外部裝置復原受感染的檔案一途。 由於比特幣匯率近年的大幅上升，贖金的價格也相對的上升了。在2016年4月，該價格大約為三十萬英鎊。

Manamecrypt (CryptoHost)^[75]

該病毒宣稱加密受害者的檔案，並且要求1/3BTC（大約140美元）來解密檔案。事實上，該病毒卻不將檔案加密，而是將檔案移動進入密碼保護的RAR壓縮檔。 不過壓縮檔的密碼很容易找到，使得受害者有方法能取回受感染的檔案。

CryptoHost將受害者的檔案移至C:\Users\用戶名\AppData\Roaming的一個RAR壓縮檔內。 檔案名稱為41個字元，且沒有副檔名。

CryptoHost目前綑綁在竄改的μTorrent安裝程式內，將自身的cryptohost.exe解壓縮進入%AppData%後執行病毒。

Mischa

Mischa是一款勒索軟件，並且和Petya勒索軟件有明顯的關聯。 該病毒會將加密的檔案改為特定的副檔名，如.3P7m、.arpT、.eQTz、.3RNu等。遭受感染的受害者電腦會在瀏覽器內顯示出威脅訊息，聲稱電腦已經遭到「軍規級加密」。該病毒也利用Tor瀏覽器和暗網（Tor隱藏服務）要求比特幣贖金，價值通常介於20美元至1000美元間。

WannaCrypt

WannaCrypt是利用Windows系統漏洞進行侵入的一款勒索病毒，在2017年5月12日後全球超過230,000台電腦皆遭此病毒侵害，此病毒要求支付價值等同於300美元的比特幣才可解密所有遭加密檔案。受害者電腦大多數皆裝載Windows 7系統，微軟也針對此漏洞進行更新。^[76]

Petya

主條目：Petya

Petya於2016年3月首次出現，不像其他加密勒索軟件，該惡意軟件旨在感染主開機紀錄，安裝有效負載，受感染的系統下次引導時便加密NTFS檔案系統檔案表，完全阻止系統引導進Windows，直至支付贖金。Check Point報告指出，儘管該軟件被認為是勒索軟件設計上的創新性進展，但和在相同時間範圍內話語的其他軟件相比，感染率相對較低^[77]。

2017年6月27日，Petya重大修改版本被用來反動主要針對烏克蘭的全球性網絡攻擊。經修改的版本和WannaCry同樣使用永恆之藍漏洞傳播。由於設計變更，即使支付贖金系統也不會真正解鎖，故安全分析師猜測這次襲擊不是為了取得非法利益，僅僅是搞破壞^[78][79]。

Bad Rabbit

2017年10月24日，俄羅斯和烏克蘭有用戶報告了新型勒索軟件「Bad Rabbit」。類似於WannaCry和Petya的模式，Bad Rabbit加密了用戶的檔案表後，要求支付比特幣解鎖。ESET認為，該勒索軟件偽裝成Adobe Flash更新發佈^[80]。受影響的機構包括國際文傳電訊社、敖德薩國際機場、基輔地鐵和烏克蘭基礎設施部^[81]。由於利用網絡結構進行傳播，軟件也流入到別國，如土耳其、德國、波蘭、日本、韓國和美國^[82]。專家認為此番襲擊和烏克蘭的Petya襲擊有關，儘管罪魁禍首的唯一標識是將《權力的遊戲》系列角色的名字嵌入代碼^[82]。

安全專家發現，軟件沒有使用永恆之藍漏洞，這種給執行舊版Windows的未被感染的機器接種疫苗的簡單方法傳播^[83][84]。此外，一直用來傳播假Flash更新已經離線，或是在勒索軟件被發現後幾天內刪除了有問題的檔案，從而有效阻止軟件傳播^[82]。

勒索軟件即服務（Ransomware as a service）

暗網中已有越來越多的人宣稱提供勒索軟件作為服務，例如現在已經失效的Tox^[85]與Encryptor RaaS等。^[86]

反制

就像其他形式的惡意軟件一樣，保安軟件不一定能偵測出勒索軟件的實體數據──尤其是加密用的軟件──直到開始加密或是完成加密了才被發現。對於未知的病毒來說更是如此。^[87] 若攻擊尚在早期階段，加密檔案尚未成功，此時強制移除病毒實體數據就能避免對資料的進一步加密，例如拔除電源等物理性做法也是可以搶救回部分資料。^[88][89] 安全專家建議了一些預防措施來應對勒索軟件，例如使用保安軟件或設置以避免已知的勒索軟件執行；保留與不與電腦連接的資料備份，尤其某些病毒會將仍與電腦連接的備份檔案一併加密。^[19][90]非加密性勒索軟件能被專家移除，或是利用現成的保安軟件刪除。

雖然勒索軟件的威脅無法被完全革除，使用IT業界所稱的多層次預防策略（defense-in-layers security strategy）卻稱得上是不錯的預防手段。多層次預防策略提倡同時部署多種獨立、領域互相重疊的安全措施以建立穩固的安全措施。各安全層被設計和其他安全層互補，使得威脅不易穿透重重防護。例如一個安全策略可能包含下列五層： ^[1]

• 全面性的、完備的安全政策
• 網絡和郵件的內容過濾代理伺服器
• 限制級別存取
• 以密碼上鎖特定功能
• 不間斷的員工警覺性訓練

流行文化

尼爾·斯蒂芬森的小說Reamde探討一次勒索軟件的攻擊及其後果。

參見

• 網絡釣魚
• Operation Tovar──國際合作瓦解Gameover ZeuS殭屍網絡的聯合行動

參考資料

1. Musa, S. (2016). 5 Steps to Take on Ransomware.. [2016-05-23]. （原始內容存檔於2016-07-18）.
2. Dunn, John E. Ransom Trojans spreading beyond Russian heartland. TechWorld. [2012-03-10]. （原始內容存檔於2014-07-02）.
3. New Internet scam: Ransomware.... FBI. 2012-08-09 [2016-05-23]. （原始內容存檔於2012-10-17）.
4. Citadel malware continues to deliver Reveton ransomware.... Internet Crime Complaint Center (IC3). 2012-11-30 [2016-05-23]. （原始內容存檔於2017-03-04）.
5. Update: McAfee: Cyber criminals using Android malware and ransomware the most. InfoWorld. [2013-09-16]. （原始內容存檔於2014-07-02）.
6. Cryptolocker victims to get files back for free. BBC News. 2014-08-06 [2014-08-18]. （原始內容存檔於2014-08-09）.
7. FBI says crypto ransomware has raked in >$18 million for cybercriminals. Ars Technica. [2015-06-25]. （原始內容存檔於2016-10-23）.
8. Ransomware squeezes users with bogus Windows activation demand. Computerworld. [2012-03-09]. （原始內容存檔於2014-07-03）.
9. Police warn of extortion messages sent in their name. Helsingin Sanomat. [2012-03-09]. （原始內容存檔於2012-03-14）.
10. McMillian, Robert. Alleged Ransomware Gang Investigated by Moscow Police. PC World. [2012-03-10]. （原始內容存檔於2011-12-25）.
11. Ransomware: Fake Federal German Police (BKA) notice. SecureList (Kaspersky Lab). [2012-03-10]. （原始內容存檔於2012-02-05）.
12. And Now, an MBR Ransomware. SecureList (Kaspersky Lab). [2012-03-10]. （原始內容存檔於2012-04-14）.
13. Young, A.; M. Yung. Cryptovirology: extortion-based security threats and countermeasures. IEEE Symposium on Security and Privacy: 129–140. 1996. ISBN 0-8186-7417-2. doi:10.1109/SECPRI.1996.502676.
14. Adam Young. Zhou, Jianying; Lopez, Javier , 編. Building a Cryptovirus Using Microsoft's Cryptographic API. Springer-Verlag. 2005: 389–401. |journal=被忽略 (幫助)
15. Young, Adam. Cryptoviral Extortion Using Microsoft's Crypto API: Can Crypto APIs Help the Enemy?. International Journal of Information Security (Springer-Verlag). 2006, 5 (2): 67–76. doi:10.1007/s10207-006-0082-7.
16. Danchev, Dancho. New ransomware locks PCs, demands premium SMS for removal. ZDNet. 2009-04-22 [2009-05-02]. （原始內容存檔於2009-04-26）.
17. Ransomware plays pirated Windows card, demands $143. Computerworld. [2012-03-09]. （原始內容存檔於2014-07-03）.
18. Cheng, Jacqui. New Trojans: give us $300, or the data gets it!. Ars Technica. 2007-07-18 [2009-04-16]. （原始內容存檔於2011-09-12）.
19. You’re infected—if you want to see your data again, pay us $300 in Bitcoins. Ars Technica. [2013-10-23]. （原始內容存檔於2016-11-10）.
20. CryptoDefense ransomware leaves decryption key accessible. Computerworld. IDG. [2014-04-07]. （原始內容存檔於2014-07-03）.
21. What to do if Ransomware Attacks on your Windows Computer?. Techie Motto. [2016-04-25]. （原始內容存檔於2016-05-23）.
22. Kassner, Michael. Ransomware: Extortion via the Internet. TechRepublic. [2012-03-10]. （原始內容存檔於2012-06-21）.
23. Schaibly, Susan. Files for ransom. Network World. 2005-09-26 [2009-04-17]. （原始內容存檔於2013-10-19）.
24. Leyden, John. Ransomware getting harder to break. The Register. 2006-07-24 [2009-04-18]. （原始內容存檔於2016-12-07）.
25. Naraine, Ryan. Blackmail ransomware returns with 1024-bit encryption key. ZDNet. 2008-06-06 [2009-05-03]. （原始內容存檔於2008-08-03）.
26. Lemos, Robert. Ransomware resisting crypto cracking efforts. SecurityFocus. 2008-06-13 [2009-04-18]. （原始內容存檔於2016-03-03）.
27. Krebs, Brian. Ransomware Encrypts Victim Files with 1,024-Bit Key. The Washington Post. 2008-06-09 [2009-04-16]. （原始內容存檔於2012-05-31）.
28. Kaspersky Lab reports a new and dangerous blackmailing virus. Kaspersky Lab. 2008-06-05 [2008-06-11]. （原始內容存檔於2016-04-02）.
29. Violet Blue. CryptoLocker's crimewave: A trail of millions in laundered Bitcoin. ZDNet. 2013-12-22 [2013-12-23]. （原始內容存檔於2013-12-23）.
30. Encryption goof fixed in TorrentLocker file-locking malware. PC World. [2014-10-15]. （原始內容存檔於2016-05-06）.
31. Cryptolocker 2.0 – new version, or copycat?. WeLiveSecurity. ESET. [2014-01-18]. （原始內容存檔於2016-11-22）.
32. New CryptoLocker Spreads via Removable Drives. Trend Micro. [2014-01-18]. （原始內容存檔於2016-11-04）.
33. Synology NAS devices targeted by hackers, demand Bitcoin ransom to decrypt files. ExtremeTech (Ziff Davis Media). [2014-08-18]. （原始內容存檔於2014-08-19）.
34. Fox-Brewster, Thomas. RansomWeb: Crooks Start Encrypting Websites And Demanding Thousands Of Dollars From Businesses. Forbes.com. [2016-01-12]. （原始內容存檔於2020-11-08）.
35. Ben Herzog. What You Can (and Can't) Do Against Ransomware. Checkpoint Technologies. 2015-08-17 [2016-03-14]. （原始內容存檔於2020-12-12）.
36. Marsh, Sarah. The NHS trusts hit by malware – full list. The Guardian. 2017-05-12 [2017-05-13]. ISSN 0261-3077. （原始內容存檔於2017-05-15） （英國英語）.
37. Statement on reported NHS cyber attack. digital.nhs.uk. [2017-05-13]. （原始內容存檔於2017-05-19） （英國英語）.
38. Hern, Alex; Gibbs, Samuel. What is 'WanaCrypt0r 2.0' ransomware and why is it attacking the NHS?. The Guardian. 2017-05-12 [2017-05-13]. ISSN 0261-3077. （原始內容存檔於2017-05-12） （英國英語）.
39. NHS cyber-attack: GPs and hospitals hit by ransomware. BBC News. 2017-05-13 [2017-05-13]. （原始內容存檔於2017-05-12） （英國英語）.
40. Larson, Selena. Massive ransomware attack hits 99 countries. CNNMoney. 2017-05-12 [2017-05-13]. （原始內容存檔於2017-05-21）.
41. Ransomware virus plagues 75k computers across 99 countries. RT International. [2017-05-13]. （原始內容存檔於2017-05-12） （美國英語）.
42. 安天发布措施紧急应对新型勒索软件“wannacry”. 新浪科技. [2017-05-13]. （原始內容存檔於2020-08-20）.
43. cnBeta. 勒索病毒国内蔓延 多地出入境系统受影响瘫痪_警告!_cnBeta.COM. cnbeta. [2017-05-13]. （原始內容存檔於2021-08-01） （中文（中國大陸））.
44. 勒索病毒来袭 洛阳市这些单位办理业务受影响. 網易新聞. [2017-05-15]. （原始內容存檔於2019-06-09）.
45. 国家互联网应急中心发布勒索软件情况通报. 新浪科技. 2017-05-13 [2017-05-13]. （原始內容存檔於2021-08-01）.
46. Sanger, David E.; Perlroth, Nicole; Schmitt, Eric. Scope of Russian Hack Becomes Clear: Multiple U.S. Agencies Were Hit. The New York Times. December 15, 2020 [December 15, 2020]. （原始內容存檔於December 18, 2020）.
47. Helmore, Edward. FBI confirms DarkSide hacking group behind US pipeline shutdown. The Guardian. 2021-05-10 [2021-05-10]. （原始內容存檔於2021-05-12） （英語）.
48. Leyden, John. Russian cops cuff 10 ransomware Trojan suspects. The Register. [2012-03-10]. （原始內容存檔於2017-02-22）.
49. Criminals push ransomware hosted on GitHub and SourceForge pages by spamming ‘fake nude pics’ of celebrities. TheNextWeb. [2013-07-17]. （原始內容存檔於2017-02-16）.
50. New OS X malware holds Macs for ransom, demands $300 fine to the FBI for ‘viewing or distributing’ porn. TheNextWeb. [2013-07-17]. （原始內容存檔於2017-01-03）.
51. Man gets ransomware porn pop-up, goes to cops, gets arrested on child porn charges. Ars Technica. [2013-07-31]. （原始內容存檔於2016-11-09）.
52. Leyden, John. Two-thirds of Android users vulnerable to web history sniff ransomware. 2016-01-28 [2016-02-01]. （原始內容存檔於2019-08-07）.
53. Fake cop Trojan 'detects offensive materials' on PCs, demands money. The Register. [2012-08-15]. （原始內容存檔於2016-11-09）.
54. Reveton Malware Freezes PCs, Demands Payment. InformationWeek. [2012-08-16]. （原始內容存檔於2013-05-14）.
55. Dunn, John E. Police alert after ransom Trojan locks up 1,100 PCs. TechWorld. [2012-08-16]. （原始內容存檔於2014-07-02）.
56. Constantian, Lucian. Police-themed Ransomware Starts Targeting US and Canadian Users. PC World. [2012-05-11].^{[失效連結]}
57. Reveton 'police ransom' malware gang head arrested in Dubai. TechWorld. [2014-10-18]. （原始內容存檔於2014-12-14）.
58. 'Reveton' ransomware upgraded with powerful password stealer. PC World. [2014-10-18]. （原始內容存檔於2016-04-02）.
59. Disk encrypting Cryptolocker malware demands $300 to decrypt your files. Geek.com. [2013-09-12]. （原始內容存檔於2016-11-04）.
60. CryptoLocker attacks that hold your computer to ransom. The Guardian. [2013-10-23]. （原始內容存檔於2013-11-18）.
61. Destructive malware "CryptoLocker" on the loose - here's what to do. Naked Security. Sophos. [2013-10-23]. （原始內容存檔於2017-05-08）.
62. CryptoLocker crooks charge 10 Bitcoins for second-chance decryption service. NetworkWorld. [2013-11-05]. （原始內容存檔於2013-11-05）.
63. CryptoLocker creators try to extort even more money from victims with new service. PC World. [2013-11-05]. （原始內容存檔於2017-04-30）.
64. Wham bam: Global Operation Tovar whacks CryptoLocker ransomware & GameOver Zeus botnet. Computerworld. IDG. [2014-08-18]. （原始內容存檔於2014-07-03）.
65. U.S. Leads Multi-National Action Against "Gameover Zeus" Botnet and "Cryptolocker" Ransomware, Charges Botnet Administrator. Justice.gov. U.S. Department of Justice. [2014-08-18]. （原始內容存檔於2014-09-03）.
66. Australians increasingly hit by global tide of cryptomalware. Symantec. [2014-10-15]. （原始內容存檔於2016-03-29）.
67. Grubb, Ben. Hackers lock up thousands of Australian computers, demand ransom. Sydney Morning Herald. 2014-09-17 [2014-10-15]. （原始內容存檔於2014-10-20）.
68. Australia specifically targeted by Cryptolocker: Symantec. ARNnet. 2014-10-03 [2014-10-15]. （原始內容存檔於2014-10-07）.
69. Scammers use Australia Post to mask email attacks. Sydney Morning Herald. 2014-10-15 [2014-10-15]. （原始內容存檔於2014-10-16）.
70. Ransomware attack knocks TV station off air. CSO. [2014-10-15]. （原始內容存檔於2016-10-12）.
71. Over 9,000 (Vegeta - "OVER 9000!!!!!!!") PCs in Australia infected by TorrentLocker ransomware. CSO.com.au. [2014-12-18]. （原始內容存檔於2016-11-11）.
72. Malvertising campaign delivers digitally signed CryptoWall ransomware. PC World. [2015-06-25]. （原始內容存檔於2016-07-19）.
73. CryptoWall 3.0 Ransomware Partners With FAREIT Spyware. Trend Micro. [2015-06-25]. （原始內容存檔於2016-10-18）.
74. Andra Zaharia. Security Alert: CryptoWall 4.0 – new, enhanced and more difficult to detect. HEIMDAL. 2015-11-05 [2016-01-05]. （原始內容存檔於2016-11-10）.
75. CryptoHost Decrypted: Locks files in a password protected RAR File. BleepingComputer. [2016-04-20]. （原始內容存檔於2020-11-08） （美國英語）.
76. ^ 參照錯誤：沒有為名為CNN WannaCrypt的參考文獻提供內容
77. Constantin, Lucian. Petya ransomware is now double the trouble. NetworkWorld. [2017-06-27]. （原始內容存檔於2017-07-31） （英語）.
78. Tuesday’s massive ransomware outbreak was, in fact, something much worse. Ars Technica. [2017-06-28]. （原始內容存檔於2017-07-17） （美國英語）.
79. Cyber-attack was about data and not money, say experts. BBC News. 2017-06-29 [2017-06-29]. （原始內容存檔於2019-08-05） （英國英語）.
80. 'Bad Rabbit' ransomware strikes Ukraine and Russia. BBC. 2017-10-24 [2017-10-24]. （原始內容存檔於2021-01-06）.
81. Hern, Alex. Bad Rabbit: Game of Thrones-referencing ransomware hits Europe. Theguardian.com. 2017-10-25 [2017-10-25]. （原始內容存檔於2020-11-09）.
82. Larson, Selena. New ransomware attack hits Russia and spreads around globe. CNN. 2017-10-25 [2017-10-25]. （原始內容存檔於2020-11-12）.
83. Cameron, Dell. 'Bad Rabbit' Ransomware Strikes Russia and Ukraine. Gizmodo. 2017-10-24 [2017-10-24]. （原始內容存檔於2020-11-12）.
84. Palmer, Danny. Bad Rabbit ransomware: A new variant of Petya is spreading, warn researchers. ZDNet. 2017-10-24 [2017-10-24]. （原始內容存檔於2021-01-14）.
85. Brook, Chris. Author Behind Ransomware Tox Calls it Quits, Sells Platform. 2015-06-04 [2015-08-06]. （原始內容存檔於2018-09-29）.
86. Dela Paz, Roland. Encryptor RaaS: Yet another new Ransomware-as-a-Service on the Block. 2015-07-29 [2015-08-06]. （原始內容存檔於2016-05-16）.
87. Yuma Sun weathers malware attack. Yuma Sun. [2014-08-18]. （原始內容存檔於2017-10-08）.
88. Cannell, Joshua. Cryptolocker Ransomware: What You Need To Know, last updated 06/02/2014. Malwarebytes Unpacked. [2013-10-19]. （原始內容存檔於2016-03-14）.
89. Leyden, Josh. Fiendish CryptoLocker ransomware: Whatever you do, don't PAY. The Register. [2013-10-18]. （原始內容存檔於2016-11-10）.
90. "Cryptolocker Infections on the Rise; US-CERT Issues Warning" （頁面存檔備份，存於互聯網檔案館）.

延伸閱讀

• Russinovich, Mark. Hunting Down and Killing Ransomware (Scareware). Microsoft TechNet blog. 2013-01-07 [2016-05-23]. （原始內容存檔於2015-11-16）.. Microsoft TechNet blog.
• Simonite, Tom. Holding Data Hostage: The Perfect Internet Crime? Ransomware (Scareware). MIT Technology Review. 2015-02-04 [2016-05-23]. （原始內容存檔於2015-11-27）."Holding Data Hostage: The Perfect Internet Crime? （頁面存檔備份，存於互聯網檔案館） Ransomware (Scareware)" （頁面存檔備份，存於互聯網檔案館）. MIT Technology Review.
• Brad, Duncan. Exploit Kits and CryptoWall 3.0. The Rackspace Blog! & NewsRoom. 2015-03-02 [2016-05-23]. （原始內容存檔於2015-09-24）.. The Rackspace Blog! & NewsRoom.
• Ransomware on the Rise. The Federal Bureau of Investigation JANUARY 2015. [2016-05-23]. （原始內容存檔於2016-07-09）.
• Yang, T.; Yang, Y.; Qian, K.; Lo, D.C.T.; Qian, L. & Tao, L. Automated Detection and Analysis for Android Ransomware. IEEE Internet of Things Journal, CONFERENCE, AUGUST 2015.
• Richet, Jean-Loup. Extortion on the Internet: the Rise of Crypto-Ransomware (PDF). Harvard. [2016-05-23]. （原始內容存檔 (PDF)於2017-03-05）.

外部連結

• Incidents of Ransomware on the Rise （頁面存檔備份，存於互聯網檔案館） – Federal Bureau of Investigation
• Geeknights 20160418: Ransomware （頁面存檔備份，存於互聯網檔案館）
• SSpyware 20160512: Mischa ransomware^{[永久失效連結]}