Zollo勒索軟體

惡意軟體威脅的複雜性不斷提升，使得裝置保護對個人和組織都至關重要。特別是勒索軟體攻擊，會造成嚴重的營運中斷、經濟損失以及敏感資料外洩。近期發現的一種威脅是 Zollo 勒索軟體，這是一種旨在加密檔案並勒索受害者贖金的惡意程式。了解這種威脅的運作方式和傳播途徑，對於建立更強大的防禦體係以抵禦類似攻擊至關重要。

Zollo勒索軟體的出現

Zollo勒索軟體已被確認為MedusaLocker勒索軟體家族的變種。與其他同家族成員一樣，它旨在入侵系統、加密重要文件，並迫使受害者支付贖金以換取解密。

一旦在受感染的裝置上執行，該惡意軟體會掃描系統中可存取的文件，並使用強大的加密演算法對其進行加密。加密後，勒索軟體會修改檔案名，增加一個獨特的副檔名，例如「.zollo6」。例如：

• 1.png 變成 1.png.zollo6
• 2.pdf 變為 2.pdf.zollo6

副檔名中的數字可能有所不同，但結果相同：使用者將無法存取加密檔案。除了鎖定檔案外，該勒索軟體還會更改系統桌面壁紙，並在裝置上放置一個名為「READ_NOTE.html」的勒索資訊檔案。

加密方法和贖金訊息

攻擊者留下的勒索信聲稱，文件使用了RSA和AES加密的組合進行加密，這兩種加密方法在現代勒索軟體攻擊中很常見。勒索信還指出，任何試圖恢復、重命名或修改加密檔案的行為都可能導致資料永久損壞。

攻擊者堅稱沒有任何公開可用的軟體可以恢復這些文件，並聲稱只有他們專有的解密工具才能恢復存取權限。受害者被告知透過提供的電子郵件地址聯繫攻擊者：

• recovery1@salamati.vip
• recovery1@amniyat.xyz

這些資訊還引入了時間壓力：受害者被告知，如果在 72 小時內沒有建立聯繫，贖金金額將會增加。

資料竊取和雙重勒索策略

這種勒索軟體變種的一個特別令人擔憂的特點是，它聲稱在加密之前就已經竊取了機密資料。攻擊者表示，這些資訊儲存在他們控制的私有伺服器上。

根據勒索訊息，支付贖金後，被盜資料將從其伺服器上刪除。如果不支付贖金，勒索者威脅要公佈或出售這些資訊。這種被稱為「雙重勒索」的策略，將資料加密與資料公開外洩的風險相結合，加大了對受害者的壓力。

即使受害者同意支付贖金，也無法保證攻擊者會提供有效的解密工具或刪除被盜資訊。因此，網路安全專家通常不建議支付贖金。

Zollo勒索軟體是如何傳播的

勒索軟體攻擊活動通常利用欺騙和社會工程手段來滲透系統。攻擊者經常將惡意程式偽裝成合法文件，誘騙使用者執行這些文件。

常見感染途徑包括：

• 惡意電子郵件附件或嵌入在釣魚郵件中的鏈接
• 虛假技術支援警報旨在誘騙受害者下載惡意軟體
• 破解軟體、非官方密鑰產生器和盜版應用程式
• 存在未修復漏洞的過時軟體
• 被入侵的網站、惡意廣告和點對點文件共享網絡
• 第三方下載器或受感染的USB

一旦啟動，勒索軟體會立即開始加密文件，並可能嘗試在同一網路內的連接系統中傳播。

恢復挑戰和事件回應

加密發生後，受害者通常無法在沒有攻擊者解密金鑰的情況下開啟受影響的檔案。只有在特定情況下才有可能恢復，最顯著的情況是存在在攻擊期間未連接到受感染系統的安全備份。

一旦偵測到勒索軟體，必須立即將其清除。如果惡意軟體仍然在裝置上處於活動狀態，它可能會繼續加密其他檔案或嘗試傳播到網路上的其他電腦。因此，快速隔離受感染的系統可以最大限度地減少損失並防止進一步傳播。

預防勒索軟體的基本安全措施

良好的安全習慣能顯著降低感染 Zollo 勒索軟體等威脅的可能性。有效的防護需要主動的技術控制和謹慎的使用者行為結合。

定期更新作業系統、應用程式和安全工具至關重要，因為許多勒索軟體攻擊都會利用過時軟體中的漏洞。同樣重要的是使用可靠的防毒軟體或終端安全防護解決方案，以便偵測可疑行為。

維護離線或雲端備份是最有效的安全措施之一。備份應與主系統分開存儲，以防止在攻擊期間被加密。一旦發生感染，乾淨的備份可以讓系統在無需支付贖金的情況下恢復。

用戶也應謹慎對待電子郵件附件和下載文件。可疑文件，尤其是那些聲稱緊急或要求立即採取行動的文件，在打開前應進行核實。企業通常會透過電子郵件過濾、附件沙箱和安全意識培訓來加強這種防禦。

網路分段可以限制勒索軟體進入環境後的傳播範圍，進而進一步降低風險。結合存取控制和監控系統，網路分段有助於在感染影響關鍵基礎設施之前將其遏制住。

最後想說的話

Zollo勒索軟體等勒索軟體威脅凸顯了主動網路安全措施的重要性。攻擊者透過加密檔案、威脅洩漏資料以及向受害者提出有時效性的贖金要求，迫使其迅速支付贖金。

結合系統更新、可靠備份、安全軟體和謹慎的使用者行為，多層次的防禦策略仍然是緩解這些威脅最有效的方法。早期發現和快速回應可以顯著降低勒索軟體事件的影響，並保護寶貴資料免於不可逆轉的損失。