名詞解釋

什麼是勒索軟體 —— 運作原理、入侵途徑與「不付款」的防禦

勒索軟體是一種加密檔案並索要贖金的惡意軟體。近來「竊取資料並威脅公開」的雙重勒索已成為主流。本文以防禦視角、不公開攻擊手法地講解其運作原理、主要入侵途徑（釣魚、暴露在外的 VPN/RDP、未修補的漏洞），以及在不支付贖金的前提下復原的防禦措施（離線備份、MFA、修補、最小權限）。

發布於 2026-06-12 更新於 2026-06-12 閱讀時間 2 分鐘

「把檔案當作人質來索要贖金」——這就是勒索軟體。本文講解它的運作原理，以及無需支付贖金就能應對的防禦措施（不公開攻擊手法）。

運作原理：它不只是病毒，而是一種「商業模式」

經典的勒索軟體會把終端或伺服器裡的檔案逐一加密，並留下「想要解密金鑰就付錢」的勒索信。但當今威脅的本質，與其說在技術，不如說在於變現的機制。

雙重勒索

加密＋竊取資料同時施壓已成主流。即使能解密，「公開」的威脅也不會停止

RaaS

Ransomware-as-a-Service。把攻擊工具「出租」的分工化讓攻擊者群體不斷擴大

數小時～數天

從入侵到加密的時間不斷縮短。等察覺時往往已經為時已晚

**雙重勒索（Double Extortion）**中，攻擊者會在加密之前先竊取資料。所以即便受害者能用自己的備份復原，仍會面臨「不付款就公開竊取到的資料」這第二重威脅。「有備份就沒事」之所以變得不再管用，正是因為這一變化。再加上 RaaS（勒索軟體即服務），讓製造工具的人和實際發動攻擊的人實現了分工，攻擊的門檻大幅降低。

主要入侵途徑（封堵入口）

勒索軟體並非像魔法一樣憑空出現，而是從幾乎固定的入口進來。封堵入口是第一道防禦。

① 釣魚

來自郵件附件·連結。最常見的入口。對策＝MFA·郵件防護·培訓

② 暴露在外的 VPN/RDP

弱密碼/無 MFA 的遠端連線。對策＝強制 MFA·收緊暴露面

③ 未修補的漏洞

公開軟體中已知的缺口。對策＝迅速修補

勒索軟體的三大入侵途徑。每一條都能靠「防禦」封堵。

作為實例，本站也曾介紹過的 MOVEit 大規模外洩事件（Cl0p），就是面向網際網路的軟體中的未修補漏洞被攻破、在修復修補程式發布前就被竊走大量資料的雙重勒索型案例。它很好地說明了：勒索軟體的入口絕不只是「郵件附件」。

防禦：打造無需付款也能復原的狀態

持有離線/防竄改的備份（最重要）

復原的決定性手段是備份。但始終在線且可被改寫的備份有可能一起被加密，所以要持有至少一份離線、或防竄改（不可變 immutable）的副本。並且要定期做「是否真的能復原」的復原演練。詳情參見備份與復原的基礎（3-2-1）。

封堵入口：MFA 與修補

對最大的入口——釣魚和暴露在外的遠端連線，必須啟用多因素認證（MFA）。對外公開的軟體要迅速修補已知漏洞。僅此就能阻止大量入侵（→ 如何選擇 MFA）。

縮小受害範圍：最小權限與網路隔離

為了萬一被攻入也不至於全公司被加密，要把權限控制到必要的最小限度，並對網路進行隔離（分段）。把架構設計成一台被攻陷不會蔓延到整體，就能把損害局部化。

準備好偵測與「被感染之後」的流程

即便加固了入口，也不可能完全預防。所以要盡早偵測異常，並事先確定感染時誰該做什麼的事件回應流程（隔離·通報·復原的先後順序）。在慌忙付款之前，先打造一個能嘗試遏制與復原的體制。

本站的觀點：付款連「最後手段」都算不上，準備才是正解

關於是否該支付贖金這個問題，本站的立場很明確——先做好無需付款也能應對的準備。付了也不保證能解密，若是雙重勒索連公開都阻止不了，還要背負為犯罪提供資金、作為「會付錢的對象」被再次盯上的風險。所以正解不是事故應對，而是事前準備。用離線備份做到「能復原」的狀態，以及用 MFA·修補做到「不讓其進入」的狀態。這兩者齊備，就能把勒索軟體從「毀滅性的事件」降級為「麻煩但能復原的事故」。

盲點：「有備份＝安全」已經不再成立

過去只要有備份，勒索軟體就不可怕。但如今雙重勒索已成主流，用備份「能復原」和「不讓資料被竊取」是兩回事。攻擊者會在加密之前抽走資料，再逼迫「不付款就公開」。所以防禦要分兩層——不僅要能復原（備份），還要包含從根本上不讓其進入、不讓其竊取（入口防禦），這才算完整。不止步於「我們有備份」，正是當今勒索軟體防禦的出發點。

接下來閱讀

入門：備份與復原的基礎（無需付款也能復原的根基·3-2-1 規則）
入門：如何選擇雙因素認證（MFA）（封堵最大的入口）
術語：什麼是釣魚（從源頭切斷最大的入侵途徑）
案例：MOVEit 大規模外洩（Cl0p）（攻破未修補漏洞的雙重勒索實例）
術語：什麼是 C2（指揮控制伺服器）（感染後從外部遠端操控的指揮通訊）

FAQ

Q感染勒索軟體後應該支付贖金嗎？

原則上應朝著不付款的方向考慮。付了也不保證能解密，也不保證能阻止資料被公開。而且這會為犯罪組織提供資金，讓你作為「會付錢的對象」更容易再次被盯上（向受制裁對象匯款等還存在法律風險）。許多公共機構也不建議支付。正因如此，事前的準備——無需付款也能復原的離線備份——才是決定性的關鍵。

Q勒索軟體是從哪裡進來的？

主要入侵口有三個。(1) 釣魚郵件的附件或連結；(2) 暴露在網際網路上、弱密碼/沒有多因素認證(MFA)的 VPN、RDP 等遠端連線；(3) 未修補的對外公開漏洞（面向網際網路的軟體中已知的缺口）。也就是說「人的操作」「暴露在外的入口」「未修補」是三大途徑，而它們都能靠防禦封堵。

Q只要有備份就高枕無憂了嗎？

備份至關重要，但有前提條件。始終在線且可被改寫的備份，有可能連同主機一起被加密。所以要持有「至少一份離線/防竄改（不可變 immutable）的副本」，並定期做復原演練。此外，近來在加密之前先竊取資料的雙重勒索已成主流，所以不僅要靠備份做到「能復原」，還需要從根本上「不讓其竊取、不讓其進入」的入口防禦。