You are currently viewing 加密病毒超兇!不被勒索的自救祕方大分享

加密病毒超兇!不被勒索的自救祕方大分享

近年來,資安領域的黑色產業鏈,正在你我看不到的地方恣意成長、茁壯, 勒索病毒 橫行霸道的世代,機敏檔案與資料被綁架、被 加密 的情況層出不窮,往往造成企業巨大的損失。

然而惡意仍在蔓延,單純的勒索贖金已無法滿足駭客,在利用程式腳本改改檔案的副檔名之餘,更進一步竊取並轉賣具高價值的企業資料,瞬間演變為資料外洩的重大資安事件。

你各位,跑起來!與勒索病毒Battle成長速度

還記得2018年台積電的想哭(WannaCry)病毒事件嗎?小小的勒索病毒直接導致近26億的虧損,包含宏碁、日月光集團、台達電、技嘉等知名大廠,都深受其害,業界因此紛紛重視起資安議題,開打一場看不見敵人的仗。

依據Fortinet公布的《2022 下半年全球資安威脅報告》顯示,光是2022全年的利益型網路犯罪中,就有超過八成的勒索病毒及惡意程式,且下半年偵測到的數量比上半年增長近兩成,完全沒有遏止的跡象。

如同Covid-19短短幾年便變種無數次,勒索病毒也會進化、會學習,變得更加兇猛。疫情之下,許多企業都開始使用VPN架構遠端辦公的環境,而近期的新型勒索軟體 Cactus,就是利用VPN的漏洞闖入企業的伺服器,甚至會自我加密,成為難以偵測的惡意行動,成功逃過防毒軟體與網路監控工具的法眼。

這是一場對方不喊停,便不會停歇的長期戰爭!面對來勢洶洶的惡意,更不能停下腳步,在對峙之間,也許過去的策略不再有效,比如面對狡猾的Cactus,應該採取更全面性的解決方案,調動所有資安資源建構強健的協防,做好萬全的準備,以便應戰詭詐多變的勒索軟體及其背後的駭客組織。

Ctrl+Z無效!踩中加密地雷需速速自救

勒索病毒入侵後造成的危害,不僅僅是肉眼看得到的檔案被加密,還有讓IT資訊人員忙翻天的後續處理。舉個例子,Covid-19疫情初期的情況相當嚴峻,一旦同一棟樓有人確診或接觸過確診者,便要清消、隔離。中了電腦病毒也是一樣,受影響的範圍須全面「消毒」,盤點損失、修復漏洞等後續事宜,並不是花費一兩天的時間成本就可以完成。

然而自古至今,不存在攻不破的城牆,資安也是一樣,沒有百分之百的防護,在一切都做好準備的情況下,如果還是中毒了,怎麼辦?先不要慌張,靜下心來,別被駭客牽著鼻子走!

阻斷感染途徑,減少影響範圍

發現異常的時候,直接扯掉網路線,關機吧!這可不是在開玩笑,當整臺電腦變成勒索病毒的「培養皿」時,所有的檔案與資料皆成為惡意程式鎖定的目標,一時間無法輕易清除病毒,猶豫應對方式只會浪費時間,不如關閉「培養皿」的動力來源,再來想下一步怎麼做。

檢查資安機制,修補漏洞

賊人已經闖入家裡了,自然要先關上大開的門戶,不要給它或其它病毒繼續肆虐的機會。在確認勒索病毒的影響範圍前,應先檢查資安機制是否正常運行,儘可能修補相關漏洞與排除風險,才不會一邊處理被加密的檔案,一邊擔心是否還有下一波攻擊。(延伸閱讀:如何規劃企業資安? 先找到資安漏洞在哪!

確認影響範圍,評估損失

大多的勒索病毒會將電腦裡的檔案與資料 加密 ,副檔名成為毫無意義的亂碼,即使強硬開啟檔案也無法看到正確的資料內容,此時才跑去PTT發文求救「有解嗎」、「有救嗎」,廣大鄉民大概只能幫你取取暖而已。

先確認勒索病毒感染的範圍,盤點每個檔案與資料,是否皆遭受殘害,評估損失程度後,方可採取後續對應措施。如果日常有備份的習慣,尤其具完善的異地備援機制,即可將中毒帶來的影響降到最低,同時還可因應如硬碟損壞、檔案毀損等異常狀況,備而不用。(延伸閱讀:備份可以很簡單又安全,一看就懂的備份架構

等待解決方案,或是與駭客交涉

一般而言, 勒索病毒 入侵的當下便會索要贖金,急著復原檔案的心態很容易稱了駭客的意,助長黑色產業鏈的火焰,並且誰也無法確保繳交贖金後,駭客會不會拿了錢就跑?被加密的檔案依舊破解不了,賠了夫人又折兵。

如果盤點時,確認被 加密 的檔案與資料雖重要但不急用,或許可以降低其救援等級,尋求安全又有效的處理方案,比如說等待資安團隊或防毒軟體釋出解密方式。直到萬不得已,必須解除勒索病毒導致的緊急狀況,與駭客交涉時也別忘了殺價,儘可能將損失降到最低。

擺脫無孔不入、處處加密的勒索病毒

現今網路的普及度相當高,只要動動手指就可以隨時隨地上網,因此很多人忽略了網際網路是一個開放的世界,資訊流通的同時也可能引狼入室,危害資安。

勒索病毒並非無中生有,原本也不存在於企業的任何一臺伺服器、電腦裡,但它會藉由軟硬體的漏洞,默默潛入企業內部,伺機猖獗,因此應儘量防堵勒索病毒於門外,以免後患。

避免瀏覽不安全的內容

好奇心不只會害死貓,也可能害死你的電腦。面對奇怪的網站連結及陌生的E-mail,即使只是按了一下「左鍵」,也等於回覆病毒「OK,你來吧」。

所以大部分的政府機關與企業,都會定期實行釣魚信件防護演練及社交工程訓練,就是為了提高員工的警覺性,避免創造放行病毒的機會。

開啟防火牆,抵禦來路不明的連線

有時候為求方便及測試所需,關閉或是更改防火牆的設定,導致門戶大開,就像是沒有開機的保全系統,擺著好看而已,賊人不費吹灰之力,便可將企業辛苦運維的系統,全變成了「共享財」。

防火牆是Intranet與Internet之間的第一防線,除了基本防護設定外,更應該全面檢視並關閉高風險的連接埠(Port),直接斷絕來路不明的連線。(延伸閱讀:資安鐵三角-企業網路安全防護

使用防毒軟體,並定期更新病毒資料庫

防毒軟體是一道強而有力的關卡,可阻擋惡意軟體及可疑程式造成危害,應定期更新病毒資料庫,讓防毒軟體處於「最聰明」的狀態,才可在關鍵時刻起到作用。

另外,也應避免下載來路不明、非官方來源的民間程式或檔案,否則當病毒資料庫趕不上病毒進化的速度,病毒仍可趁隙而入。

定期更新作業系統、軟硬體,維持系統安全性

過時的作業系統、軟硬體不僅僅無法提供最先進的功能,更因為沒有持續維護其安全性,導致後患無窮。

如盛極一時的Windows 7,目前依舊受到許多企業愛用,但微軟早在2015年便不再提供主流支援,延伸支援也於2020年停止,應儘早升級為Windows 10或更新一代的作業系統,以免其存在的漏洞成為惡意程式滋長的溫床。

完善資安架構,定期進行資安風險檢測

每一次的事件都是成長的機會,除了排除問題與障礙外,更應該從中學習、改善現有的不足,將資安的堡壘進化再進化。不過再好的架構也不會是最完美的。

許多企業會陷入「開源節流」的盲點,在「摳死當」(Cost down)的文化之下,能省則省,以為花了大錢完成資安架構便高枕無憂?資安告警系統沒消息就是好消息?

肝是沉默的器官,漏洞也是,應以「零信任」的架構與策略,建構由機器學習(ML)驅動的端點偵測與回應(MDR)解決方案,定期進行風險檢測,可及早發現、及早修補,降低資安風險,畢竟預防永遠勝過治療,等到事情發生,IT人員爆肝處理就來不及了。

看不到,不代表不存在,勒索軟體即服務(Ransomware-as-a-Service,RaaS)的手法在黑色產業鏈趨於成熟,駭客組織擁有更多資源創造更猛烈的攻擊手法。若是支付贖金就能取得解密方法,還算用錢就能解決的小事,可事情往往沒有那麼單純,重大資安事件一旦發生,將會直接衝擊好不容易建立起來的企業商譽,則非金錢即可修補。

這並不是危言聳聽,連護國神山都曾被大敗,各家大廠不容輕視的存在,是時刻威脅著你我平靜生活的重要風險因子。