資訊安全教育訓練課程
勒索軟體防護說明
⭐什麼是勒索軟體(Ransomware)
勒索軟體(Ransomware)是一種透過破壞受駭者存取權限,並向受駭者要求贖金的惡意程式,目前可分類為「非加密型勒索軟體」與「加密型勒索軟體」。● 非加密型勒索軟體:將受駭者的資訊設備鎖起來,破壞受駭者對設備的存取權。
● 加密型勒索軟體:加密受駭者硬碟上的檔案,破壞受駭者對資料的存取權,通常要求受駭者以加密貨幣支付贖金,以取回檔案的存取權。
個人、政府機關及企業組織皆可能成為被攻擊的對象,已逐漸成為嚴重的資安威脅之一,當遭受勒索軟體攻擊時,不建議支付贖金,因支付贖金並不能保證取回存取權限,且將助長勒索軟體更加猖獗。
⭐當出現下列跡象出現時,就有可能就是遭到勒索軟體感染:
● 勒索留言通常是.txt檔或是.html檔。
● 發現文件被加密無法開啟。
● 發現各目錄下開始出現奇怪副檔名的檔案,例如:.crypt、.VVV、.CCC、.ZZZ、.AAA、.ABC、.XXX、.TTT等。
● 瀏覽器遭鎖定或瀏覽器工具列發現奇怪的捷徑。
● 畫面遭鎖定。
● 電腦出現藍色當機畫面,在電腦重新開機時顯示勒索訊息。
⭐感染勒索軟體的緊急處理:
大部分的加密勒索軟體都是經由複雜加密技術將檔案資料加密,幾乎不可能以自行暴力破解方式救回檔案,且勒索軟體會限期支付贖金,否則銷毀金鑰,讓受駭者再也無法解開檔案,若感染勒索軟體,建議採取以下措施:
1. 立即中斷受駭主機網路連線並隔離,避免災情擴大,若發現主機中的檔案正在被惡意程式加密,應立即關機讓被加密的檔案降低到最少,關機時請持續按壓電源鍵強迫電腦進行關機動作,切勿重新開啟主機以免加密程式繼續進行。
2. 可嘗試使用信任來源的解密工具解密,並保存受駭主機以提供分析環境,請求專家協助或報警處理。
3. 系統重灌,讓主機回復成乾淨的原始狀態,重灌前確認受駭當時主機本身的風險與狀態,以避免重灌後因同樣漏洞再感染。
⭐勒索軟體感染途徑:
為謀取較大利益,駭客通常以政府機關或企業組織作為勒索軟體攻擊目標,惟儘管組織防護做的再滴水不漏,仍可能因內部個體的疏忽遭攻擊成功,致使整個組織皆受駭,造成難以計量的損失,以下列出常見的感染途徑:
2.電子郵件感染
3.非法軟體感染
4.被已遭受勒索軟體攻擊的電腦或裝置感染
⭐預防措施:
勒索軟體的攻擊方式日新月異,若政府機關與企業組織能提升內部人員的資安防護意識,隨時保持資通系統處於安全防護狀態並定期備份重要資料,能有效預防資通系統受駭或降低受駭將造成的損失,預防方式可從以下幾個層面著手:
(一) 採用「3-2-1原則」備份重要檔案(二) 根據需求使用不同儲存媒體備份檔案
(三) 公有雲端備份
利用雲端儲存空間備份檔案,如:Dropbox、iCloud、Google Drive、Microsoft-OneDrive、Box 及 ASUS WebStorage等。
註:若為公務資料備份,原則請依業務規定辦理。
● 修補軟體漏洞
勒索軟體利用漏洞攻擊越來越常見,一般使用者平時應確保作業系統與常用應用程式(如:瀏覽器)維持在最新版本,減少因漏洞導致被入侵的風險。
(一) Windows系統更新:請至控制台\系統及安全性\Windows Update更新至最新。
(二) Jave:驗證JAVA版本 https://www.java.com/zh_TW/download/installed.jsp。
(三) Adobe Reader:Adobe Reader最新版下載處 https://get.adobe.com/tw/reader/。
● 謹慎開啟郵件,小心上網行為
(一) 不隨意打開來源不明的信件或點選信中的連結與附件。
(二) 不下載非法軟體或不明程式。
(三) 不要啟用Office文件的巨集,可考慮安裝Office Viewer,因為它不支援巨集功能。
(四) 上網瀏覽時提高警覺,並使用較高安全性瀏覽器。
(五) 即時掌握已/預計停止支援更新的作業系統資訊,並盡速更換成更高版本或較高安全性的作業系統。
● 安裝防毒軟體,隔離已知病毒
安裝防毒軟體是相當基本的防護策略,可增強端點資安防護,免於病毒及其他安全性威脅,更重要的是需時時更新病毒碼,並注意一些進階功能是否啟用,以增強未知病毒的防護能力。
參考資料來源:行政院國家資通安全會報技術服務中心