https://newera17031.activehosted.com/index.php?action=social&chash=a60937eba57758ed45b6d3e91e8659f3.2219&nosocial=1
https://newera17031.activehosted.com/index.php?action=social&chash=a60937eba57758ed45b6d3e91e8659f3.2219&nosocial=1

觀點

不能說的祕密,加密勒索軟體企業因應的真相

2016 / 08 / 08
林政男
不能說的祕密,加密勒索軟體企業因應的真相

與以往病毒/木馬不一樣的利用與獲利,加密勒索軟體利用更容易獲利並難以追蹤的比特幣(Bitcoin)進行交易,但快速獲利卻導致惡意個體戶經營出現瓶頸。他們面臨的問題有:要當催帳人員通知被害人匯款、還要當售前客服解答被害人的問題、以及當售後客服回答匯款後解密金鑰的使用問題、要每天看網路銀行進出帳,金流也不是他們擅長的,最後導致產能與服務品質降低,天天抱怨沒時間幫綁架加密軟體升級改版,最終產生職業倦怠,良心發現公布解碼金鑰(我相信應該不是這樣)。 

目前所見大部分的惡意個體戶都如新創公司快速進化轉變集團化經營,不僅提供24hr專屬客服、匯款教學說明、各國語系線上服務,辛苦為他們的獲利而努力。但這不是在為各位解釋惡意服務4.0的由來,也不是笑話或在恐嚇,是要告訴各位目前所面對的現況,就是這般的弔詭與現實,當惡意人士(集團)都那麼認真經營他們的事業的同時,企業是不是應該更認真面對與因應。 

以下討論將不研究「加密勒索軟體目前的種類、攻擊感染手法、加解密方法、歷史發展」,這些資訊相信各位已從網路媒體獲得許多。但您該了解現實上企業評估、預防、或已不幸受害常面臨到的問題,筆者就近年來於企業服務所見為各位整理以下發現8個加密勒索軟體常見的問題,
希望對各位實務推動有所幫助。 

Q1:發現電腦被加密勒索軟體加密了,第一時間該怎麼辦?!
A:關電源!沒錯!請關主機電源吧!
發生原因:
當企業無建置任何可偵測、隔離的防火牆設備或類似功能之防毒軟體時,優先建議關閉電源。為何要關電源優先,大家不都是該先斷開網路嗎?是的,一般程序是建議先關閉網路線,但科技的進步讓網路的傳輸速度與系統效能變的更好,當您的時間花在關閉網路(無網路也常被忽略),加密勒索軟體同時也會以高效率的進行檔案加密。
處理程序:
1). 關機:雖然直接關機對系統與設備是不好的,但請同仁把握每分每秒與時間賽跑的時間,直接關機在此時應該是最適合的選擇。
2). 斷線:關機後還是要拔除實體網路線及任何USB儲存裝置(行動碟、可攜式磁碟等)。
3). 搬移:接下來就請資訊人員接手進行處理,將硬碟取出以另外有安裝防毒軟體主機將未受害檔案搬移作業(請勿搬到或執行惡意軟體)。
4). 救援:上策為使用備份檔案回復、中策以各廠商可取得解密金鑰回復與刪除惡意檔案,下策在沒任何可行辦法下,評估回復價值大於數次付款時,才把付贖金當做最後選擇。(但任何方法於解決完畢,均應將已掃描檔案移至乾淨重建的作業環境使用)
5). 關聯:確認受害主機日常共享範圍之主機空間(包含實體主機、虛擬主機、File Server等內部網路空間)、儲存設備(含可攜式裝置)、雲端空間均應以防毒軟體或設備檢查。
6). 清查:全面確認整體環境(包含實體主機、虛擬主機)之防毒軟體更新,並搭配以安全模式抽查方式,檢查是否還有潛伏期內之主機(如發現Encrypted 、HELP_TO_SAVE_FILES.txt、HELP_RESTORE_FILES.txt、DECRYPT_INSTRUCTIONS、RECOVERY_FILE.txt、encrypted、ezz、ecc名稱相關檔案)
7). 更新:請全面確認上述環境中相關JAVA、Flash、PDF軟體、Silverlight、網際網路瀏覽器、WindowsOS Update等已更新至最新版本。
8). 觀察:評估是否添購具偵測、隔離、管制功能之防護軟體、設備,並進行人員訓練(社交工程、資料傳遞、安全原則、緊急應變),與檢討主機空間共享機制,確認備份計畫(備份週期、隔離方式、版本規範、異地存放),定期實施災害演練。 

Q2:沒有備份檔可回復!
A:因為從來沒備份或從來不知道該備份
發生原因:
對企業重要的主機,大部分IT人員都是回答「當然是我們企業核心業務營運所使用伺服器、資料庫、File Server等,都已建立定期備份排程機制」,但就目前惡意加密軟體案例上,大部分受害者卻是人員使用的個人電腦,這些範圍基本上根本不會納入企業檔案備份管理計畫。
建議:
企業應重新檢視目前已有的備份計畫,將關鍵人員個人電腦資料納入備份管理計畫與防護架構下,至於哪些人員持有資料是重要的需要納入保護,最簡單辨識方式就是「哪些人員使用的電腦若被綁架,企業寧願花錢付贖金也想要回復被綁架資料」,只要依循這原則下的系統設備都應該納入企業保護範圍。 

Q3:有備份檔但無法回復!!
A:因為備份檔案從來沒測過
發生原因:
雖然<左傳>早提醒我們:「居安思危,思則有備,有備無患」。但忘了提醒我們備份的檔案,還是需要透過定期檢查與測試,確保備份完整性與可用性,另外也發現多數企業未針對相關業務實施人員教育訓練、定時災害還原演練與缺乏真正可使用的災害應變程序,如:備份還原作業SOP。
建議:
應定期對於備份檔案進行復原抽查、實施人員教育訓練與定期進行災難復原相關訓練,使同仁確實了解當災害發生時,相關人員職掌與熟悉應配合之相關作業程序。



本文作者目前任職於國內某大軟體公司 資訊安全顧問。

下回還有5個加密勒索軟體常見的問題,敬請期待,即將上刊。