觀點

8個加密勒索軟體常見的問題

2016 / 08 / 12
林政男
8個加密勒索軟體常見的問題

筆者就近年來於企業服務所見整理出發現8個加密勒索軟體常見的問題,
上回已經分享3個常見的問題:
Q1:發現電腦被加密勒索軟體加密了,第一時間該怎麼辦?
Q2:沒有備份檔可回復!
Q3:有備份檔但無法回復!!
接下來,繼續分享後面的5個加密勒索軟體常見的問題

Q4:已付贖金或取得釋出解密金鑰,但解密後又被綁架!
A:取得金鑰後不能大意,須注意解密可能問題
發生原因:
部分惡劣的加密勒索軟體,會將部分惡意程式藏在已加密檔案中,或偵測惡意檔案(包含教學檔案)是否被刪除,所以解密不當是可能再觸發加密勒索軟體啟動自毀模式(二次加密),雪上加霜的是「付錢取得的金鑰,可能對二次加密檔案沒用」。
建議:
請注意部分加密勒索軟體不會解密後自動刪除加密檔,所以需注意可用空間可能於檔案解密後(解壓縮後)不足的情況,所以盡可能不啟用原本作業系統(將原始中毒主機當做硬碟是一個方法),複製所需要的檔案至無網路連線、空間足夠且乾淨重建的作業環境再進行解密作業。
請注意當確認解密完成後,請嘗試搭配多套具備勒索加密偵測能力之防毒軟體(一般而言於案發至此時防毒軟體應已取得此樣本偵測特徵值)測試後,才轉移至正式使用環境使用。
(*請注意部分加密勒索軟體,若限制由原受害主機解密,此時請改由外接式硬碟進行搶救搬移)

Q5:不付贖金以備份檔回復自救,但又被綁架!!
A:備份檔回復不是萬能,檔案應該詳做檢查
發生原因:
大部分發生在,當IT人員自信滿滿要以備份檔案進行回復作業,但未察覺備份檔案早被加密勒索軟體入侵,導致這樣的偷渡客在進行還原程序又觸發惡意程式,使檔案再次遭受加密。
建議:
請於無網路連線、空間足夠乾淨重建的作業環境,安裝具備勒索加密偵測能力之防毒軟體後,再進行備份檔案回復作業,若仍無法順利回復,建議可再嘗試使用舊一代版本之備份檔案進行回復,前提是企業已建立多代版本備份習慣。請嘗試搭配具備勒索加密偵測能力之防毒軟體(一般而言案發至此時,防毒軟體應已取得此樣本偵測特徵值)測試後,才轉移至正式環境使用。

Q6:已有防毒軟體怎會被綁架?!
A:不是所有防毒軟體都是萬靈丹
發生原因:
目前防毒軟體除少數具備沙箱攔截技術外,大部分是依靠Virus Pattern(惡意程式特徵碼)更新與掃描引擎升級來調整掃描偵測率,基本上可阻絕九成以上有特徵碼之惡意程式,但天下武功,惟快不破,加密勒索軟體在不斷被改良、變種、隱匿不斷推陳出新下,就是惡意程式利用的機會。
建議:
對於企業保護範圍(含重要主機與關鍵人員個人電腦),建議可評估「具沙箱隔離技術與行為控制監測」之軟體或設備,強化零日攻擊類型之惡意程式偵測與阻絕能力。 
Q7:為何其他主機也被加密綁架?!
A:應檢查主機網路磁碟共享狀態
發生原因:
加密勒索軟體目前加密範圍針對受害主機所有硬碟空間,包含任何共享位置、外接式儲存媒體、同步之雲端空間,如:Dropbox、Google Drive、Microsoft OneDrive,只要是共享資料方式存在,均在攻擊範圍內。另外目前國際也發生多起伺服器遭受加密綁架,主要原因為服務主機漏洞遭惡意人士發現,遭受入侵與取得主機權限,進而將服務主機檔案加密。
建議:
應檢視企業保護範圍(含重要主機與關鍵人員個人電腦)資料夾共享狀態,除非必要不得隨意開啟網路共用與提供檔案異動權限,定時進行弱點掃描與資產更新狀態之盤點,確認主機JAVA、Flash、PDF軟體、Silverlight、網際網路瀏覽器、Windows OS Update等已更新至最新版本。



Q8:公司的使用者行為真的很難管!!
面對他、處理他、放下他
發生原因:
資訊人員常在事件發生後啟動調查與分析時面臨困難,尤其是在最後可能指向某些使用人員或某些使用單位,您是無法輕易以調查的理由碰觸那些主機與資訊的,雖然平常他們希望資訊單位ASAP(As soon as possible)解決他們使用上的問題,但不代表IT可以把問題發生的原因指向他們的使用行為。
建議:
為了使企業有更和諧的工作氣氛與互動,資訊單位應優先評估低影響性的使用者控制措施,如具備可阻攔、沙箱隔離之閘道控制解決方案(防火牆、SPAM、防毒軟體)搭配中控端更新派送機制,盡可能統整直接管制隔離,不須使用者判斷是否管制。人員的教育訓練是絕對必要,但請別想像上課完後大家就絕不會犯錯,上課的目的應是提醒使用者,在遇到課程描述之情境應盡可能不看、不點、不傳工作外之檔案資訊,共同協防以避免資訊安全事件發生。

綜合以上資訊,希望各位對加密勒索軟體處理有所了解與幫助,最後再借此機會提醒大家
一. 備份真的很重要、很重要、很重要。
二. 更新與升級不應只有作業系統,應優先考量風險趨勢相關軟體環境。
三. 企業備份規劃應重新審視並納入關鍵人員使用環境。
四. 備份資料為了確保完整與可用性,建議應該定期回復測試。
五. 企業應投入資源與人力建立符合自身的災害應變程序,並定時進行災害復原演練。
六. 如果無法有管效使用者行為與習慣,請優先考慮購買相關軟體或防護設備。

本文作者目前任職於國內某大軟體公司 資訊安全顧問。

觀看上回文章:
不能說的祕密,加密勒索軟體企業因應的真相