8個加密勒索軟體常見的問題

8個加密勒索軟體常見的問題
作者：林政男

與以往病毒/木馬不一樣的利用與獲利，加密勒索軟體利用更容易獲利並難以追蹤的比特幣（Bitcoin）進行交易，但快速獲利卻導致惡意個體戶經營出現瓶頸。他們面臨的問題有：要當催帳人員通知被害人匯款、還要當售前客服解答被害人的問題、以及當售後客服回答匯款後解密金鑰的使用問題、要每天看網路銀行進出帳，金流也不是他們擅長的，最後導致產能與服務品質降低，天天抱怨沒時間幫綁架加密軟體升級改版，最終產生職業倦怠，良心發現公布解碼金鑰（我相信應該不是這樣）。

目前所見大部分的惡意個體戶都如新創公司快速進化轉變集團化經營，不僅提供24hr專屬客服、匯款教學說明、各國語系線上服務，辛苦為他們的獲利而努力。但這不是在為各位解釋惡意服務4.0的由來，也不是笑話或在恐嚇，是要告訴各位目前所面對的現況，就是這般的弔詭與現實，當惡意人士（集團）都那麼認真經營他們的事業的同時，企業是不是應該更認真面對與因應。

以下討論將不研究「加密勒索軟體目前的種類、攻擊感染手法、加解密方法、歷史發展」，這些資訊相信各位已從網路媒體獲得許多。但您該了解現實上企業評估、預防、或已不幸受害常面臨到的問題，筆者就近年來於企業服務所見為各位整理以下發現8個加密勒索軟體常見的問題，希望對各位實務推動有所幫助。

Q1：發現電腦被加密勒索軟體加密了，第一時間該怎麼辦？！
A：關電源！沒錯！請關主機電源吧！

發生原因
- 當企業無建置任何可偵測、隔離的防火牆設備或類似功能之防毒軟體時，優先建議關閉電源。為何要關電源優先，大家不都是該先斷開網路嗎？是的，一般程序是建議先關閉網路線，但科技的進步讓網路的傳輸速度與系統效能變的更好，當您的時間花在關閉網路（無網路也常被忽略），加密勒索軟體同時也會以高效率的進行檔案加密。
處理程序

關機：雖然直接關機對系統與設備是不好的，但請同仁把握每分每秒與時間賽跑的時間，直接關機在此時應該是最適合的選擇。
斷線：關機後還是要拔除實體網路線及任何USB儲存裝置（行動碟、可攜式磁碟等）。
搬移：接下來就請資訊人員接手進行處理，將硬碟取出以另外有安裝防毒軟體主機將未受害檔案搬移作業（請勿搬到或執行惡意軟體）。
救援：上策為使用備份檔案回復、中策以各廠商可取得解密金鑰回復與刪除惡意檔案，下策在沒任何可行辦法下，評估回復價值大於數次付款時，才把付贖金當做最後選擇。（但任何方法於解決完畢，均應將已掃描檔案移至乾淨重建的作業環境使用）
關聯：確認受害主機日常共享範圍之主機空間（包含實體主機、虛擬主機、File Server等內部網路空間）、儲存設備（含可攜式裝置）、雲端空間均應以防毒軟體或設備檢查。
清查：全面確認整體環境（包含實體主機、虛擬主機）之防毒軟體更新，並搭配以安全模式抽查方式，檢查是否還有潛伏期內之主機（如發現Encrypted 、HELP_TO_SAVE_FILES.txt、HELP_RESTORE_FILES.txt、DECRYPT_INSTRUCTIONS、RECOVERY_FILE.txt、encrypted、ezz、ecc名稱相關檔案）
更新：請全面確認上述環境中相關JAVA、Flash、PDF軟體、Silverlight、網際網路瀏覽器、WindowsOS Update等已更新至最新版本。
觀察：評估是否添購具偵測、隔離、管制功能之防護軟體、設備，並進行人員訓練（社交工程、資料傳遞、安全原則、緊急應變），與檢討主機空間共享機制，確認備份計畫（備份週期、隔離方式、版本規範、異地存放），定期實施災害演練。

Q2：沒有備份檔可回復！
A：因為從來沒備份或從來不知道該備份

發生原因
- 對企業重要的主機，大部分IT人員都是回答「當然是我們企業核心業務營運所使用伺服器、資料庫、File Server等，都已建立定期備份排程機制」，但就目前惡意加密軟體案例上，大部分受害者卻是人員使用的個人電腦，這些範圍基本上根本不會納入企業檔案備份管理計畫。
建議
- 企業應重新檢視目前已有的備份計畫，將關鍵人員個人電腦資料納入備份管理計畫與防護架構下，至於哪些人員持有資料是重要的需要納入保護，最簡單辨識方式就是「哪些人員使用的電腦若被綁架，企業寧願花錢付贖金也想要回復被綁架資料」，只要依循這原則下的系統設備都應該納入企業保護範圍。

Q3：有備份檔但無法回復！！
A：因為備份檔案從來沒測過

發生原因
- 雖然<左傳>早提醒我們：「居安思危，思則有備，有備無患」。但忘了提醒我們備份的檔案，還是需要透過定期檢查與測試，確保備份完整性與可用性，另外也發現多數企業未針對相關業務實施人員教育訓練、定時災害還原演練與缺乏真正可使用的災害應變程序，如：備份還原作業SOP。
建議
- 應定期對於備份檔案進行復原抽查、實施人員教育訓練與定期進行災難復原相關訓練，使同仁確實了解當災害發生時，相關人員職掌與熟悉應配合之相關作業程序。

Q4：已付贖金或取得釋出解密金鑰，但解密後又被綁架！
A：取得金鑰後不能大意，須注意解密可能問題

發生原因
- 部分惡劣的加密勒索軟體，會將部分惡意程式藏在已加密檔案中，或偵測惡意檔案（包含教學檔案）是否被刪除，所以解密不當是可能再觸發加密勒索軟體啟動自毀模式（二次加密），雪上加霜的是「付錢取得的金鑰，可能對二次加密檔案沒用」。
建議
- 請注意部分加密勒索軟體不會解密後自動刪除加密檔，所以需注意可用空間可能於檔案解密後（解壓縮後）不足的情況，所以盡可能不啟用原本作業系統（將原始中毒主機當做硬碟是一個方法），複製所需要的檔案至無網路連線、空間足夠且乾淨重建的作業環境再進行解密作業。
- 請注意當確認解密完成後，請嘗試搭配多套具備勒索加密偵測能力之防毒軟體（一般而言於案發至此時防毒軟體應已取得此樣本偵測特徵值）測試後，才轉移至正式使用環境使用。（＊請注意部分加密勒索軟體，若限制由原受害主機解密，此時請改由外接式硬碟進行搶救搬移）

Q5：不付贖金以備份檔回復自救，但又被綁架！！
A：備份檔回復不是萬能，檔案應該詳做檢查

發生原因
- 大部分發生在，當IT人員自信滿滿要以備份檔案進行回復作業，但未察覺備份檔案早被加密勒索軟體入侵，導致這樣的偷渡客在進行還原程序又觸發惡意程式，使檔案再次遭受加密。
建議
- 請於無網路連線、空間足夠乾淨重建的作業環境，安裝具備勒索加密偵測能力之防毒軟體後，再進行備份檔案回復作業，若仍無法順利回復，建議可再嘗試使用舊一代版本之備份檔案進行回復，前提是企業已建立多代版本備份習慣。請嘗試搭配具備勒索加密偵測能力之防毒軟體（一般而言案發至此時，防毒軟體應已取得此樣本偵測特徵值）測試後，才轉移至正式環境使用。

Q6：已有防毒軟體怎會被綁架？！
A：不是所有防毒軟體都是萬靈丹

發生原因
- 目前防毒軟體除少數具備沙箱攔截技術外，大部分是依靠Virus Pattern（惡意程式特徵碼）更新與掃描引擎升級來調整掃描偵測率，基本上可阻絕九成以上有特徵碼之惡意程式，但天下武功，惟快不破，加密勒索軟體在不斷被改良、變種、隱匿不斷推陳出新下，就是惡意程式利用的機會。
建議
- 對於企業保護範圍（含重要主機與關鍵人員個人電腦），建議可評估「具沙箱隔離技術與行為控制監測」之軟體或設備，強化零日攻擊類型之惡意程式偵測與阻絕能力。

Q7：為何其他主機也被加密綁架？！
A：應檢查主機網路磁碟共享狀態

發生原因
- 加密勒索軟體目前加密範圍針對受害主機所有硬碟空間，包含任何共享位置、外接式儲存媒體、同步之雲端空間，如：Dropbox、Google Drive、Microsoft OneDrive，只要是共享資料方式存在，均在攻擊範圍內。另外目前國際也發生多起伺服器遭受加密綁架，主要原因為服務主機漏洞遭惡意人士發現，遭受入侵與取得主機權限，進而將服務主機檔案加密。
建議
- 應檢視企業保護範圍（含重要主機與關鍵人員個人電腦）資料夾共享狀態，除非必要不得隨意開啟網路共用與提供檔案異動權限，定時進行弱點掃描與資產更新狀態之盤點，確認主機JAVA、Flash、PDF軟體、Silverlight、網際網路瀏覽器、Windows OS Update等已更新至最新版本。

Q8：公司的使用者行為真的很難管！！
A：面對他、處理他、放下他

發生原因
- 資訊人員常在事件發生後啟動調查與分析時面臨困難，尤其是在最後可能指向某些使用人員或某些使用單位，您是無法輕易以調查的理由碰觸那些主機與資訊的，雖然平常他們希望資訊單位ASAP（As soon as possible）解決他們使用上的問題，但不代表IT可以把問題發生的原因指向他們的使用行為。
建議
- 為了使企業有更和諧的工作氣氛與互動，資訊單位應優先評估低影響性的使用者控制措施，如具備可阻攔、沙箱隔離之閘道控制解決方案（防火牆、SPAM、防毒軟體）搭配中控端更新派送機制，盡可能統整直接管制隔離，不須使用者判斷是否管制。人員的教育訓練是絕對必要，但請別想像上課完後大家就絕不會犯錯，上課的目的應是提醒使用者，在遇到課程描述之情境應盡可能不看、不點、不傳工作外之檔案資訊，共同協防以避免資訊安全事件發生。

綜合以上資訊，希望各位對加密勒索軟體處理有所了解與幫助，最後再借此機會提醒大家

備份真的很重要、很重要、很重要。
更新與升級不應只有作業系統，應優先考量風險趨勢相關軟體環境。
企業備份規劃應重新審視並納入關鍵人員使用環境。
備份資料為了確保完整與可用性，建議應該定期回復測試。
企業應投入資源與人力建立符合自身的災害應變程序，並定時進行災害復原演練。
如果無法有管效使用者行為與習慣，請優先考慮購買相關軟體或防護設備。

本文作者目前任職於國內某大軟體公司資訊安全顧問。

資料出處：
資安人：不能說的祕密，加密勒索軟體企業因應的真相
資安人：8個加密勒索軟體常見的問題

瀏覽數: