原标题:面对加密勒索软体,你该知道的防护策略大揭露
美国联邦调查局FBI在今年4月29日的官方部落格中,也因为勒索软体安全事件的增加,提供一些个人与企业可以保护自己的作法与建议,这也显示当前勒索软体危害的严重性。
面对加密勒索软体的威胁,不论企业、个人都很头疼,一不小心中招,就有可能让公司重要文件、交易纪录、专案资料,甚至是朋友与家人的珍贵照片、影片都救不回来。
如何能保障资料而不受加密勒索软体危害,是许多使用者都很关心的事,以下提供的五点防护原则,应该是多数人都能做到的防治之道,尤其是档案备份的工作是否确实,更是IT管理者应尽的责任。
至少做到5种基本防护原则
当我们了解加密勒索软体危害的严重性后,为了使企业与使用者能有更清楚的防护策略去因应,整理了像是安全备份、人员资安教育,以及软体更新、安全防护与存取管控等,可说是最简单、又能够让使用者有所準备的大方向。
?防护原则1? 重视资料备份
为了让加密勒索软体危害风险降到最低,最基本且重要的第一件事,应该就是要确保,当公司重要资料被勒索软体加密时,企业还能透过还原备份资料得方式,救回被加密的档案,这是一个最简单又实际的作法。
不过备份方式需要特别注意,如何安全备份是重点,不论是日备份、週备份与月备份,还要做好离线备份与异地备份,减少被勒索软体加密重要文件时的损失。
为了让备份更集中,也有小公司是採要求员工将重要资料都存至档案伺服器上,简化备份工作的进行。
?防护原则2? 作业系统或应用程式定期修补、更新
勒索软体运用漏洞攻击越来越常见,儘管漏洞修补需要时间,但一般使用者能做到的就是,确保常用的作业系统、Adobe Flash、浏览器等重要软体更新,时时维持在最新版本,减少因漏洞而导致遇害的机会。
因此,企业IT管理者应积极应对的是,是否能让所有电脑都能在最短的时间套用最新修正程式。
?防护原则3? 强化资安意识,可疑文件与连结不能点
提醒员工加强资安意识已经是老生常谈了,但许多案例关键都在人为,至少做到两点,提醒员工勿点击任何可疑连结,或不下载任何不明程式。让公司内同仁在接收电子邮件或上网浏览时,都能提高警觉,并确保他们了解勒索病毒带来的威胁。
同时,建立明确的应变措施也很重要,毕竟在遇到突发状况时,员工要能知道如何在第一时间通报管理者。
?防护原则4? 安装相关防毒软体并注意保持更新
为了增强端点资安防护,安装防毒软体是相当基本的防护策略,以免于病毒及其他安全性威胁。更重要的是,病毒码需时时更新,并注意一些进阶功能是否启用,增强未知病毒的防护能力。
特别值得一提的是,在上个月底iThome举办的资讯安全论坛中,面对加密勒索软体危害,我们也看到不少资安厂商像是趋势、ESET、FireEye、Forcepoint、Intel Security等,在基本的端点防护之外,也都提及从邮件闸道阻挡恶意信件,以及网路闸道阻挡恶意连结的作法,强化企业内部对于勒索软体的入侵防护。当然,如要有能力做好更广泛的整体资安防护,面向又不仅仅如此。
?防护原则5? 重新检视公司内部的使用存取权限
对于资料夹与档案的存取控制,一些中小企业管理者可能没有做好较严格的限制。不论是档案、资料夹或网路分享等,若一些使用者只有读取资料的需求,其实管理者就能限制使用者的写入权限,减少档案被加密的机会。
当然,管理者权限的设定与使用,也是特别要注意的一点,毕竟许多程序还是需要管理员权限才能够实际运行。
另一方面,我们也蒐集了更多资安专家、国际组织与资安厂商提供的最新建议作法,供企业用户参考。
增强企业防御,资安专家提供4招撇步对抗勒索软体
身为台湾HITCON骇客年会顾问的邱铭彰,网路暱称Birdman(目前也是台湾威瑞特技术长),在6月底iThome举办的资讯安全论坛主题演讲中,针对加密勒索软体的危害,也提供了4点建议供中小企业参考。
其中前两项建议相当务实,一般小企业应该都不难做到,像是现在NAS的价格也不会很贵,买台NAS做好备份工作是最简单的作法,且NAS的好处像是,能把最近档案10次异动都备份下来,而一些厂商提供的NAS产品,最高还能达上万次历史版本存取。
第二点是可以针对邮件附件加以过滤,阻挡一些有风险、又不是工作常用的副档名,像是js、jar、bat、exe、cpl、scr、com、pif、vbs等,以减少员工资安意识不足带来的危害,毕竟没有人会每天寄送执行档给你。
还有两项他认为也能帮上忙的免费工具,分别是微软Applocker与Enhanced Mitigation Experience Toolkit (EMET),但比较需要一些设定技巧。
简单来说,前者是Windows 7开始提供的应用程式管理工具,可建立软体限制原则,防止未经授权的软体使用行为,避免恶意软体对系统造成危害,这对于Server类设备很有用,因为管理政策较简单,对于一般员工电脑则比较困难,除非公司有很清楚的政策只能执行哪些程式;后者能允许使用者将一些常用的Windows程式,加入至受EMET保护的清单中,协助预防软体中的弱点被利用。
台湾HITCON骇客年会顾问邱铭彰,在今年6月iThome资安论坛中提供了4项增强勒索软体防御的作法。像是最简单的买台NAS备份、档掉邮件里的副档名,另外还介绍两款免费工具,微软Windows Applocker与EMET。
?
美国FBI教你如何进一步防範勒索软体的要诀
面对勒索软体安全事件的增加,连美国FBI也看不下去,他们在2016年4月底发布的官方部落格文章中,便列出一些企业可以落实的防护工作。
预防工作
●????? 资安意识:确保员工了解勒索软体带来的威胁,并要员工懂得保护企业内的资料
●????? 注意软体系统更新:注意作业系统、软体、韧体等漏洞修补(可透过集中式的修补管理系统让管理更加容易)
●????? 端点防护更新与扫描:确保防病毒和反恶意软体解决方案都设定为自动更新,并进行定期扫描。
●????? 特权帐户管理:除非必要,应该只有管理者帐户具有最高的管理者权限
●????? 内部存取控制:像是文件、目录,以及适当网路共享权限,若是用户只有读取资料的需求,可以限制他们的写入权限
●????? 禁用Office巨集:不要启用Office文件的巨集,特别是在收到的邮件中
●????? 其他:实行软体限制策略或其他控制方案,防护勒索软体常见的执行位置(像是暂存资料夹会支援浏览器、加解密程式)
持续防护工作
●????? 定期备份资料:并核实这些备份的完整性
●????? 安全备份:确保这些备份没有连接到电脑或网路
资安厂商也提供最新参考与建议,让企业用户更有概念的细部作法
近年不断提醒用户防範勒索软体危害的国内资安大厂趋势科技,也提供了一份简单明了的因应对策,供使用者参考,并区分事前、事中与事后的面向,让用户能快速了解各阶段的作法。
像是在事前预防的作法中,定期更新软体、只打开信任的邮件、安装安全防护软体,以及定期备份档案,都是不难做到的。
一旦不幸遭遇到加密勒索软体,断网关机就是最即时的处置作为,另外要做的就是清查受损範围与资料复原的工作。当然,事后宣导也不可少,像是事件分析、人员教育、权限管控与强化防护,都是为了避免再度沦陷受害。
而在个人如何预防勒索软体的作法上,趋势也特别建议使用者,一定要定期备份重要的档案,作法上最好能至少3份备份、2种储存媒体,与1个不同的安全存放地点;同时也要定期更新修补作业系统与应用程式的漏洞,像是IE、Flash、Adobe、Java与Windows update;最好也不要开放共享资料夹的写入权限,并且不要多人共用帐号。当然,多宣导并提升人员的资安意识,也要持续进行。
另外,像是Intel Security的McAfee Lab,在今年3月提供关于勒索软体的报告中,以及资安公司Sophos在2016年5月提供的报告中,都有一些防护概念与作法可供参考。
在软体更新修补、安全备份等方法之外,其中比较值得注意的是,像是提到使用者才是让勒索软体进入PC端点的主因,并建议最好不要开启从电子邮件收到的巨集文件,或可考虑安装Office Viewer,因为它不支援巨集功能。
还有像是也能预设以NotePad开启.JS档案,预防JavaScript夹带恶意程式,并设定显示文件副档名,避免档案伪装而误开启。
另外,共享文件的限制与管控也不能轻忽,在其他管控策略上,像是可採应用程式控制的方式,只允许白名单中的项目执行,并且对未知程序限制权限,或是可建立软体安装的存取控制规则,透过规则限制文件修改需要批准过程。
如果可以的话,对于可疑程式的执行,最好使用沙箱技术防护,并要随时注意新的安全功能,并增加到商用软体系统之中。
前面也提到过,在端点防护之外,由于加密勒索软体的两大攻击主要途径,分别是网际网路与电子邮件,现在已经不少厂商都有提到透过邮件闸道、网路闸道,搭配端点防护产品,以建构多层的防护力道。
若从其他角度来看,已经被正常加密程序所保护的档案,不会再受到勒索软体恶意加密,像是使用Windows内建的BitLocker,以及以虚拟加密磁区防护的档案加密系统等,虽然这不是这类系统的主要功能,但目前也算是有效,除非加密勒索软体更进化。
而网路上也有不少小技巧,可能也是一般使用者想知道的。像是有网友表示,他们所遇到的勒索软体,并不会加密位于隐藏资料夹中的档案,因此将共享资料夹设为隐藏,只是,这种方法的有效性仍待进一步确认。
?
?勒索软体因应对策?
本土资安厂商趋势科技向我们展示一份简单明了的因应对策,供使用者参考,并区分事前、事中与事后的面向,让用户能快速了解各阶段最简易的实务作法。
?
遭遇勒索软体加密攻击的最后救星?资安业者推解密工具?
原本用来保护资讯安全的加密机制,反过来做为勒索的工具,让受害者苦不堪言,毕竟像是RSA 2048位元加密可不是一般人能破解的。
那幺,为何网路上有看到可以救回被勒索软体加密的工具呢?
主要原因有3点,这主要是勒索软体可能设计有瑕疵,一些资安工作者能够针对这样的漏洞而提供解密的工具,或是已经抓到勒索程式作者,并接管对方的伺服器,并取得解密金钥,因此一些资安厂商也能据此释出解密程式,再不然就是作者良心发现主动公布解密金钥,像是锁定游戏的勒索软体TeslaCrypt,其作者在5月中旬释出TeslaCrypt的通用主解密金钥,而资安业者也藉此打造出解密程式。
因此用户要知道的是,这类解密工具并非万灵丹,毕竟现在市面上已有超过50多个勒索软体家族现身,而目前推出的解密工具仅能对应少数几种,能救回算是幸运,且一些解密工具也会有些限制,或是不一定百分百能完全解密。
急救工具1:趋势Ransomware File Decrypto Tool
2016年5月,趋势科技堆出Ransomware File Decrypto Tool 1.0版,可解开Cryptxxx与TeslaCrypt加密勒索病毒危害的档案,最新版目前是1.0.1595版,可解开TeslaCrypt、CryptXXX、SNSLocker、AutoLocky、BadBlock与777等勒索软体的加密。同时,厂商也正不断增加支援的解密类型。(工具取得网址:http://esupport.trendmicro.com/solution/en-US/1114221.aspx)
急救工具2:卡巴斯基Kaspersky CoinVaultDecryptor tool
卡巴斯基实验室(Kaspersky Lab)于2015年11月释出一款可解CoinVault与Bitcryptor等勒索程式加密档案的免费解密程式CoinVaultDecryptor tool。
而且,目前官网页面上还提供了另两款解密工具,分别是RannohDecryptor tool与RakhniDecryptor tool,前者可解Rannoh, AutoIt、Fury、Crybola、Cryakl、CryptXXX v1 v2;后者则可解Rakhni、Agent.iih、Aura、Autoit、Pletor、Rotor、Lamer、Lortok、Cryptokluchen、Democry、Bitman与TeslaCrypt v3 v4。(工具取得网址:https://noransom.kaspersky.com)
急救工具3:Bitdefender Linux.Encoder.1 Decrypter
Bitdefender在2015年11月释出的Linux.Encoder.1加密勒索解密工具,是基于他们发现该勒索软体含有一漏洞,还原本是以AES加密档案,再以RSA加密对称金钥的过程,可以直接回复AES金钥而不必利用RSA来解锁。(工具取得网址:https://labs.bitdefender.com/2015/11/linux-ransomware-debut-fails-on-pre...)
急救工具4:Petya Sector Extractor
针对勒索软体Petya,在2016年4月已有安全相关专家合力开发出针对性的解密工具Petya Sector Extractor,让使用者能够透过这款工具取得电脑的Petya解密金钥,再将被恶意加密的档案复原。(工具取得网址:https://petya-pay-no-ransom.herokuapp.com)
【相关报导请参考「2016勒索软体教战守则」专题】
相关:
网络配图近日,一则女孩被电信诈骗的新闻引起网友的注意,网友纷纷疑惑是怎么一回事?据悉,骗子指挥女孩与家人断绝联系,然后假装绑匪勒索50万赎金。事情是怎么一回事呢?7月20日,一则寻人启事牵动无数市民的神经家住
事情发生在今年3月25日早上7点多,市民潘女士在白沙路街道慈甬路上的一家包子店买早点,付钱的时候,发现上衣口袋里的手机不见了,赶紧报警。她的手机是白面金底的苹果6S,2015年11月花5800元左右买的。根据视频线索
【目击行窃要封口费】目击小偷行窃过程,男子却没有选择报警,而是想趁机捞一笔,向小偷索要封口费。交易虽成,两人却终难逃法网。今年3月25日上午7点多,潘女士在慈溪白沙路街道慈甬路上一家包子铺买早点。正要付钱
Gartner表示,随着全球软体支出预估将在2016年突破3320亿美元(约合新台币10.7兆元),透过加强管理软体授权以节省软体支出的效益,将成为企业无法忽视的新潮流。Gartner研究总监Hank Marquis表示,透过执行软体资产管
中新网丽水7月18日电(见习记者章天启通讯员青獬)处于叛逆期的青少年还没有树立健全的法律意识,也没有明辨是非的能力,在成长的道路上,若没有受到良好的道德素质教育,往往容易误入歧途。18日,记者从浙江丽水青田县