8个加密勒索软件常见的问题
笔者就近年来于企业服务所见整理出发现8个加密勒索软件常见的问题,
上回已经分享3个常见的问题:
Q1:发现计算机被加密勒索软件加密了,第一时间该怎么办?
Q2:没有备份档可回复!
Q3:有备份档但无法回复!!
接下来,继续分享后面的5个加密勒索软件常见的问题
Q4:已付赎金或取得释出解密密钥,但解密后又被绑架!
A:取得密钥后不能大意,须注意解密可能问题
发生原因:
部分恶劣的加密勒索软件,会将部分恶意软件藏在已加密档案中,或侦测恶意档案(包含教学档案)是否被删除,所以解密不当是可能再触发加密勒索软件激活自毁模式(二次加密),雪上加霜的是「付钱取得的密钥,可能对二次加密档案没用」。
建议:
请注意部分加密勒索软件不会解密后自动删除加密档,所以需注意可用空间可能于档案解密后(解压缩后)不足的情况,所以尽可能不启用原本操作系统(将原始中毒主机当做硬盘是一个方法),复制所需要的档案至无网络联机、空间足够且干净重建的作业环境再进行解密作业。
请注意当确认解密完成后,请尝试搭配多套具备勒索加密侦测能力之防病毒软件(一般而言于案发至此时防病毒软件应已取得此样本侦测特征值)测试后,才转移至正式使用环境使用。
(*请注意部分加密勒索软件,若限制由原受害主机解密,此时请改由外接式硬盘进行抢救搬移)
Q5:不付赎金以备份档回复自救,但又被绑架!!
A:备份档回复不是万能,档案应该详做检查
发生原因:
大部分发生在,当IT人员自信满满要以备份文件进行回复作业,但未察觉备份文件早被加密勒索软件入侵,导致这样的偷渡客在进行还原程序又触发恶意软件,使档案再次遭受加密。
建议:
请于无网络联机、空间足够干净重建的作业环境,安装具备勒索加密侦测能力之防病毒软件后,再进行备份文件回复作业,若仍无法顺利回复,建议可再尝试使用旧一代版本之备份文件进行回复,前提是企业已建立多代版本备份习惯。请尝试搭配具备勒索加密侦测能力之防病毒软件(一般而言案发至此时,防病毒软件应已取得此样本侦测特征值)测试后,才转移至正式环境使用。
Q6:已有防病毒软件怎会被绑架?!
A:不是所有防病毒软件都是万灵丹
发生原因:
目前防病毒软件除少数具备沙盒侦听技术外,大部分是依靠Virus Pattern(恶意软件特征码)更新与扫描引擎升级来调整扫描侦测率,基本上可阻绝九成以上有特征码之恶意软件,但天下武功,惟快不破,加密勒索软件在不断被改良、变种、隐匿不断推陈出新下,就是恶意软件利用的机会。
建议:
对于企业保护范围(含重要主机与关键人员个人计算机),建议可评估「具沙盒隔离技术与行为控制监测」之软件或设备,强化零日攻击类型之恶意软件侦测与阻绝能力。
Q7:为何其他主机也被加密绑架?!
A:应检查主机网络驱动器共享状态
发生原因:
加密勒索软件目前加密范围针对受害主机所有硬盘空间,包含任何共享位置、外接式储存媒体、同步之云端空间,如:Dropbox、Google Drive、Microsoft OneDrive,只要是共享数据方式存在,均在攻击范围内。另外目前国际也发生多起服务器遭受加密绑架,主要原因为服务主机漏洞遭恶意人士发现,遭受入侵与取得主机权限,进而将服务主机档案加密。
建议:
应检视企业保护范围(含重要主机与关键人员个人计算机)文件夹共享状态,除非必要不得随意开启网络共享与提供档案异动权限,定时进行弱点扫描与资产更新状态之盘点,确认主机JAVA、Flash、PDF软件、Silverlight、因特网浏览器、Windows OS Update等已更新至最新版本。
Q8:公司的使用者行为真的很难管!!
面对他、处理他、放下他
发生原因:
信息人员常在事件发生后启动调查与分析时面临困难,尤其是在最后可能指向某些使用人员或某些使用单位,您是无法轻易以调查的理由碰触那些主机与信息的,虽然平常他们希望信息单位ASAP(As soon as possible)解决他们使用上的问题,但不代表IT可以把问题发生的原因指向他们的使用行为。
建议:
为了使企业有更和谐的工作气氛与互动,信息单位应优先评估低影响性的使用者控制措施,如具备可阻拦、沙盒隔离之网关控制解决方案(防火墙、SPAM、防病毒软件)搭配中控端更新派送机制,尽可能统整直接管制隔离,不须使用者判断是否管制。人员的教育训练是绝对必要,但请别想象上课完后大家就绝不会犯错,上课的目的应是提醒使用者,在遇到课程描述之情境应尽可能不看、不点、不传工作外之档案信息,共同协防以避免信息安全事件发生。
综合以上信息,希望各位对加密勒索软件处理有所了解与帮助,最后再借此机会提醒大家
一. 备份真的很重要、很重要、很重要。
二. 更新与升级不应只有操作系统,应优先考虑风险趋势相关软件环境。
三. 企业备份规划应重新审视并纳入关键人员使用环境。
四. 备份数据为了确保完整与可用性,建议应该定期回复测试。
五. 企业应投入资源与人力建立符合自身的灾害应变程序,并定时进行灾害复原演练。
六. 如果无法有管效使用者行为与习惯,请优先考虑购买相关软件或防护设备。
|