勒索軟體解決方案白皮書 - fineart...
TRANSCRIPT
-
1, 76%
2, 16%
3, 8%
勒索軟體解決方案白皮書
一、 何謂勒索軟體
勒索軟體為惡意程式的一種,其目的在於先造成受
害者的電腦無法開啟檔案或磁碟(被加密),造成資料
損失、影響作業,事後再向受害者進行索求比特幣,但
是受害者即使付了贖金,也不一定能得到解密的工具。
或許無法依字面來理解到底檔案被加密而無法開
啟會有什麼影響?那可以想像若是自己小孩十幾年下
來的生活照都打不開來了,或者是與太太幾十年下來的
點點滴滴的相片檔案都沒了,這樣是否會令人難過?又
或者一個設計師透過 AutoCAD 畫了兩週的圖,明天即
將要交件,突然被加密打不開,這樣是否令人憤怒?且
可能影響公司營收與信譽。
這樣的事情已經發生在美國的醫院、警察局,造成
醫院不得不先使用紙上作業取代電腦作業,警察局因為
急於辦案,不得不立即支付贖金。又於 2016 年 11 月
26 日,舊金山的輕軌系統也因勒索軟體導致無法正常
售票,當局後來決定不付贖金,改讓民眾免費搭乘,但
大家可以想像,勒索軟體竟然也可以影響到民生,甚至
國防。
過往的木馬、病毒、廣告軟體等,只要透過掃毒程
式或上網找找 SOP 清除即可,因為那些木馬或病毒清
除後就可以正常使用電腦了,但是勒索軟體則大不相同,
即使已被清除,重要檔案卻已經失效無法挽回。
根據Fortinet統計勒索軟體2015年危害全球排名,
台灣名列亞洲第十名;但是到了 2016 年的上半年,台
灣排名已經前進到了亞洲第二名,僅次於日本。
二、 感染途徑
根據趨勢科技全球技術支援與研發中心的統計,
76%的勒索軟體是經由 E-Mail 所散布。這是一個使
用者最容易接觸到的感染途徑,或許您會覺得公司有
防火牆、防 SPAM 等系統會先幫您過濾掉,所以不用
擔心,但是為什麼仍有員工依然被勒索?因為散佈者
也知道公司會有這些防禦系統,所以會進行偽裝,例
如偽裝成一封訂單郵件,採購人員收到此郵件後,看
了合乎常理的內文,打開需要輸入密碼的 ZIP 檔案,
將郵件內文中指定的密碼輸入後開啟了附件,因此就
被植入了勒索軟體,這類偽裝的內文與上了密碼的壓
縮檔可迴避防禦系統的檢查,同時也沒有一家防毒軟
體可 100%有效辨識與阻擋勒索軟體。
另外,還有 8%是使用者透過瀏覽器上網,也是
誤以為該網頁是安全的(偽造的網站)或是去了某個
網站後被自動轉址開啟的,而該網頁中藏有 php
(PHP Web)、js(IIS Web)、python 等程式碼將
勒索軟體安裝到使用者電腦。
最後16%是透過應用程式商店、遭感染的軟體、
直接的駭客攻擊等等其他的管道被植入勒索軟體,從
圓餅圖可以明顯看出各感染途徑的比例。
-
感染途徑示意圖:
三、 動作形式
勒索軟體一旦安裝到您的電腦後,一般
會進行以下幾種動作:
1. 全硬碟型式的加密:
目前這樣的案例較少,但這是最狠
毒的,電腦重新開機後,無法正常
進入作業系統,開機後會先看到勒
索訊息例如右圖所示(圖片來自於
Google 搜尋),若不支付贖金,就
只能電腦重灌、失去所有檔案與資
料。
2. 檔案型式的加密:
這類的行為模式最為常見,使
用者可以正常使用電腦與上網(方
便讓你操作電腦上網去支付贖金),
勒索軟體將會把最常見的例如
Office 文件檔、PDF 檔、圖片檔,
甚至 VDI、DWG…等直接進行加密,
並在該目錄中留下訊息,告知您檔
案已被加密,下一步該如何處理。
右圖為精品於封閉環境下進行測
試所截取的實際畫面,畫面中可以
看出桌布已經被勒索軟體更換,且
-
該目錄的檔案名稱被加密後已變更(有
些勒索軟體不會去變更檔名),勒索軟
體加密完檔案後會自動開啟勒索訊息
的圖片檔案。
點開資料夾裡的 URL 連結檔案,如
附圖所示,會請您先安裝 Tor 瀏覽器後,
再進行支付贖金的後續動作。
安裝好 Tor 之後,可以看到綁匪還
佛心來的提供多國語系,告訴您怎麼完
成支付動作。
由測試環境呈現的畫面(如附圖),
可以看到被植入的是一支 Locky 的勒
索軟體,但檔案型的勒索軟體並非只有
Locky 一種,且這類的勒索軟體的作者
將持續製作變種,擴大感染對象。
3. 刺探系統漏洞,散佈勒索軟體。主動的
在內網當中刺探其他電腦或主機的漏洞,
並找出可以侵入的管道,以便讓其他電腦
輕易的被植入勒索軟體,擴大災情。
-
四、 防護方式
要有效防止勒索軟體所帶來的災害,有以下幾種機
制相互配合,可有效降低減少損失。
1. 防毒系統:這是第一線的過濾機制,若能
在郵件進入使用者信箱前先進行第一道的
掃描,可以濾除多數能讓使用者植入勒索
軟體的郵件。另外部份的防毒廠商(例如
Kaspersky)有提供解密特定勒索軟體的
工具。但不可輕易下載來路不明的疑似解
密工具,使用後可能造成二次傷害,讓電
腦被另一種勒索程式感染或被植入其他的
惡意程式、木馬等等。
2. 防止勒索軟體將檔案加密:例如透過
X-FORT 可以將重要的文件放在磁碟中受
到保護的目錄,只有指定的程式(例如
Word、Excel、AutoCAD 等)可以開啟
裡面的檔案,其他未指定的不明程式將被
拒絕存取。當電腦不幸感染到勒索軟體後,
亦可提供安全有效的方式將保護目錄內的
檔案取出。
3. 定期進行檔案備份:選擇具有保護備份檔
案機制的備份系統,定期將檔案備份,可
降低遭全硬碟型勒索軟體加密後的損失,
也預防硬碟故障帶來的損失。
4. 對使用者教育訓練:提高使用者對於勒索
軟體的認知,降低因認知不足、好奇心或
不好的操作習慣所帶來的損害。
五、 X-FORT 對抗勒索軟體方案
X-FORT可針對檔案型勒索軟體進行有效防護
與追蹤,所需模組如下:
1. 基本系統管理
2. 基本外接式儲存裝置
3. 操作記錄
4. 網頁控管
5. 基本軟體安控
6. 軟體資產
特色:
不需識別勒索軟體特徵。
防駭目錄內的檔案不會被感染,並可同時
放置多種格式的檔案。
萬一電腦被勒索軟體感染,防駭目錄內的
檔案依舊安全,仍可事後取出。
一台電腦可以設定與存在多個防駭目錄,
可分門別類配合使用。
模組使用目的說明:
【基本外接式儲存裝置控管】
₋ 不讓勒索軟體寫出任何檔案到外接碟
₋ 不讓勒索軟體將外接碟內的檔案加密,
保護外接碟內的檔案。
₋ 將防駭目錄內的檔案透過 X-Wizard
安全寫出到外接碟。
【操作記錄】
₋ 可追查使用者執行了什麼軟體?去了
什麼網站?
₋ 從哪裡複製了什麼檔案到電腦?
₋ 又將勒索軟體不小心複製到哪去!
₋ 屬於事後追蹤使用。
【網頁控管】
₋ 透過記錄查看勒索軟體對外連線目的
地為何?
₋ 透過網頁控管或 SSL 連接控管禁止連
線到該目的地。
₋ 屬於事後追蹤與防護。
【基本軟體安控】
₋ 透過文件防駭功能建立防駭目錄
₋ 可禁止勒索軟體存取防駭目錄中的檔
案,屬於主動防護功能。
【軟體資產管理】
₋ 蒐集每台 Client 端 Hotfix 安裝狀況。
₋ 針對未安裝重大 Hotfix 的電腦進行補
安裝命令發送,以修補 Windows 漏
洞。
-
根據以上模組
進行實際測試,防駭
目錄中的檔案並不
會遭到勒索軟體加
密,測試前建立兩個
目錄放置相同的檔
案,感染勒索軟體後,
防駭目錄內的檔案
並沒有被勒索軟體
加密,並可正常開啟
使用。
透過系統檔案
操作記錄,可發現勒
索軟體相關檔案動
作的記錄。從網址連
結記錄,也可以發現
勒索軟體的連結記
錄。
此時我們可以
透過 X-Wizard將防
駭目錄中的檔案安
全的備份到 USB 隨
身碟,且隨身碟內的檔案亦不會遭勒索軟體感染。從記錄中可證明,勒索軟體意圖感染 USB 隨身碟中的檔案,
但都被 X-FORT 成功攔阻。
以上為 X-FORT 對抗檔案型勒索軟體的建議方案與實測結果,若需進一步的了解,非常歡迎您進一步與精品
科技連絡。
精品科技股份有限公司 www.fineart-tech.com
Tel: 03-577-2211 Email: [email protected]
http://www.fineart-tech.com/mailto:[email protected]