2017年5月18日 星期四

面對越來越兇猛的勒索病毒攻擊,你應該知道的必備知識

勒索病毒持續不斷地威脅全世界所有資料和檔案的安全,演變進化的速度也相當快,從最早期的夾帶檔案、社交工程手法,到最近更是直接利用作業系統的漏洞強迫感染沒能及時修補漏洞的電腦,感染速度越來越快,如果再搭配 0-Day 零時差攻擊,如果平時沒有做好防範,幾乎完全沒有反應時間,就直接栽了。

以下好手整理勒索病毒相關的知識,從淺到深的問題都有,無論你是否受到勒索病毒威脅,這些知識應該都值得你仔細閱讀。

什麼是勒索病毒?

電腦病毒軟體的一種,與傳統電腦病毒不同的是勒索病毒通常不直接對系統進行破壞,而是將重要檔案 (通常如 Word 文件、多媒體檔、資料庫檔案等) 進行高度加密,並向中毒電腦的使用者索討高額費用取得解鎖用的金鑰。

為了督促受害者盡速支付「贖金」,通常勒索病毒會設下時間門檻,越過門檻後可能刪除部分檔案,或者提高贖金。

檔案被加密後有辦法解開嗎?

勒索病毒為了避免檔案被暴力破解,通常使用非常高加密等級的金鑰進行加密,幾乎沒辦法破解。加密檔案使用的金鑰通常被存在遠端資料庫內,除非遠端資料庫被駭,否則難以直接奪得金鑰進行解鎖。

勒索病毒收什麼作為贖金?

勒索病毒清一色使用「比特幣」 (bitcoin) 作為收取贖金的工具。由於比特幣具有匿名的特性,雖然交易細節公開可追蹤,但由於屬於非具名性質交易,要追查到本人並不容易,再加上後來已有相關混幣、替代貨幣的出現,讓追查變得更加困難。

怎麼支付贖金?

在台灣,全家便利商店的 FamiPort 有比特幣代收服務,限額 20,000 元台幣內之交易。不過由於不確定勒索病毒是否真能還原檔案,不建議支付贖金給駭客團體,以免壯大其聲勢,助紂為虐

中了勒索病毒怎麼辦?

通常勒索病毒會潛伏在電腦中一陣子,等到加密的檔案超過一定數量後 (總是要找更多的俘虜) 才跳出訊息進行勒索。但因為高度加密需要大量運算時間,通常不會等全部檔案都加密後才通知,因此當你發現中了勒索病毒以後,第一步驟請立即關機 (請勿使用網路傳說的自動關機腳本),並且將硬碟移出原電腦,找一台乾淨無中毒的電腦先尚未被加密的檔案救出。

至於原本的電腦,如果可以從被加密後的檔案附檔名得知勒索病毒的種類,

勒索病毒可以 "解毒" 嗎?

不能,只能透過防毒軟體或其他技術避免毒繼續蔓延,但已經中毒 (被加密) 的檔案仍然沒辦法取回。

我先將檔案壓縮加密,就可以防止被勒索病毒加密嗎?

不可以。勒索病毒會直接將所有它認得的檔案類型進行加密,即便是加密碼的 RAR 或 ZIP 等檔案還是會加一層密,沒有取得勒索病毒加密用的金鑰,照樣成為廢檔一個。

雲端備份不安全?

人總是對於看不見的東西產生莫名的恐懼,這個思維就是基於這件事而起。即使雲端備份系統沒辦法保證 100% 不受攻擊、檔案不受損,但幾乎都能保證有 99.999% 以上的有效性,甚至存放在 Dropbox 的檔案也都經過 256bit 的 AES 加密確保安全,甚至還提供遭勒索病毒加密檔案後的救回機制,事實上仍然比一般的備份方式安全。

用現實生活來舉例,就像是在路上發生交通事故的比例雖然高出飛機好幾倍,但多數的人仍然對於搭飛機有更多的恐懼。

放在雲端的檔案會被偷!

放在銀行保險箱的金飾也會被偷、放在金庫內的金條也會被偷,但和放在身上遺失被偷的機率相較起來,這個機率的高低你應該不難分辨。

常見的備份架構

1. 本機備份

最常見的就是「備份到D槽」或隨身硬碟,不過因為都是人工作業,不僅每次備份完整性不一,若感染勒索病毒也同樣會直接遭病毒將檔案加密。因此這個方法只能勉強說「聊勝於無」,實際上對於勒索病毒幾乎沒有防範之力。

2. 離機備份 (空間大,單位儲存成本較低)

將檔案備份至其他沒有直接連線的電腦或備份設備,通常這類設備也會使用不同的作業系統,以避免同時發生系統安全而淪陷。使用 NAS 可以視為是離機備份的一種,通常如 Synology 的 NAS 會使用專屬的作業系統及檔案格式 (File System),避免惡意程式直接對系統攻擊。

而NAS 通常也支援磁碟陣列 (RAID),提高更高的檔案可靠性,詳細可以參考 RAID 詳細說明

如果沒有 NAS,也可以使用多顆硬碟進行備份,但請注意至少要有 2 個以上的備份 (不含原始檔案),才能確保備份檔案安全。

3. 雲端備份 (最方便)

將檔案透過備份軟體同步至雲端儲存空間 (或雲端硬碟服務) 如 Dropbox、OneDrive 或 Google 雲端硬碟。在一般使用上又以雲端硬碟最為方便,自動同步機制也讓備份這個動作幾乎無感實現,並且具備檔案版本管理機制,詳細可參考「善用雲端硬碟,打造勒索軟體也攻破不了的檔案保護牆」一文詳細說明。

不過還是要提醒一下雲端備份雖然穩定性、安全性高,但仍然有發生資安事件的可能,如果是非常重要的資料可以考量先透過 boxcryptor 之類的工具,將檔案加密過後再同步至雲端硬碟。

什麼是「檔案版本管理」機制?

在一個完整的檔案或文件管理系統裡,為了管理及追蹤、回復檔案的每次變動,都會具備「檔案版本管理」機制,每一次檔案的變動 (修改/刪除/新增) 都會被系統紀錄下來,因此你可以從紀錄上得知每次檔案異動的內容、時間,也可以隨時將檔案回復至「檔案版本管理」機制內的任何一個檔案版本。

因為勒索軟體在加密檔案後,會將原始檔案刪除並且要求支付高額贖金,因此如果搭配硬碟的檔案版本管理,基本上你完全不需要理會勒索病毒,因為就算他把你的檔案都刪光,你還是可以從雲端硬碟輕鬆的把檔案給取回。

image
▲ 檔案多版本管理 (圖/Synology 系統截圖)

如何做好備份?

這件事情講200年也不會有人100%做到完美,不過能做多少就盡量做,畢竟資料是自己或公司的重要資產。備份檔案通常需要擬定備份策略,不過這名詞聽起來太假掰,好手這邊列舉一些原則供大家參考:

  1. 養成定期備份的習慣
    這是一個必須要有的正確觀念,不過....好,我知道這對大部分的人來說和天方夜譚一樣,你只要記得這件事情就好,繼續往下看吧...
  2. 至少要有一個本機以外的備份
    雞蛋不要放在同一個籃子裡,同樣的,檔案也不要放在同一台電腦裡。當你將檔案放在同一台電腦,就算沒有病毒威脅,也有可能因為電腦的硬體故障導致儲存裝置同時損壞。因此建議必須至少要有一個備份在其他的電腦或儲存空間上,分散風險避免一次被意外擊沉。
  3. 備份目標地必須要有檔案版本管理機制
    備份的目的除了避免勒索病毒外,也可以避免平常因為人為的疏失造成誤刪或誤改檔案,提供一個救回的機會。版本管理機制能保存的檔案版本數越多、保存期越長,對檔案的保護能力就越高,不過相對也會耗費更多的儲存空間。建議至少要保留 6 個以上的歷史版本。
  4. 定期自動化備份或同步
    將工作檔案集中在特定資料夾內可以比較方便設定備份,工作檔案建議一週至少備份2~3次,全系統建議2~3個月做一次系統快照 (snapshot),以便發生狀況時可以快速還原。檔案同步是最方便的備份方式,不過必須要搭配檔案版本管理機制使用,否則就不能算是安全的備份方式。

image

▲ 檔案版本數越多,對檔案的保護能力就越高

更多WannaCry相關報導



from 硬是要學 https://www.soft4fun.net/tech/how-to-face-ransomware.htm

沒有留言:

張貼留言