Upload
others
View
8
Download
0
Embed Size (px)
Citation preview
1, 76%
2, 16%
3, 8%
勒索軟體解決方案白皮書
一、 何謂勒索軟體
勒索軟體為惡意程式的一種,其目的在於先造成受
害者的電腦無法開啟檔案或磁碟(被加密),造成資料
損失、影響作業,事後再向受害者進行索求比特幣,但
是受害者即使付了贖金,也不一定能得到解密的工具。
或許無法依字面來理解到底檔案被加密而無法開
啟會有什麼影響?那可以想像若是自己小孩十幾年下
來的生活照都打不開來了,或者是與太太幾十年下來的
點點滴滴的相片檔案都沒了,這樣是否會令人難過?又
或者一個設計師透過 AutoCAD 畫了兩週的圖,明天即
將要交件,突然被加密打不開,這樣是否令人憤怒?且
可能影響公司營收與信譽。
這樣的事情已經發生在美國的醫院、警察局,造成
醫院不得不先使用紙上作業取代電腦作業,警察局因為
急於辦案,不得不立即支付贖金。又於 2016 年 11 月
26 日,舊金山的輕軌系統也因勒索軟體導致無法正常
售票,當局後來決定不付贖金,改讓民眾免費搭乘,但
大家可以想像,勒索軟體竟然也可以影響到民生,甚至
國防。
過往的木馬、病毒、廣告軟體等,只要透過掃毒程
式或上網找找 SOP 清除即可,因為那些木馬或病毒清
除後就可以正常使用電腦了,但是勒索軟體則大不相同,
即使已被清除,重要檔案卻已經失效無法挽回。
根據Fortinet統計勒索軟體2015年危害全球排名,
台灣名列亞洲第十名;但是到了 2016 年的上半年,台
灣排名已經前進到了亞洲第二名,僅次於日本。
二、 感染途徑
根據趨勢科技全球技術支援與研發中心的統計,
76%的勒索軟體是經由 E-Mail 所散布。這是一個使
用者最容易接觸到的感染途徑,或許您會覺得公司有
防火牆、防 SPAM 等系統會先幫您過濾掉,所以不用
擔心,但是為什麼仍有員工依然被勒索?因為散佈者
也知道公司會有這些防禦系統,所以會進行偽裝,例
如偽裝成一封訂單郵件,採購人員收到此郵件後,看
了合乎常理的內文,打開需要輸入密碼的 ZIP 檔案,
將郵件內文中指定的密碼輸入後開啟了附件,因此就
被植入了勒索軟體,這類偽裝的內文與上了密碼的壓
縮檔可迴避防禦系統的檢查,同時也沒有一家防毒軟
體可 100%有效辨識與阻擋勒索軟體。
另外,還有 8%是使用者透過瀏覽器上網,也是
誤以為該網頁是安全的(偽造的網站)或是去了某個
網站後被自動轉址開啟的,而該網頁中藏有 php
(PHP Web)、js(IIS Web)、python 等程式碼將
勒索軟體安裝到使用者電腦。
最後16%是透過應用程式商店、遭感染的軟體、
直接的駭客攻擊等等其他的管道被植入勒索軟體,從
圓餅圖可以明顯看出各感染途徑的比例。
感染途徑示意圖:
三、 動作形式
勒索軟體一旦安裝到您的電腦後,一般
會進行以下幾種動作:
1. 全硬碟型式的加密:
目前這樣的案例較少,但這是最狠
毒的,電腦重新開機後,無法正常
進入作業系統,開機後會先看到勒
索訊息例如右圖所示(圖片來自於
Google 搜尋),若不支付贖金,就
只能電腦重灌、失去所有檔案與資
料。
2. 檔案型式的加密:
這類的行為模式最為常見,使
用者可以正常使用電腦與上網(方
便讓你操作電腦上網去支付贖金),
勒索軟體將會把最常見的例如
Office 文件檔、PDF 檔、圖片檔,
甚至 VDI、DWG…等直接進行加密,
並在該目錄中留下訊息,告知您檔
案已被加密,下一步該如何處理。
右圖為精品於封閉環境下進行測
試所截取的實際畫面,畫面中可以
看出桌布已經被勒索軟體更換,且
該目錄的檔案名稱被加密後已變更(有
些勒索軟體不會去變更檔名),勒索軟
體加密完檔案後會自動開啟勒索訊息
的圖片檔案。
點開資料夾裡的 URL 連結檔案,如
附圖所示,會請您先安裝 Tor 瀏覽器後,
再進行支付贖金的後續動作。
安裝好 Tor 之後,可以看到綁匪還
佛心來的提供多國語系,告訴您怎麼完
成支付動作。
由測試環境呈現的畫面(如附圖),
可以看到被植入的是一支 Locky 的勒
索軟體,但檔案型的勒索軟體並非只有
Locky 一種,且這類的勒索軟體的作者
將持續製作變種,擴大感染對象。
3. 刺探系統漏洞,散佈勒索軟體。主動的
在內網當中刺探其他電腦或主機的漏洞,
並找出可以侵入的管道,以便讓其他電腦
輕易的被植入勒索軟體,擴大災情。
四、 防護方式
要有效防止勒索軟體所帶來的災害,有以下幾種機
制相互配合,可有效降低減少損失。
1. 防毒系統:這是第一線的過濾機制,若能
在郵件進入使用者信箱前先進行第一道的
掃描,可以濾除多數能讓使用者植入勒索
軟體的郵件。另外部份的防毒廠商(例如
Kaspersky)有提供解密特定勒索軟體的
工具。但不可輕易下載來路不明的疑似解
密工具,使用後可能造成二次傷害,讓電
腦被另一種勒索程式感染或被植入其他的
惡意程式、木馬等等。
2. 防止勒索軟體將檔案加密:例如透過
X-FORT 可以將重要的文件放在磁碟中受
到保護的目錄,只有指定的程式(例如
Word、Excel、AutoCAD 等)可以開啟
裡面的檔案,其他未指定的不明程式將被
拒絕存取。當電腦不幸感染到勒索軟體後,
亦可提供安全有效的方式將保護目錄內的
檔案取出。
3. 定期進行檔案備份:選擇具有保護備份檔
案機制的備份系統,定期將檔案備份,可
降低遭全硬碟型勒索軟體加密後的損失,
也預防硬碟故障帶來的損失。
4. 對使用者教育訓練:提高使用者對於勒索
軟體的認知,降低因認知不足、好奇心或
不好的操作習慣所帶來的損害。
五、 X-FORT 對抗勒索軟體方案
X-FORT可針對檔案型勒索軟體進行有效防護
與追蹤,所需模組如下:
1. 基本系統管理
2. 基本外接式儲存裝置
3. 操作記錄
4. 網頁控管
5. 基本軟體安控
6. 軟體資產
特色:
不需識別勒索軟體特徵。
防駭目錄內的檔案不會被感染,並可同時
放置多種格式的檔案。
萬一電腦被勒索軟體感染,防駭目錄內的
檔案依舊安全,仍可事後取出。
一台電腦可以設定與存在多個防駭目錄,
可分門別類配合使用。
模組使用目的說明:
【基本外接式儲存裝置控管】
₋ 不讓勒索軟體寫出任何檔案到外接碟
₋ 不讓勒索軟體將外接碟內的檔案加密,
保護外接碟內的檔案。
₋ 將防駭目錄內的檔案透過 X-Wizard
安全寫出到外接碟。
【操作記錄】
₋ 可追查使用者執行了什麼軟體?去了
什麼網站?
₋ 從哪裡複製了什麼檔案到電腦?
₋ 又將勒索軟體不小心複製到哪去!
₋ 屬於事後追蹤使用。
【網頁控管】
₋ 透過記錄查看勒索軟體對外連線目的
地為何?
₋ 透過網頁控管或 SSL 連接控管禁止連
線到該目的地。
₋ 屬於事後追蹤與防護。
【基本軟體安控】
₋ 透過文件防駭功能建立防駭目錄
₋ 可禁止勒索軟體存取防駭目錄中的檔
案,屬於主動防護功能。
【軟體資產管理】
₋ 蒐集每台 Client 端 Hotfix 安裝狀況。
₋ 針對未安裝重大 Hotfix 的電腦進行補
安裝命令發送,以修補 Windows 漏
洞。
根據以上模組
進行實際測試,防駭
目錄中的檔案並不
會遭到勒索軟體加
密,測試前建立兩個
目錄放置相同的檔
案,感染勒索軟體後,
防駭目錄內的檔案
並沒有被勒索軟體
加密,並可正常開啟
使用。
透過系統檔案
操作記錄,可發現勒
索軟體相關檔案動
作的記錄。從網址連
結記錄,也可以發現
勒索軟體的連結記
錄。
此時我們可以
透過 X-Wizard將防
駭目錄中的檔案安
全的備份到 USB 隨
身碟,且隨身碟內的檔案亦不會遭勒索軟體感染。從記錄中可證明,勒索軟體意圖感染 USB 隨身碟中的檔案,
但都被 X-FORT 成功攔阻。
以上為 X-FORT 對抗檔案型勒索軟體的建議方案與實測結果,若需進一步的了解,非常歡迎您進一步與精品
科技連絡。
精品科技股份有限公司 www.fineart-tech.com
Tel: 03-577-2211 Email: [email protected]
http://www.fineart-tech.com/mailto:[email protected]