中了勒索病毒后的处置七准则

  • 内容
  • 评论
  • 相关

现阶段,大多数的加密勒索软件都是透过钓鱼邮件入侵,若使用者风险意识不够,就很可能受害,导致档案无法存取。

从大多数的加密勒索病毒的执行过程来看,一般都是会向远程遥控C&C主机取得加密密钥,再暗中加密受害计算机中的档案,像是先使用AES加密档案,再用非对称密钥RSA加密来将AES密钥加密,且密钥长度是2048位,使用户难以用暴力方式解开加密,因为即便用超级计算机,都要运算个好几十年才能达到目的。

当用户计算机中的重要档案,像是Word、Excel、PowerPoint、PDF、JPG档,等近百种常见文件格式,都被恶意加密后。加密勒索病毒就会跳出要求付赎金的勒索讯息,并限期在很短时间内(像是5天)就要给付,否则销毁密钥,让用户再也无法解开档案。同时,勒索给付方式上,为了更隐匿踪迹,会要求以比特币等金融机制来给付,才能取得解密密钥。

当用户看到勒索讯息时,同时也会发现,无法开启被加密的档案,文本文件即便开启,也会是乱码显示。而且,新的变种加密勒索软件,甚至连文件名也能加密,这将使用户无法分辨哪些档案无法使用,可能更影响用户心理状态,让用户焦虑而顺从付款。CryptoWall是2015年最著名的加密勒索软件在被害用户的计算机上,看到屏幕上自动跳出的勒索讯息才知道受害,但这时计算机里的档案都被加密,无法正常开启,而且还是采用超高等级的2048位加密技术,用超级计算机都要花上不少时间才能解开,因此档案都无法再开启使用。

加密勒索紧急应变之道

遭受加密勒索软件入侵后,真的没有办法破解吗?是的,大部分的加密勒索软件,若都是经由2,048位RSA和AES加密,几乎已经不可能自行暴力破解救回调案。

另一方面,从防毒厂商趋势的统计资料看出,中小企业为受害对象的比例明显增加,一旦中小企业真的面临这种加密勒索威胁时,该如何面对与解决呢?

 处置准则1  中断网络联机

最近,网络上有不少人询问,中了勒索软件该怎么办的讯息。防毒厂商趋势、赛门铁克等专家的建议都是,先中断该台电脑的网络联机,避免灾情可能扩大,这是最简单易做的处理方式,虽然大多数使用者意识到被加密勒索软件绑架时,通常灾害也已经发生了,但将受害主机隔离这个步骤,仍是不可少的首要处置动作。

档案无法使用,用户心急是一定的,公司负责IT相关工作的人员,可以先尝试了解当事人使用情况,像是是否点选可疑的电子邮件,浏览了哪些网站,即便使用者不太记得,但也算是多一些参考的信息。请记得,沟通需要多点耐性,并安抚中毒计算机的用户,而不是一味指责。

 处置准则2  即刻发现,应立马关机

若是用户能够实时发现,自己计算机中的档案正在被恶意软件加密,这时首要的动作是关机,立刻持续按压电源键,强迫计算机进行关机动作。之后可将该台电脑的硬盘取出或使用U盘PE系统,透过外接方式将其中的未被加密的档案保存下来。他们也实际这么做过,结果成功防止其他档案继续被加密。但也要提醒大家的是,过程中千万不能去点选那些已经被加密的受害档案。

 处置准则3  紧急培训、清查不可少

就这次我们访问的防毒、安全厂商等,在他们所接触到的例子中,大多数加密勒索病毒的感染途径,都是经由钓鱼邮件入侵。

因此,在状况发生的当下,负责IT相关的人员也要立即跟其他部门或同事培训,提升大家的警觉性,并一一检视各台电脑是否也有受害,并通知所有同仁有状况立即回报。

甚至,IT人员自行寄送可疑邮件的测试方式,了解是否还有同事没有提高警觉,以便能针对进行教育训练,像是教导他们可疑邮件的分辨方式,提醒不要乱点标题耸动的信件,避免点入可疑链接,内文中有乱码或英文显示的要特别注意,应多仔细检查邮件内容。

 处置准则4  评估灾情

评估灾情是相当必要的一点,知道哪些资料被加密了,才能了解企业损失范围与严重性,同时也要清查这些档案是否有备份,是否能够将档案复原。

万幸的是,现在也有一些防毒、网络与资安等厂商,例如卡巴斯基、Cisco、Bitdefender与Fireeye,已经针对加密勒索软件推出解密工具与网站,像是中了CoinVault、Bitcryptor、TeslaCrypt、Linux.Encoder.1与CryptoLocker的受害用户,就有机会能将档案解密。尽管,这些工具并不一定保证可以复原档案,但总是多个机会。然而,要注意的是,也不要病急乱投医,找到假的解密网站,使用户再次受害。

 处置准则5 系统重装,但软件防护要更注意

若是灾情不大,没有太多重要档案被加密,或是都有安全备份可以将档案复原,仅有部分资料需重建,此时,多半使用者会选择将被感染的计算机硬盘格式化,重装系统,让计算机回复成干净的原始状态。

然而,最好在重装前,也清查受害计算机本身的预防措施,像是Windows操作系统是否安装更新程序,是否安装防病毒软件,防病毒软件的防护功能是否全部都开启。因为,除了已知病毒的防护,还要提升未知病毒与最新攻击的防护力。而且,多数企业防病毒软件在预设上,通常不会将功能全开,主要是这会影响效能,虽然这样提供用户选择的弹性,但无形中也产升一些风险,因为并不是每个用户能自己衡量并注意。其他还需要留意的像是Java、Adobe Flash、IE浏览器等,有没有更新到最新版本。

这有助于了解受害当时计算机本身的风险与状态,也期望避免该计算机与其他公司计算机,因为同样的漏洞而再感染。

 处置准则6 保存现场状况,请求支持

如果想找防毒、安全专家进一步协助,他们也都有提供产品的售后服务,请他们协助了解受害情况也是一种方式。同时,记得也要保存一台受害主机,以便提供分析环境。

至于是否需要留下当成证据,期待未来能够成为求偿的物证,目前并没有很好的答案,因为勒索软件的犯罪侦查有其专业及复杂性,对于一般企业似乎难有即刻的效益。

不过,像是国外FBI探员也曾表示,他们也很希望能收集勒索诈骗的讯息,并希望能够及时了解这些诈骗的不断发展。

 处置准则7  没有办法中的办法:付赎金

该不该付赎金,是让多数受害用户两难的问题。基本上,各方面专家的回答都是不建议的,因为这将助长犯罪,更让恶意黑客为所欲为。

但实际上,企业若是评估灾情后,发现影响甚大,有许多重要文件损失,在没有任何有效办法的情形下,若只要花不多的金钱就有机会取回,使用者很可能就会买单。但要注意的是,付了款,不一定就能拿到解密密钥。

在现实生活中,勒索行为已经触及刑法范畴,只是,网络勒索犯罪都是跨国的事件,加上匿踪手段高,难以追查,多数人的普遍认知,也都了解这种加密勒索难以追查、破解,因此普遍专家也都没有针对报警、备案一事给出明确响应,即便美国FBI探员也在有提及,花钱消灾是解密数据的最快方法。这也显示加密勒索威胁的恶劣,需艰难面对。