分類: 企業資安

研究顯示有公司在考慮要儲存比特幣（Bitcoin），以防遭到勒索病毒攻擊時能夠在短時間內回復重要檔案,這是個好方法嗎?

各行各業的大小企業要如何去準備對抗勒索病毒 Ransomware (勒索病毒/綁架病毒)攻擊？有一份最新的研究顯示有公司在考慮要儲存比特幣（Bitcoin），以防真的遇到攻擊時能夠在短時間內回復重要檔案。雖然趨勢科技並不建議屈從於支付贖金，因為這無法保證能夠讓檔案救回，而且之後還可能容易被當成勒索病毒的攻擊目標，但我們也不能怪這些大型機構和企業會如此做。勒索病毒攻擊可能會中斷業務運作和生產力，並且會造成公司的信譽損害，這一切都是付款取得解密工具之外的損失。

 

為什麼勒索病毒仍然繼續?

為了避免成為勒索病毒的受害者，最好是能夠了解它如何運作以及它為什麼會成功。當然，社交工程誘餌和商業等級加密是讓勒索病毒攻擊成功的重大因素，但是除此之外，最近幾波的勒索病毒還採用了其他惡意軟體行為，雖然技術尚不完全成熟，但結合在一起時還是造成了更大的破壞，讓IT人員更加頭痛，也得花費更多時間和精力來解決問題。

試想一下，某公司接到消息稱他們的檔案連同最核心的資料都已經被加密，必須支付贖金才能夠取回，IT人員作了該做的事情，將網路切割並且將受感染系統從網路隔離，他接著試圖清理受感染電腦和回復檔案，但他遇到了一些挑戰。

舉例來說，勒索病毒家族常見的作法是會刪除陰影複製（Shadow Copy），這可以透過下列指令做到：

 

vssadmin.exe Delete Shadows/All/Quiet

WMIC.exe shadowcopy delete/nointeractive

 

透過刪除陰影複製（Shadow Copy），它會移除檔案備份，讓你無法回復檔案，請注意，Windows 7和8作業系統加入了刪除陰影複製（Shadow Copy）功能；然而這在Windows 8使用者介面中看不到。CRYPWALL、Locky、CERBER和CRYPTESLA等變種會使用這種技術。

其他行為可以大致分類為：修改啟動程序、散播以及防偵測機制：

修改啟動程序

覆寫或抹除開機磁區（MBR）可能會導致系統無法啟動，這種功能會增加使用者進入安全模式來回復系統的難度，PETYA是具備此功能的一種勒索病毒，而MATSNU則會執行後門指令來抹除開機磁區及鎖住螢幕。

散播策略

因為勒索病毒使用了加密演算法，想要回復單一系統的檔案已經有難度了，更何況有些勒索病毒能夠透過外接式硬碟和網路共享來散播，讓其他重要資料也被加密。被稱為Zcryptor的勒索病毒（ZCRYPT加密勒索病毒）可以透過外接式硬碟及網路共享散播。 繼續閱讀

難有可靠的統計數據可以顯示出全球勒索病毒 Ransomware (勒索軟體/綁架病毒)疫情的確切規模，但根據美國聯邦調查局的資料，單單 CryptoWal l這個變種就在短短一年多內帶來超過1,800萬美元非法暴利。顯而易見的，這已經成為黑帽駭客對受害者敲詐錢財的新歡了。這也是為什麼趨勢科技推出全面性的活動來幫你向勒索病毒說不。

我們推出了系列文章來詳細說明多層次防禦是組織降低感染風險的最佳做法，在上一篇的文章中，我們說明大多數威脅能夠在網頁和電子郵件閘道被攔截，雖然這是真的，但確保你佈署些什麼來攔截可能穿過的東西也非常重要，這就是端點安全防護作用的地方。

犯罪份子的搖錢樹

勒索病毒 Ransomware攻擊可以具毀滅性，使企業資料無法被存取就能夠癱瘓整間企業，即便不是所有資料都會被惡意軟體加密，但很可能你會被迫將整個IT系統離線作為防禦措施，這可能導致服務中斷、生產力損失及嚴重打擊你的聲譽。

好萊塢長老教會醫療中心是最早因為這類攻擊而上新聞的機構之一，一般認為攻擊造成醫院被迫將病人轉診和取消X光、電腦斷層掃描和實驗室作業，執行長Allen Stefanek後來承認支付了40比特幣（Bitcoin）的贖金（當時約17,000美元）來取回它的檔案。他聲稱這是「回復我們的系統和行政作業最快和最有效的方式。」

這也讓我們很容易知道為什麼勒索病毒在網路犯罪世界變得如此受歡迎，以及為什麼組織必須提高預防措施來避免遭受類似的命運。

該怎麼做?

正如之前的文章所說，趨勢科技的網頁和電子郵件閘道解決方案可以攔截99%的勒索病毒威脅。大多數這類威脅都是透過這些管道來針對你組織內最脆弱的一環 – 一般使用者，但這可能被偷偷繞過的1%怎麼辦？畢竟在勒索病毒數量節節上升的時候，1%仍可能是相當大的數量，而只需要一個使用者一次的錯誤點擊就能夠讓組織陷入混亂。 繼續閱讀

 Ransomware (勒索軟體/綁架病毒)是現今IT安全團隊的災難。如果讓它在你的IT環境內擴散，就可能會癱瘓整個組織，幾天內都無法存取關鍵資料，甚至會是永遠。會有什麼後果？會造成服務停擺，生產力損失並且嚴重損害信譽和營利。有些人認為最好的答案是在電子郵件/網頁閘道加以攔截，並且教育員工來更好地察覺可疑電子郵件，雖然這些都很重要，但並非全部，網路犯罪分子也在尋求另一種攻擊載體來直接針對你的伺服器 – 攻擊未經修補的漏洞和終止支援的系統。

這就是為什麼伺服器安全防護也是多層次防禦的重要一環，組織需要加以落實以有效地降低勒索病毒攻擊風險。

是時候進行修補

伺服器是你最珍貴資料所停留的地方，所以壞人也自然地會直接針對IT基礎設施的這一塊。這可以從新威脅看到（如刪除備份,逼迫就範!! 攻擊伺服器漏洞的 SAMSAM) ,它們並非透過惡意網址或電子郵件附件檔進入，而是攻擊未經修補伺服器的漏洞，它已經讓十家馬里蘭醫院被迫暫時關閉，這些醫院都屬於MedStar網路的一部分，同時也在教育單位引起類似問題。

沒有IT資安專家會否認進行修補的重要性，但這並非一件簡單的事情，現今的IT環境是複雜的混合式架構，IT部門需要管理多種不同的修補更新機制。對於重要的關鍵系統，有時候甚至需要延遲修補，因為企業根本無法承擔進行測試和佈署更新所需的停機時間，據估計，企業平均需要100到120天來修補新發現的漏洞，只需要有一次漏洞攻擊穿透你的組織，就會成為新聞頭條的下一個勒索病毒受害者。此外，無論是為了運作或財務因素，許多組織都還在運行已終止支援的系統（如Windows 2003），所以沒有安全修補程式可用，這會進一步讓組織處在受感染的危險中。

越來越多企業運行的是實體、虛擬和雲端的混合環境，為安全架構投入更複雜的因子，這樣的複雜性所產生的間隙讓網路犯罪分子可輕而易舉的利用。你可能已經在邊界佈署了安全防護，但如果受感染的端點連上具有漏洞的檔案伺服器呢？接著就會發生出現在內部網路的攻擊，繞過了傳統的安全控制。而且，雲端環境並沒有邊界…那接下來怎麼辦？

繼續閱讀

 

 

大多數組織都會努力降低營運成本和提高網路整體效率，但往往有不可預見的風險和成本出現在連接內部伺服器和主機與連接外部第三方廠商和設備的基礎設施。如果沒有具備對所有網路流量和活動內未知可疑事件的能見度，黑帽駭客總可以想出方法侵入你的網路。

缺乏對網路的能見度讓勒索病毒作者可以有效地利用你的資料來從你身上賺錢。更糟的是讓組織面臨大量未知的風險和成本，有許多會超出原本的勒贖金額。

勒索病毒 Ransomware (勒索軟體/綁架病毒)曾經只是一般使用者的問題，但現在犯罪集團正用勒索病毒來侵入你的網路、主機、資料庫、共享檔案和系統備份，讓它們陷入成為勒索人質的危險。雖然很難準確地估計全球企業勒索病毒疫情的影響，趨勢科技在去年十月到2016年四月間攔截了9,900萬次威脅。另一個關於這問題有多嚴重的指標則是在2016年三月時，美國國土安全部的US-CERT和加拿大的網路事件反應中心（CCIRC）發出針對勒索病毒危險性的重大警告。

該警告列出對企業的一些可能影響：

• 暫時或永久性的損失敏感或私有的資料以及知識產權
• 中斷正常業務運作
• 回復系統和檔案所造成的財務損失
• 對企業聲譽所造成的可能危害。

 

透過加密資料或是封鎖對主機、系統、伺服器或應用程式的存取能力，惡意分子要求金錢才讓你的資料可以正常使用，而從網路的角度來看，不管是不是支付贖金，都還有更多該考慮的地方。組織應該想想下列幾點： 繼續閱讀

勒索病毒 Ransomware (勒索軟體/綁架病毒)正迅速成為世界各地IT部門的災難問題，它在過去的12到24個月間已經從一個小騷擾變成了主要的威脅 – 造成業務中斷，傷害無數組織的品牌及聲譽。想阻止這種新的惡意軟體威脅並沒有萬靈丹，不過，花時間佈署多層次防護再加上其他預防措施，就可以讓你有更好的機會減少被感染的風險。

多層次防護應該從電子郵件和網頁閘道開始，也就是趨勢科技Deep Discovery進階網路安全防護，InterScan Web Security和Cloud App Security for Office 365。

保護你的使用者

為什麼是閘道？因為在閘道上進行攔截可以保護你組織內最脆弱的部分 – 你的使用者，儘管勒索軟體作者開始想辦法攻擊IT環境的不同部分 – 包括伺服器和網路，但是大多數攻擊仍然是透過電子郵件和網頁而來，可能是一封惡意郵件附件檔或是連上具有「Drive by download」路過式下載攻擊的網址，任何用來誘使你組織內最脆弱環節犯錯的攻擊手法。

趨勢科技自2015年十月到2016年四月間所攔截的9,900萬次勒索軟體威脅中，有99%是在閘道所攔截 – 惡意電子郵件或網頁連結，在這階段攔截，你的使用者就連不小心點入的風險都不會有。

從這裡開始防禦

趨勢科技提供全面性的防護功能能夠在電子郵件和網頁閘道攔截勒索軟體威脅。 繼續閱讀