國家發展委員會檔案管理局

檔案知識+-珍藏所愛,愛所珍藏-淺談防護重要檔案免受勒索軟體威脅

珍藏所愛,愛所珍藏-淺談防護重要檔案免受勒索軟體威脅

資訊高度數位化的今天,不管是公務重要文件或是個人生活照片影音紀錄,多以數位檔案方式留存於電腦中。這些檔案對機關及個人的珍貴性,也成為駭客植入勒索軟體進而要求受害者支付贖金的新恐嚇攻擊。在此淺談目前常見之勒索軟體入侵方式,期提升大眾資安風險意識,並介紹受勒索軟體入侵時之相關處理方式。

國家發展委員會檔案管理局文書檔案資訊組分析師 郭仲軒

壹、前言

「哇!為什麼我的電腦畫面不能操作,上面還有一行字跟我要甚麼比特幣」、「天啊!我電腦中十年來的旅遊照片被加密讀不出來了!」這種慘叫聲,相信大家在這兩年的新聞及親朋好友的哀號中,時有所聞,這就是近年來不分國內外之政府組織、大型企業(圖1)或小老百姓都聞之色變勒索軟體恐嚇攻擊,新聞版面也屢見不鮮。

圖1 曾經受到勒索軟體攻擊的全球機構與企業 圖片出處:聯合新聞網
圖1 曾經受到勒索軟體攻擊的全球機構與企業 圖片出處:聯合新聞網

貳、何謂勒索軟體

勒索軟體亦稱勒索病毒,屬『阻斷存取式攻擊』(denial-of-access attack)。其又分為2種,一種係僅單純將受害者電腦鎖閉,另一種則有系統性地加密受害者硬碟檔案。勒索軟體皆要求受害者付贖金以取回對電腦的控制權,或逕取得受害者無從自行取得的解密金鑰來解密檔案。勒索軟體的威脅,是近幾年來快速發展的一種新型態網路攻擊,這種駭客行為,成本小,獲利大又難以追蹤,吸引大量駭客投入。

勒索軟體入侵受害者的方式通常以誘騙受害者點選網站惡意連結下載,或是假冒電子郵件誘騙使用者開啟進行,若是受害者點選開啟了勒索軟體,此時若受害者電腦剛好具有駭客可運用之弱點,勒索軟體即開始於受害者網路中擴散並且偷偷地搜尋受害者電腦可存取之儲存設備(含主機硬碟、外接硬碟、網路磁碟等),並以加密演算法加密後,將原檔刪除。接著於電腦螢幕上顯示訊息(圖2),要求受害者支付難以追蹤之比特幣贖金,以解鎖加密檔案。

圖2 勒索軟體顯示畫面範例 圖片出處:中央廣播電臺新聞網
圖2 勒索軟體顯示畫面範例 圖片出處:中央廣播電臺新聞網

參、使用者習慣是最重要的防線

圖3 隨時留意系統更新狀況 圖片出處:微軟電腦作業系統截圖
圖3 隨時留意系統更新狀況 圖片出處:微軟電腦作業系統截圖

如同其他常見的惡意軟體威脅,遭受勒索軟體感染的常見途徑首先是下載或點擊到惡意軟體,第二步是正好電腦具有可利用的弱點未修補。是以,除運用安全防護軟體,儘可能檢查所連線或下載的檔案外,正確使用習慣才是面對層出不窮網路攻擊的最重要防線,使用者應隨時確認電腦系統及安全防護軟體的弱點修補與更新狀況(圖3)。留意瀏覽網頁之正確性及安全性,並避免點擊不明或奇怪的免費網站,往往此類網站頁面上的廣告連結可能隱藏著惡意程式,俗話說:「免錢的最貴」,別讓一時的小小好處,讓自己暴露在更大的風險中。

肆、發現勒索軟體時的處理方式

一旦發現了勒索軟體的蹤跡或畫面,代表電腦中的資料已經遭受一定損失,這時就須立即控制危害的範圍。首先,使用者應斷開電腦網路並關機,以中斷勒索軟體持續運作。接著,重開機進入安全模式;或直接將硬碟拆下來安裝於其他乾淨的電腦,備份其中尚未被加密的檔案。另外,亦可嘗試使用防毒軟體業者提供之解密工具搶救,不過由於勒索軟體技術進展快速,變異版本多,也只能姑且一試。此外,部分的勒索軟體將檔案加密產生新的檔案後,僅將原檔案以一般方式刪除,或有機會使用某些資料復原軟體,於磁碟的實體儲存空間找出部分被刪除之原檔案,難免有所損失,例如救回之圖檔會有破碎的狀況。

當盡力搶救檔案後,續將原電腦硬碟進行格式化及重新安裝作業系統,使電腦回復成乾淨的狀況,最後安裝修補漏洞的更新檔及安全防護軟體(圖4)。

有人說,如果願意付贖金,是不是就可以把檔案復原?以實際案例來看,支付贖金也不一定能完全將檔案解密。所以還是需要自行做好萬全的準備。

圖4 勒索軟體感染後處理流程圖  圖片出處:國立臺灣大學計算機及資訊網路中心第38期電子報
圖4 勒索軟體感染後處理流程圖 圖片出處:國立臺灣大學計算機及資訊網路中心第38期電子報

伍、永遠都要準備的B計畫:備份321

針對珍貴資料的保存,除了仰賴使用者正確使用習慣,以及妥適的資安防護外,面對防不勝防的駭客攻擊,資安防護觀念不只是追求完美的防護,而是考量萬一真的發生狀況時,能將資料回復為可接受的程度,故良好的備份是很重要的措施。

備份的基本法則可以「備分321」來說明:「至少備份3份;使用2種不同的備份方法(如光碟備份、外接硬碟備份、磁帶備份),其中1份要存放異地」。經由複數備份、異地存放方式,降低資料完全漏失的機率。對於大型組織而言,應確實依照這種備份原則保護組織的重要資料,而個人則可評估可運用資源及資料重要性進行調整。總之,面對重要資料,人人都應有一種備份機制。

在此提醒大家一個小觀念,備份資料應和電腦實體斷開。有些人認為使用可自動進行資料備份的設備,如具磁碟陣列功能的網路儲存設備(NAS:Network Attached Storage),或是直接在同一臺電腦的硬碟中複製保存兩份以上檔案,就算已進行備份工作,並可以避免勒索軟體綁架檔案的問題。可是由於備份資料是與電腦隨時保持連線,如果此電腦真的被勒索軟體感染,其有可能連備份的資料也被加密勒索,那可就前功盡棄了。

陸、結語

不管是組織或個人,資料的滅失遠比硬體設備毁壞更讓人難以承受,硬體設備損失尚可投入資源回復,但有些資料用金錢也換不回來,也許是公司的機密資訊或核心配方,抑或是個人心愛的重要記憶照片,故平時應有正確的資安觀念,並妥善做好資料備份工作,以珍藏保護我們重要的回憶與資料。

 
 
參考資料:
  1. 維基百科網頁, https://zh.wikipedia.org/wiki/勒索軟體 (民107年4月12日檢索)。
  2. 聯合新聞網綜合報導。〈整理包/不再「想哭」!立馬搞懂勒索病毒〉,https://udn.com/news/story/11124/2463289 (民107年4月11日檢索)。
  3. 陳林幸虹。〈勒索病毒橫行 預防首重作業更新〉,https://news.rti.org.tw/news/view/id/344597 (民107年4月11日檢索)。
  4. 曾煒傑。〈勒索軟體介紹與防範〉,http://www.cc.ntu.edu.tw/chinese/epaper/0038/20160920_3807.html (民107年4月12日檢索)。

本電子報所載國家檔案資料採取創用CC「姓名標示─非商業性」 cc創用 3.0 臺灣授權條款釋出,同意授權予不特定之公眾以重製、散布、發行、編輯、改作、公開口述、公開播送、公開上映、公開演出、公開傳輸、公開展示之方式利用,以及創作衍生著作。

 
歡迎您對檔案樂活情報提出寶貴建議,請聯絡:alohas@archives.gov.tw