新聞中心

Malware and antivirus software

勒索病毒!!!別怕!!!ESET資安專家攻防秘笈大公開

Created: 2016-10-27 08:14:51

 
勒索病毒是網路不法份子以限制電腦或者檔案的存取,迫使受害人付贖金才能取回資料的惡意軟體。不幸的是,勒索病毒正在日益成為惡意軟體作者所慣用的一種謀財方式,用來詐騙公司企業和一般使用者的錢財。
付贖金或許是一個權宜之計,但絕對不是個好主意。勒索病毒作者沒有法律上的義務在被害人付款後解密檔案,目前已有很多案例證明,付贖金後拿到的解密金鑰無效,甚至還有索取贖金的付款資訊從未出現的情況發生。這足以證明,不法份子是不會致力於提供一流”售後服務”的。
該如何應對???
勒索病毒是極其可怕的 – 檔案加密後可能損壞且無法還原。但如果使用者能夠預先採取正確防範措施,勒索病毒能造成的破壞會十分有限。
以下提供三大建議,能夠有效防範勒索病毒破壞使用者資料。我們將先探討預防惡意軟體的方法,使之第一時間就無法侵入系統,接下来會再針對不幸遭受感染之後,可以如何最大程度降低損失。
1. 備份資料
應對包括勒索病毒感染在內的意外狀況,最重要的步驟之一就是定期做資料備份。目前市面上非常多的勒索病毒變種,都會嘗試去加密系統所有磁碟上的檔案。除了本機硬碟以外,也包括USB隨身碟、網路磁碟以及雲端硬碟等有磁碟代號的外部裝置。因此備份檔案建議要保存在外部磁碟或雲端硬碟上,並且強烈建議在不使用時,切斷裝置的連結,且進一步透過正規資料加密軟體和安全防範措施妥善保管。
2. 及時更新軟體版本
惡意軟體作者常常利用人們使用存在已知安全性漏洞的舊版軟體,透過軟體漏洞,不知不覺的侵入系統。因此養成經常更新軟體版本的習慣,便能夠大大降低感染惡意軟體的機率。可能時,應啟用軟體自動更新功能,通過軟體內部的更新程式獲取更新,或可直接造訪軟體開發商網站,下載最新版本。
惡意軟體作者有時還會通過發佈虛假軟體更新通知的方式,引誘使用者下載和執行其改造過的版版本,因此使用知名、官方的軟體資源類網站,能夠降低系統受感染的機率。對於Windows系統,還可以透過控制台中新增/移除軟體,按兩下解除安裝可能存在漏洞的舊版軟體。
3. 使用知名防毒軟體 (非常重要!!!)
安裝反惡意軟體和軟體防火牆,讓系統能偵測威脅或可疑行為,始終不失為一項良策。由於惡意軟體作者頻繁更新其作品,試圖以此逃避檢測,因此具備雙重防護是非常重要的。一旦您不慎遭遇勒索病毒的某個最新變種,防毒軟體尚無法偵測時,軟體防火牆仍可能在其試圖連接命令與控制(C&C)伺服器、接收檔案加密指令時,阻斷其通訊。
以下提供幾個小竅門,能夠讓您防範現有勒索病毒變種慣常使用的感染方式 – 雖然這些竅門可能並不適用於每一種情況,但並不失為成本低廉、最少干預使用者的可行方法,有利於阻斷各類惡意軟體的入侵管道。
★Microsoft Office文件中禁用巨集
多數人可能並不清楚,Microsoft Office文件猶如檔案系統中的一個檔案系統,內置了強大的指令碼語言執行能力,幾乎能夠將一個完整可執行檔所能執行的一切操作自動化。禁用Office文件中的巨集功能之後,可以令利用指令碼語言發起的攻擊完全失效。
★顯示隱藏的副檔名
惡意軟體慣用的喬裝改扮伎倆之一,就是採用雙副檔名的命名方式,試圖以此喬裝為合法檔,例如“.PDF.EXE”。這種喬裝方式利用了Windows和OS X系統之中隱藏已知副檔名的默認設置,使之貌似使用者之間頻繁發送的常見文件格式。如您啟用顯示完整副檔名的設置,便能夠更輕易的觀察出可疑的檔案類型。
★過濾電子郵件中的可執行檔
很多郵件掃描軟體具備副檔名過濾功能,您或許希望拒收含有.exe附件的電子郵件,或附件含有兩個副檔名、後一個副檔名為可執行檔(例如“檔案名.PDF.EXE”)的電子郵件。如果公司網路內部確有互傳可執行檔的正常工作需要,且已設置拒收含有.exe附件電子郵件的話,您可以通過ZIP壓縮檔或雲端服務方式發送可執行檔。經過ZIP壓縮可執行檔之後再發送,還有著另一層安全保障,因為您可以設定一組選公司內部所通用的統一密碼,用來識別未使用約定密碼的不明外部檔案。
★禁止執行AppData/LocalAppData資料夾中的檔案
您可以在入侵防禦軟體或Windows系統內部設置規則,禁止勒索病毒經常執行的特有操作,即從AppData或Local App Data資料夾中運行其可執行檔。如果您碰巧有合法軟體,需要從App Data資料夾中運行(請注意這種情況相對罕見,多數正規軟體均允許使用者選擇另一安裝路徑),則需要對此規則添加排除設置。
★禁用RDP
勒索病毒有時會利用遠端桌面協定(RDP)入侵感染系統,這是Windows系統一項內置功能,允許他人遠端存取使用者桌面。如內部網路無需使用RDP,不妨禁用此功能以提高網路安全性。
一旦您發現,在未採取以上任何防範措施之前,不幸執行了勒索病毒的可執行程式,您現有的選擇相對比較有限。但仍有一些補救方法可供您嘗試,或許能夠幫助您減少損失:
◆查看是否存在解密工具
惡意軟體作者偶爾也會犯錯,讓萬用的解密工具被開發出來。所以可以在網上快速搜索一下,查看您所遇到的問題是否存在免費解密方法,但記得要使用知名網站的資源。
◆立即切斷WiFi或拔下網路線
一旦您運行了某個檔且懷疑它是勒索病毒的話,在尚未看到典型的勒索畫面之前,如果迅速採取行動,仍可能來得及阻斷勒索病毒與C&C伺服器之間的通訊,使之無法完成對你檔案的加密操作。如果您立即斷開網路連接,也可能減少被加密檔案的數量。
◆使用系統還原,還原至已知無毒狀態
如您的Windows電腦啟用了系統還原功能,或許可以將系統順利還原到先前已知無毒狀態。很多勒索病毒變種都會刪除系統還原點,但不妨一試。
◆將BIOS時鐘調整為過去
部分勒索病毒變種內置有付款倒計時程式,超過付款期限後,會上調解密金鑰購買價格。將BIOS時鐘調回過去時刻,可以在到期視窗顯示之前,多爭取些解決問題的時間。
如您已經是ESET產品使用者,擔心勒索病毒安全防範問題,或感覺自己已成為勒索病毒的攻擊目標,請聯絡您所在區域客服人員。他們將為竭誠您提供防範勒索病毒攻擊以及事後補救的最新建議。
最後,有關近期勒索病毒的氾濫,已有大量聳人聽聞的新聞報導,主要是基於傳統謀財類惡意軟體的最新演變趨勢(過去都是隱藏于後臺,因此不會損壞資料)。勒索病毒的確是可怕的,但還有許多與病毒無關的風險,也可能導致同樣的損失。因此購買知名有保障的資安防護軟體,並且定期(且頻繁)進行離線備份是很重要的,預防措施永遠更勝於後續補救,ESET願為您一同建構良好數位環境。
 
原文出處: http://www.welivesecurity.com/2016/10/10/ransomware-expert-advice-keep-safe-secure/