以勒索軟體為核心的專業分工網路行業正在成型,而這些發展也不難想像,勒索病毒猖獗的程度。近年來,台灣受到勒索軟體危害的企業也不在少數,根據一份來自趨勢科技的統計資料顯示,台灣地區勒索軟體攻擊人次在近兩月份達到新高。
勒索軟體(Ransomware)已經成為日益嚴重的問題,而且高昂的經濟利益正在促成一個龐大的產業鏈。從近期Fakben的駭客團隊推出CryptoLocker勒索軟體服務,讓客戶只要支付50美元就能下載Cryptolocker執行檔、設定勒索金額,並且擁有比特幣帳戶,開始勒索事業;以及針對付款的客戶,現今還有專門的客服人員,專職「教導」受害者如何付款等發展來看,以勒索軟體為核心的專業分工網路行業正在成型,這些新興網路行業發展也更突顯了勒索病毒猖獗的程度。
|
▲和沛科技產品管理協理李金溪指出,ArkEase Pro雲端儲存服務平台已新增資料竄改防護技術,可在第一時間偵測到檔案被勒索軟體加密,並且直接阻斷同步機制。 |
近年來,台灣受到勒索軟體危害的企業也不在少數,根據一份來自趨勢科技的統計資料顯示,台灣地區勒索軟體攻擊人次在近兩月份達到新高,高達50萬人次遭內含勒索軟體的網頁攻擊,這其中,尤以加密勒索軟體最為流行。亦即,駭客會利用勒索軟體感染使用者裝置,將其檔案以加密,並向使用者提出支付贖金要求,若不遵從,使用者將永遠無法開啟使用遭受加密的檔案資料。
和沛科技產品管理協理李金溪指出,駭客散播勒索軟體的管道很多,除了想辦法將惡意程式放到電腦、在網頁或廣告植入惡意程式,致使在瀏覽網站時,不小心中標,有些駭客則會發送釣魚郵件,利用主旨吸引使用者點開附件,「根據我們在企業訪談的經驗,許多企業根本不知道發生什麼事情,硬碟就被綁架了。」
版本管控輕鬆還原
面對日益猖獗的勒索軟體,專家也建議,提高使用者的資安意識,保持足夠的警覺性;定期更新軟體,並且善用資安軟體封鎖有害連結,進一步防止駭客入侵;以及做好檔案備份,在萬一不幸檔案被加密,至少還有備份檔可還原,是目前防禦勒索軟體的三大方向。
其中,在檔案備份方面,除了備份軟體能夠在事後將檔案還原至未被加密的狀態之外,不少業者所提供的企業檔案存取與共享服務(Enterprise File Synchronization and Sharing,EFSS),也提供版本控管機制,能透過還原功能,協助企業取回未加密前的檔案。例如和沛ArkEase Pro雲端儲存服務平台就是其中一項解決方案,可提供企業級檔案同步分享服務,並且透過版本管控還原資料。
|
▲ArkEase Pro資料竄改防護技術目前已經整合到系統管理頁面,管理人員只要啟用勒索軟體攻擊偵測功能即可。 |
他認為,雖然EFSS解決方案的功能不若備份軟體強大,但是就終端使用者的備份需求而言已綽綽有餘,而且只需一個按鍵就能還原。「對於企業來說,備份軟體存在兩個問題,一是安裝與設定相對複雜,另外,同樣的授權費用,使用者只使用到部分功能,未免有殺雞焉用牛刀之感。不管是從使用者的使用經驗,還是成本考量,企業檔案存取與共享服務相對具有優勢。」
誘餌檔防資料竄改
將EFSS解決方案作為勒索軟體的防線需具備兩項條件,一是在功能面上具有多版本設定機制,也有業者提供無版本限制的方案,而另一項條件則必須要有足夠的空間,「有時候使用者根本不知道檔案已經被加密,而被加密後的檔案就會被同步到雲端,萬一雲端空間不足,或是原先根本就沒有多版本設定,被加密的檔案很可能覆蓋掉前一乾淨的版本,而導致無法還原資料。」李金溪說。
針對這項問題,和沛提供資源回收筒的功能,預設在30天內都可以保存,而且不算私人空間,而是系統空間,如此一來,萬一被加密的檔案真的傳到了雲端上,只要在30天內的檔案都可以找的回來。
|
▲一旦系統偵測到誘餌檔被加密,同步機制就會被停止,並且發出告警訊息,提醒使用者馬上連絡系統管理員協助確認並且排除問題。 |
「但是我們認為這樣還不夠,與其被動地事後還原,更應該事前有個偵測機制,預防被加密的檔案傳上雲端。」他提到,為了協助企業及早發現勒索軟體蹤跡,和沛特別設計了資料竄改防護技術(Method and System for Preventing Malicious Alteration of Data in Computer System),可在第一時間偵測到檔案被勒索軟體加密,並且直接阻斷同步機制,而這項技術目前也在申請專利中。
作法上,和沛會在同步的目錄中加入誘餌檔,由於駭客根本不知道那些是使用者的檔案,哪些又是誘餌檔,一旦誘餌檔被加密,就可以知道勒索軟體在觸發加密動作,這時同步機制就會被停止。李金溪解釋,和沛並非防毒業者,取得病毒樣本並不容易,因此從勒索軟體的行為下手,如此一來,便不用擔心跟不上勒索軟體變種的速度,只要在本地端即時偵測到誘餌檔被加密,立即就會阻斷同步上傳功能,以確保雲端上都是乾淨的檔案。
一般而言,感染勒索軟體的電腦不只會加密硬碟內的檔案,還會尋找網路芳鄰的共享資料夾或是網路磁碟機,如果使用者對這些共享資料夾或是網路磁碟機上的檔案具有寫入權限,很可能就會被勒索軟體一併加密,導致網路磁碟機也受到危害。亦即,勒索軟體不只會加密Client端,也會順便把網路磁碟機檔案都加密,企業若是採用備份軟體,將檔案備份到網路磁碟機,也很可能發生這種情況,除非採用Rsync遠端備份,勒索軟體才無法辨識,不過在技術難度與設定上會更為複雜。「ArkEase Pro備份到Server的獨有技術能讓勒索軟體根本看不到雲端空間,所以沒有辦法對雲端存放的檔案進行加密,確保雲端資料安全。」