面對勒索軟體 (Ransomware),Windows 防禦新型安全威脅
勒索軟體 (Ransomware) 的威脅與日俱增,且攻擊手法不斷變種,臺灣企業也陸續傳出勒索軟體攻擊事件,像是重要檔案成人質,小心加密型勒索軟體 CERBER 入侵你的電腦!。當勒索軟體找上您,您將無法使用您的電腦,它並會以此作為勒贖,不論是個人用戶或是企業客戶需提前預防,不可掉以輕心。
什麼是勒索軟體 Ransomware
勒索軟體 (Ransomware) 是一種惡意軟體,它會悄悄地被安裝在電腦或行動裝置,並擁有操作文件或系統的功能。攻擊範圍包括了家用電腦、企業端的網絡,甚至政府及醫療保健服務機構的伺服器。
勒索軟體 (Ransomware) 會限制您使用您的電腦或移動設備,無法繼續使用,並且會加密您的檔案,癱瘓某些應用程式(例如:瀏覽器),使您無法順利操作及運行,它並會以此作為勒贖,除非您支付贖金(無論是通過信用卡或比特幣),可解鎖使用。但並不能保證您會得到文件備份,而且這些勒索軟體 (Ransomware) 是否會因此再次入侵您的電腦,是不確定的。
早期預防永勝於事後應變。因此防範這些勒索軟體 (Ransomware) 的入侵,相較於感染後再支付贖金,是更有效預防勒索軟體 (Ransomware) 的方式。了解更多勒索軟體 (Ransomware)
勒索軟體 Ransomware 的類型
先前版本的勒索軟體 (Ransomware) 會聲稱您的網路行為違法,因此需要罰款,但這都只是為了降低您請求技術支援的機率,而撒下的謊言。
最新版本的勒索軟體 (Ransomware) 則無孔不入,它主要分成兩種型態:鎖屏型及加密型。
- 鎖屏型 Lockscreen ransomware : 會使您的電腦顯示全螢幕的畫面,您會因此無法開啟電腦及任何檔案。它會宣稱你需要付錢才有辦法繼續使用電腦。
- 加密型 Encryption ransomware : 會透過加密檔案來竄改您的文件,此類型又較鎖屏型難修復。
勒索軟體 (Ransomware) 的攻擊何時發生
潛在的受害者可能落入勒索軟體 (Ransomware) 的陷阱,如果他們 –
- 瀏覽不受信任網站
- 不小心下載或打開那些已知的垃圾郵件的電子郵件,而那些郵件包含了惡意代碼的文件附件,這也包括內部的檔案壓縮文件或文件。
一些可能的附件名稱是:
執行檔 (.ade, .adp, .ani, .bas, .bat, .chm, .cmd, .com, .cpl, .crt, .hlp, .ht, .hta, .inf, .ins, .isp, .job, .js, .jse, .lnk, .mda, .mdb, .mde, .mdz, .msc, .msi, .msp, .mst, .pcd, .reg, .scr, .sct, .shs, .url, .vb, .vbe, .vbs, .wsc, .wsf, .wsh, .exe, .pif, 等)
包含巨集的Office文件(.doc, .xls, .docm, .xlsm, .pptm, 等)
- 安裝非法軟體、過時的軟體或作業系統。
- 使用電腦並且連接到一個已被感染網路。
上述這些行為都有可能啟動勒索軟體 (Ransomware) 的攻擊。
降低威脅和防範勒索軟體 (Ransomware)
我們不斷提醒使用者不要進入任何不安全或是不確定的網頁、信件或連結,因為勒索軟體 (Ransomware) 即是以此為傳播媒介。
當您瀏覽不安全的網站、開啟陌生人寄來的信件,或是在社群媒體上點擊惡意連結的瞬間,您就已經成為勒索軟體 (Ransomware) 的下手對象。
除了上述建議外, Windows 10 安全性解決方案提供整體架構的革新,充分利用最先進的硬體技術以協助保護使用者身分識別、資訊和裝置不受到駭客和惡意程式的威脅,可由內而外保護您的安全並由周邊向外延伸,同時建立更堅固的防禦。
企業與資訊工作者可以主動地防範和對抗勒索軟體以及其他惡意程式的威脅 :
偵測
- 安裝、啟用、並且持續更新防毒解決方案,像是使用 Windows Defender,做為您的反惡意軟體掃描器,
- 確保 Microsoft Active Protection Service (MAPS) 已經啟用。
預防
- 保持 Windows 作業系統以及防毒軟體是最更新的狀態。升級至Windows 10。
- 利用 Microsoft Passport 以及 Windows Hello進行雙因素身分驗證。
- 透過 Windows 10 企業版中的機密防護 (Credential Guard) 保護衍生的網域認證。
- 透過 Windows 10 企業版中的裝置防護 (Device Guard) 保護您的程式碼完整性。
- 使用 Microsoft Edge 得到 SmartScreen 的保護。它會阻止您瀏覽那些已知的漏洞託管網站,並保護您免於社交工程攻擊,如網絡釣魚和惡意軟體的下載。
- 保持第三方軟體於最新的狀態,可以降低可能的軟體漏洞。譬如已知被Ransomware鎖定攻擊的JBOSS,可以參考 Redhat 的建議。
- 確保在您的企業中,帳戶橫向移動的安全。
- 確保強化密碼原則在企業內落實。
- 禁止透過 Group Policy 的設定加載巨集。
- 禁止在 Office 程式中加載巨集。
參考內容 : The 5Ws and 1H of Ransomware