備份是擊敗勒索軟體最簡單又萬無一失的方法

2016-11-23

 

 

在我們先前關於勒索軟體成為新興惡意威脅的文章中,我們找出了遭受勒索軟體攻擊的原因,它何以成為網路罪犯的首選武器,以及快速崛起的背後因素。顧慮著也許在未來幾個月內您身邊會有人遭受勒索軟體攻擊的可能,所以現在說不定正是您學習對抗勒索軟體的最佳時機。

 

重點回顧:勒索軟體攻擊是如何運作

1.惡意軟體會以多種方式存取電腦或行動裝置。例如,您可能會收到看似來自可靠來源的郵件,因此您也許不假思索地就開啟了會感染電腦的附件或連結。或者您點擊了一個合法的線上廣告,但實際上卻被導向到自動感染電腦的網站。或者可能會將受感染的USB隨身碟插到電腦中。或者存取到不適當的網站,如發布盜版電影和遊戲的網站,因而下載受感染的檔案。

 

2.勒索軟體的感染會悄悄加密每個檔案,因為它能找出硬碟驅動。同時還可能會散播到您網路上的其他機器:應用程式伺服器、備份伺服器和同事的電腦。當它完成作業後,就會凍結您的電腦,並顯示一則訊息:「我們已加密所有的檔案,請支付幾百或幾千元不等的比特幣贖金,來換取解密金鑰,否則您永遠無法再見到這些檔案。」這當中有一點,他們說對了,沒有指定金鑰,確實永遠無法解密檔案。

 

主流的勒索軟體防範機制

防毒軟體/惡意軟體掃描:利用軟體掃描電腦上的每個檔案,並將該檔案與其惡意軟體資料庫進行比對。
行為異常偵測:這項作業就像社區巡守隊,監控系統的正常狀態、可預期的行為,只有發現可疑活動時才會進行介入。

應用程式沙箱:這類似於傳染病的隔離程序,讓新程序在系統內虛擬機的安全隔離環境中執行。如果沒有發現什麼問題,該程序才可允許在沙箱外執行。
應用程式白名單:這就像宴客的來賓名單,由IT人員建立一個已知、受信任的應用程式清單,並且只允許它們在您的電腦上執行。不在清單上的禁止進入。

垃圾郵件防護和網路釣魚掃描:這些措施會嘗試過濾出可能會將惡意軟體加入系統的郵件、連結和附件。就像機場海關,掃視人群中有誰看起來可疑或異常。

這些部署都是一種良好的措施,每個環節都有適當的防護策略,但要建置如此廣泛的架構,恐怕也只有企業公司才有這個能力,一般消費者大多也就只能安裝個防毒軟體的。然而,這當中其實也隱含了一些弱點,狡詐的勒索軟體駭客會利用這些弱點進行攻擊。

 

勒索軟體防護的常見弱點

• 蒙蔽惡意軟體掃描的方式有二。其一,一個新的惡意軟體啟動到安全研究人員發現它並加入資料庫的整個過程,總會有些空窗時間。其二,利用購買便宜的惡意軟體混淆服務,來隱藏已知的勒索軟體特徵碼。
• 勒索軟體攻擊者努力檢測和規避行為偵測軟體和應用程式沙箱。如果惡意軟體會在行為偵測或沙箱審查中暴露行蹤,它將會延遲其引爆的時機。即使快速行動的行為偵測,有時也不能直接偵測到勒索軟體攻擊,直到發現時大量的檔案文件已經被加密。

應用程式白名單是可能有其效用,但須要借助自動化和智能處理異常的能力。沒有專門的IT資源來做管理,也很可能成為用戶工作效率的障礙。

垃圾郵件防護和網路釣魚過濾雖然有效,但永遠不會是百分百。擊敗這些架構措施是勒索軟體團隊關注的另一個重點領域。只要惡意郵件正在傳遞給用戶時,一旦不經意點擊連結或附件,造成單一的機器淪陷之後,勒索軟體通常就可以透過網路散布到附近的端點。

 

備份 – 才是從勒索軟體攻擊中還原檔案的最佳方法

我們正一同面臨和歹徒之間的競爭,但目前根據統計資料顯示(預估歹徒今年將會獲利上億美元),這些歹徒幾乎可說是大獲全勝。不過,有個好消息是,結合本地備份,並將備份副本儲存在私有或公有雲的混合型備份,會是一個從勒索軟體手中還原檔案的最佳方法。

在經歷勒索軟體攻擊之後,一個嚴謹的備份方案可以協助快速返回到事件發生之前的時間點。透過日常備份將系統還原到感染前的乾淨狀態。為考量勒索軟體變種可能影響到本地網路的因素,您必須在異地位置維護備份,通常是私有或公用雲。另外也可運用裸機備份,進一步確保受感染系統可以還原到乾淨的狀態。

總而言之,投資端點安全方案和培訓用戶觀念來對抗勒索軟體仍然是個好想法。只不過,總會有不足或是百密一疏的時候,等到這個時候,未必花錢就能還原檔案。(請特別留意,付贖金也不能保證還原 – 某些特別討人厭的小偷會在錢到手後刪除您的檔案。)但是,其實有更簡單、更加萬無一失的方法,那就是結合本地和雲端備份的資料保護。

 

原文出處:There Are Many Ways to Repel Ransomware, Only One Way to Defeat It