Oracle Cloud Free Tier

免費在 Oracle Cloud 上建構、測試及部署應用程式。

什麼是勒索軟體?

勒索軟體的定義

勒索軟體是一種惡意 酬載格式,最完善地描述威脅行為者的惡意意圖,因為他們成功控制受害者的資料或系統。通常要求加密貨幣支付交易。


這位攻擊者可能會使用多個攻擊向量和未支付可能造成的結果,包括下列威脅:

  • 擷取與發布受害者的資料
  • 公開導致安全風險的受害者弱點與操作實務
  • 加密受害者的資料並永久封鎖存取
  • 進行管理或根控制並永久停用有安全風險的系統

一般而言,惡意動作者會尋求取得付款,因為它們的行為可能會危害 IT 系統,並對受害者的一般操作造成不利影響。雖然惡意軟體是主要攻擊方法之一,但卻沒有使用惡意軟體時,就發生幾起事件;例如,遭受拒絕服務 (DoS) 攻擊或網站赤字威脅而發生網路勒索的情況。勒索軟體即服務 (RWaaS) 也已出現,威脅演員建立商業模式,以針對個人或公司和服務啟動目標式攻擊。

勒索軟體的運作方式

勒索軟體通常會透過網路釣魚網站或「順道」下載項目提供。釣魚電子郵件出現合法且可信度,以讓受害者按一下惡意連結或開啟附件。藉由下載磁碟機所進行的程式,在未經使用者同意的情況下,自動從網際網路下載。在下載後可能會執行惡意程式碼,而沒有任何使用者互動。在惡意程式碼執行後,使用者的電腦已受到惡意程式感染。

勒索軟體接著會在受感染的系統上識別磁碟機,然後開始加密每個磁碟機內的檔案。加密通常具有加密檔案的唯一副檔名,例如 .aaa、.micro、.encrypted、.ttt、.xyz、.zzz、.locky、.crypt、.cryptolocker、.vault 或 .petya。完成加密之後,勒索軟體會建立及顯示一組檔案,其中包含勒索軟體攻擊條款的資訊及指示。例如,一旦受害者符合勒索軟體的條款,威脅演員可能會提供受害者解除鎖定加密檔案的密碼編譯金鑰。

組織如何更具復原性,抵禦無償軟體攻擊

基本安全衛生和健康作業實務可協助組織避免勒索軟體未預期事件,並限制財務損失、停機以及中斷。

組織的使用者之間存在數個弱點。各組織可透過安全電子郵件和網際網路瀏覽慣例來教育個別使用者。社群媒體平台安全的教育也很重要,因此使用者注意惡意威脅行為者可能會使用公開可取得的資訊來鎖定組織內或其他人的組織。

為加強安全措施,組織可為攻擊者用來傳播讓惡意軟體的各種系統實作技術控制。技術控制範例包括:

  • 實施電子郵件和通訊平台的篩選工具和技術,以防止惡意程式使用者傳遞
  • 實作電子郵件伺服器和網際網路閘道的惡意軟體掃描、連結驗證服務以及封閉測試環境技術
  • 定義和強制有關下載及使用外部和不信任的環境中程式碼的原則,可防止系統藉由安裝惡意軟體或執行惡意命令檔而危害

除了執行更新的端點保護產品外,企業應建立身份和存取管理 (IAM) 系統,採用零信任的安全方法。組織可以藉由強式的認證與原則,嚴格控制重要系統和機密資料存放區。

除了嚴格存取控制之外,組織還應對協同合作工具、檔案共用資源及其他經常存取的系統執行限制。組織可能會適時因應額外的認證挑戰。避免匿名登入、一般帳戶以及使用弱式證明資料,結合了對 root 與管理員作業系統或 DBA 帳戶等授權帳戶的嚴格控制,是維護強式安全性狀態的關鍵。

組織應根據安全組態準則定義及維護已知的安全組態基準,以及部署系統。由於惡意有效負載通常是以已知的軟體漏洞為目標,因此請立即套用安全修正程式。

最後,另一個最佳實務是協助組織從勒索軟體回復的另一個最佳實務,可以在不同的作業系統上個別儲存備份,因此您無法從網路存取備份。

如果貴組織是敘利亞攻擊的目標,該怎麼辦

當組織發現惡意軟體時,應嘗試藉由下列方式限制惡意有效負載的傳播:

  • 隔離受感染系統並移除所有網路並將其從中移除及停用系統
  • 及時處理所有的檔案共用弱點,並將任何不支援的作業系統離線
  • 檢閱 IT 系統之間的信任鏈,以防止惡意程式疫情爆發的重複效果
  • 將網路和資料庫隔離,有助於隔離惡意軟體的突破,並限制危害的作業影響

為限制勒索軟體攻擊的影響,組織修正計畫應包括使用有效且經過驗證的復原程序頻繁與安全備份的佈建。在還原系統之前,組織應確定在發生初始危機時刻和如何發生合理的信心水平。沒有受害者,被害者組織可能會在執行初始復原時不小心還原危害,以及重新建立感染。因此,在選擇是要還原為較年長但還是安全狀態,或還原至較新的狀態之前,可能必須執行成本效益分析,但可能會感染狀態,以將業務中斷降至最低。由於有一些惡意軟體是鎖定備份檔案和資源,因此組織必須能夠有效控管備份檔案。