不要向勒索軟體屈服　Symantec 專家教你保護重要數據

去年 Sony Pictures 爆發嚴重保安事故，據悉在事發前公司高層就曾收到勒索信，揚言不付錢就會發動攻擊。其實類似的勒索事件非常多，很多中小企都不幸中招。但保安專家就警告別向勒索軟體屈服，因為付了錢也不一定能贖回重要數據，因此日常做好保安和備份就很重要。

應事前做好準備保護重要數據

電子世界裡有不少勒索軟體入侵企業，對一些重要數據進行加密後勒索金錢。雖然有不少方法可以對付這些不法之徒，然而最重要的還是防範未然，別讓不法之徒有機可乘。

勒索軟體如 CyptoLocker 或 CrptoWall 在企業間十分猖獗，這些勒索軟體目的都是十分簡單：以偷去的資料出作要脅，向受害人勒索金錢。我們必須明白甚麼是勒索軟體，它們對企業做成甚麼影響及危機。最重要是面對這些勒索軟體，有甚麼是該做，有甚麼是不該做，避免成為受害者。

我的數據被勒索軟體加密，該如何？

重點：不要屈服，然後付款！

 付款等於鼓勵，即使你付款，你可保證你能完整地收回數據嗎？切記這些不法之徒是在要脅你。如果大家還記得電影《贖金風暴》裡，兒子被綁架，爸爸不屈服，寧願把贖金懸紅也不付款，最後才能把匪徒繩之於法。
 從網絡移除受影響系統以及移除威脅。
 雖然他們顯示了很多步驟令你回復數據，但對保安公司來說，面對這些威脅時，有很多詳細指示，其中包括移除指示。移除始終都是對系統最好，最能夠解除潛在病毒散播。
 從好的備份回復任何受影響的檔案，這是最快而安全的方法。

我可以拿回我的檔案，而不用向不法之付款或者從備份裡修復嗎？

 很可惜這世上沒有這樣的事。不法之徒通常都把一些檔案勒索並且隱藏，留下原裝檔案但會使用「磁碟區陰影複製服務」（ VSS ），或者把副本以加密形式留在本機裡。這很值很詳細地調查變種資料，看看有甚麼解決方法，但通常都是徒勞無功，因為不法之徒會比你早一步洞悉先機，預先想像你會有何對策。

我可以從加密檔案裡以Brute-Force（暴力攻擊法）打開我的加密檔案嗎？

 不能。現時的威脅以 RSA-2048 數位加密， Brute-Force 對他們只是小兒科。

我該怎樣防範勒索軟體？

A) 安裝、配置及維持完點保安方案

原點是最後防線，所以應該使用一個多重平面保安方案，而這方案不只針對本機檔案（傳統 AV ），而應該包括下載保護、瀏覽器保護、探索式科技、防火牆和信譽系統。

人們使用防毒軟件方案時應該和供應商有妥善溝通，怎樣配置實時掃描選擇，與高度保安一致，對抗病毒及間諜程式，這些種種用家決定都會都會傳播到所有檔案上。

B) 用家教育

這些威脅其實是來自釣魚式攻擊，如來自不知名電郵附帶不知名連結，結果就在無知情況下跌入陷阱。教育員工，對這些電郵提高警覺。

C) 在電郵伺服器上使用內容掃描和過濾器

任何外在電郵應該要受到掃描以偵測威脅，在電郵裡阻礙任何可能有威脅的附件。

D) 維持現有的修補程式以應付任何運作系統及應用程式，補充其漏洞

任何網站上可下載的東西都有機會散播間諜程式。平日多檢查軟體有否欠缺修補程式，可補充此漏洞。

E) 安裝及配置防侵入系統

IDS 或 IPS 系統可偵測及預防間諜程式以對話方式入侵，它們藉此建立公眾或私人加密以脅持資料。

F) 阻擋你的用家與間諜程式接觸

企業可考慮推行軟件限制政策，透過 GPO 就可以建立和應用這些政策，最重要是不要讓員工隨便下載無相關的軟件。

G) 限制用家使用磁區權限

現時的勒索軟體可瀏覽及加密數據在入何目標磁區，透過完用家而得到權限。防止員工進入特定磁區，可避免他們無意中分享了間諜程式，減少企業損失。

H) 部署及維持後補方案

最快方法還是把最重要檔案進行備份，當出現問題時還有補救機會。

Source: Symantec