自從三月開始,勒索軟件就開始成為香港資訊保安的最熱門話題,不少中小企、學校和 NGO 都回報受害。坊間不少廠商都說能抵擋勒索軟件,甚至宣稱可以解鎖被加密的文件,但真相又如何?如果筆者告訴你連 FBI 都承認「繳交贖金也是一種方法」,有否令你開始擔心這問題?
勒索軟件不斷變種、威脅更大
勒索軟件最近成為香港資訊保安的最熱門話題,因不少中小企、學校和 NGO 都回報受害,在美國甚至有醫院也出事。據香港電腦保安事故應變中心(HKCERT)資料,單是今年已有超過 40 宗個案,而且還未計算沒有報告的。
廣告都講:「電視節目有好多種,但唔係每種都適合香港人收看」,其實勒索軟件也是。勒索軟件不是新事物,以前黑客會強制安裝一些受害人不需要的軟件,又或是不斷彈出色情網站廣告(因廣告顯示黑客也有收入),如果想回復正常就要付錢。
有些就利用人的陰暗面:例如假扮 FBI 彈出視窗訊息,警告受害人安裝了盜版軟件因此需要「罰款」,亦有黑客盜取受害人私密照片或重要機密文件,威脅公開網絡。由於受害人往往不是清白無垢,結果就像那些「假公安」的騙案一樣,因為心虛而乖乖付錢,讓黑客得逞。
經歷過多年演變,近年勒索軟件又再復興並提高了技術水平,最近比較有話題的就是 CryptoLocker、Locky 和 Petya。Petya 會扮成求職者電郵,引誘受害人下載扮成履歷的惡意程式,執行後便會把電腦的主開機紀錄覆寫,電腦全部檔案就會被加密,連 Windows 安全模式也無法進入。
而 Locky 就更加熱門了,它會利用使用者對 Microsoft Word 檔沒有戒心,開啟文字檔時要求啟用巨集才能正確檢視亂碼內容,實質是暗中下載勒索軟件感染加密用戶的檔案。由於 Locky 的勒贖介面還有中文和日文訊息,明顯針對亞洲,香港就已經有不少個案。
成功破解勒索軟件、真的可以嗎?
勒索軟件成為資訊保安新聞,連電視台新聞都有報導,亦有報導各種「勒索軟件成功破解方法」或是「安裝勒索軟件剋星一勞永逸」訊息。
誠然不少廠商都推出應付勒索軟件的方法,不過誰也不敢說「一勞永逸」,而就算能防範勒索軟件入侵或解密的程式,其實也只限於特定版本的勒索軟件,正所謂「勒索軟件有很多種」,只要變種了或是有全新的勒索軟件出現,這些方法也沒有辦法的。
筆者跟認識的資訊保安專家查詢,幾乎全部都說加密後要破解是不可能的。當然也是有案例啦,不過這背後往往只是黑客用低技術手法加密,甚至有案例是黑客把解密金鑰都放了去受害者電腦,如果醒目的話根本不用交贖金。
Unwire.pro 也報導過有方法破解 Petya 的攻擊並有片段講解,但保安專家強調,即使能解到也只限於特定版本,一旦有變種就未必有效。最有效方法還是在入侵前先做好防範,如果輕信坊間教你的「成功破解方法」或是「安裝勒索軟件剋星」訊息都只是錯過自救的機會。
防毒軟件以外也有廠商在努力
Microsoft 香港早前就召開記者會,講解 Windows 10 和 Office 365 如何應付勒索軟件,算是真的比較有用的自保手法。
因為很多勒索軟件都是用電郵來散播,因此郵箱服務是其中一個前線戰場。其實不管是 Gmail 還是 Outlook,都已經替使用者擋掉不少威脅,如果打開垃圾郵件匣,幾乎肯定見到有用「Invoice」、「Payment」和一組亂數組成主旨的郵件,那便是 Locky 的入侵郵件了。
這類雲端郵箱服務提供者水準優劣其實很關鍵,以 Microsoft 為例背後就有「數碼罪案組」(DCU)監視並偵查網上的數碼犯罪,背後有資源加快對應新型或變種勒索軟件,Outlook 能更快攔截到符合勒索軟件特徵的電郵,如果是自設郵件伺服器就沒有這種保障。
Windows 10 企業版和教育版就更新了設備防護(Device Guard)、認證防護(Credential Guard)和先進威脅分析功能(Advanced Threat Analysis)。簡單點說就是一些類似流動裝置控管(MDM)方案,讓設備只能安裝已獲准廠商的軟件,並只容許已授權程式與系統連接,防止黑客盜取及攻擊。
席間有記者問到「如果不是用 Windows 10…」,答案是什麼相信不難猜,而家用版還沒有這些功能的呢。而且用白名單雖然安全,但卻像是監獄般什麼也不准,顯然不是符合人性的方法。
為何勒索軟件如此難應付?
正如未曾犯過事的犯人或恐怖份子是最難辨認的,一旦有了紀錄就能憑此辨別,勒索軟件之所以難應付,正是因為利用了未被公開、只有黑客發現的系統漏洞,這些針對漏洞的惡意軟件因為新型的,所以防毒軟件很難防範。
針對這問題,近年資訊保安方案都加入「沙盒」技術,簡單點說就是讓惡意軟件先進入一個模擬電腦的環境下執行,保安系統會監視它有否可疑行為,一旦發現「行為不檢」就不會獲准進入真正的電腦系統。
但沙盒技術很耗用運算資源,會導致機構的連線變慢之餘,也要等待沙盒確認安全才能收到郵件,會影響日常運作。而且黑客也很聰明,惡意軟件會察知正身處沙盒之中而「扮乖」潛伏,令辨認變得更困難。
另一方面這些先進的保安系統的費用一般不低,以前黑客會針對大企業攻擊盜取數據換取巨大利益,但現在勒索軟件針對的反而是中小企業、學校等 IT 預算不多的機構。正所謂「取易不取難」,雖然贖金利益一定比入侵大企業為少,但得手容易,瞄準的是無防備的人自然令問題更嚴重。
事實上,有研究就指企業有 11% 願意花 500 美元消災,外國更有警局中了勒索軟件最後不得不屈服犯罪者繳付贖金,就連 FBI 也不能不屈辱地說,機構如果真的必須拯救檔案,「繳付贖金也是一種方法」。當連執法者也無計可施,你就明白「勒索軟件」威脅到底有多嚴重。
勤加備份很有效,不過也要注意
其實對這些中小機構而言,成本較低又有效的方法就是勤於備份。現在不少公司都用 NAS 備份,但其實也有機會出事。因為勒索軟件會嘗試取得系統管理員的權限以進一步入侵,有案例就是順著公司內聯網入侵到檔案伺服器和 NAS 之中,因此如果內部保安政策太差也會出問題。
專家建議備份方式有兩種,一是雲端備份,二是離線備份。離線備份即是把重要的文件和數據,複製一份到沒有連線的裝置,如沒連線的電腦、硬碟或 USB 隨身碟。而雲端備份的好處是具備版本紀錄功能,一旦中招了也能從紀錄中回復舊版本文件,減少損失。
「人」的因素始終最重要
事實上,即使再多防線,如果電腦使用者不小心,危機依然存在。由於新變種的惡意軟件總有機會突破防線,如果太過相信防毒方案而掉以輕心的話,到頭來出事的也只是苦了自己。HKCERT 顧問梁兆昌就多次強調「人肉防火牆」的重要性,因只要不點擊可疑連結、不執行可疑檔案,就不會中招。
筆者早前訪問新加坡 IT 保安服務供應商 Quann 時,Quann 董事總經理 Foo Siang-tse 就指機構不能單靠 IT 方案本身,資訊保安策略應該包括營運流程和員工培訓。如果業務流程禁止可帶來資訊安全問題的危險行為,而員工也謹慎處理數據,資訊保安問題已能大大減少,IT 方案只是輔助而不是主角。
總結:藥石亂投易出事、催吉避凶有方法
一千多字的文章其實沒有把勒索軟件的真相和對策好好交待,不免俗地打打廣告,如果 Unwire.pro 讀者對勒索軟件感到憂慮,歡迎報名出席下星期 4 月 21 日舉行的「Unwire 勒索軟件研討會」,屆時來自專業保安協會(PISA)和資訊保安方案商的專家,會分享他們對勒索軟件的意見和對策,非常值得參考。
但不管 Unwire.pro 讀者是否出席,也請緊記不要輕信坊間聲言能夠防範和解密的「一勞永逸」方法。保安專家永遠都說「人肉防火牆」是最後防線,如果輕信有方法能防範到而輕率行事,打開危險電郵或文件,之後就未必有專家能幫到你。
切記,勒索軟件有很多種,但不是每款都有破解方法。
作者:Boris Lee
Unwire.pro 資深編輯。在企業 IT 科技報道範疇有十多年經驗。