勒索軟體防護 Ransomware Protection

近年來，勒索軟體攻擊事件層出不窮，已造成全球許多組織與領域的重大損失，組織內做好資安防護、加強宣導資安防護意識並定期備份重要檔案，為預防受駭與降低受駭後損失的不二法門。此外，保持關注資安資訊並善用相關資源亦為加強資安防護的重要方法，故本專區提供勒索軟體的介紹、防護指南、宣導資訊及相關資源，作為強化資安防護參考。

一、什麼是勒索軟體(Ransomware)

勒索軟體(Ransomware)是一種透過破壞受駭者存取權限，並向受駭者要求贖金的惡意程式，目前可分類為「非加密型勒索軟體」與「加密型勒索軟體」。
● 非加密型勒索軟體：將受駭者的資訊設備鎖起來，破壞受駭者對設備的存取權。
● 加密型勒索軟體：加密受駭者硬碟上的檔案，破壞受駭者對資料的存取權，通常要求受駭者以加密貨幣支付贖金，以取回檔案的存取權。
個人、政府機關及企業組織皆可能成為被攻擊的對象，已逐漸成為嚴重的資安威脅之一，當遭受勒索軟體攻擊時，不建議支付贖金，因支付贖金並不能保證取回存取權限，且將助長勒索軟體更加猖獗。

二、攻擊跡象

常見的勒索軟體會連線到C&C伺服器下載加密金鑰，並開始加密電腦中的檔案，然後在電腦上放置支付贖金的說明檔案(Ransom Note)，多於文中威脅受駭者若不支付贖金將無法解密檔案或將公開電腦中的機敏資料，當出現下列跡象出現時，就有可能就是遭到勒索軟體感染：
● 勒索留言通常是.txt檔或是.html檔。
● 發現文件被加密無法開啟。
● 發現各目錄下開始出現奇怪副檔名的檔案，例如：.crypt、.VVV、.CCC、.ZZZ、.AAA、.ABC、.XXX、.TTT等。
● 瀏覽器遭鎖定或瀏覽器工具列發現奇怪的捷徑。
● 畫面遭鎖定。
● 電腦出現藍色當機畫面，在電腦重新開機時顯示勒索訊息。

三、感染勒索軟體的緊急處理

大部分的加密勒索軟體都是經由複雜加密技術將檔案資料加密，幾乎不可能以自行暴力破解方式救回檔案，且勒索軟體會限期支付贖金，否則銷毀金鑰，讓受駭者再也無法解開檔案，若感染勒索軟體，建議採取以下措施：
1. 立即中斷受駭主機網路連線並隔離，避免災情擴大，若發現主機中的檔案正在被惡意程式加密，應立即關機讓被加密的檔案降低到最少，關機時請持續按壓電源鍵強迫電腦進行關機動作，切勿重新開啟主機以免加密程式繼續進行。
2. 可嘗試使用信任來源的解密工具解密，並保存受駭主機以提供分析環境，請求專家協助或報警處理。
3. 系統重灌，讓主機回復成乾淨的原始狀態，重灌前確認受駭當時主機本身的風險與狀態，以避免重灌後因同樣漏洞再感染。

四、勒索軟體感染途徑

為謀取較大利益，駭客通常以政府機關或企業組織作為勒索軟體攻擊目標，惟儘管組織防護做的再滴水不漏，仍可能因內部個體的疏忽遭攻擊成功，致使整個組織皆受駭，造成難以計量的損失，以下列出常見的感染途徑：

● 網站瀏覽
– 瀏覽網站時，倘若使用者電腦存在Java/Flash/Adobe/瀏覽器等軟體漏洞，當輪播到惡意廣告，便可能遭受勒索軟體入侵。
– 點選到網站內的惡意連結(如：廣告、新聞)，便可能遭受勒索軟體入侵。
– 誘騙使用者連到看似真正銀行或政府機關網站的假網站(山寨網站)。

● 電子郵件感染
當使用者點選或開啟電子郵件中的惡意網站或內嵌惡意程式的附件檔案，便可能遭受勒索軟體入侵，曾發生之勒索軟體電子郵件主旨包含：
– 退稅通知。
– 電子帳單/電子發票。
– 假冒電子商務或購物網站訂單出貨通知(例如Amazon.com)。
– Google Chrome 和 Facebook 重大更新和通知訊息。
– iPhone中獎通知。
– 求職信/履歷表。
– 電子訃聞。
– 誘騙使用者連到看似真正銀行或政府機構網站的假網站。
– 輸入驗證碼(CAPTCHA，一種防止機器人的程序)。
– 您的帳戶欠款已過期。

● 非法軟體感染
網路上非法軟體或小工具可能含有惡意程式，若使用者下載安裝這類非法軟體或小工具，惡意程式可能在安裝過程中讓使用者授權以存取機密資料或加密資料。

● 被已遭受勒索軟體攻擊的電腦或裝置感染
勒索軟體可能透過已遭受攻擊的電腦或裝置掃描使用者電腦所連結的磁碟機，包括本機的硬碟、連結電腦的USB磁碟、網路芳鄰磁碟機、雲端硬碟及檔案伺服器的檔案，只要能被循線找到，就都有可能遭受勒索軟體入侵。

五、預防措施

勒索軟體的攻擊方式日新月異，若政府機關與企業組織能提升內部人員的資安防護意識，隨時保持資通系統處於安全防護狀態並定期備份重要資料，能有效預防資通系統受駭或降低受駭將造成的損失，預防方式可從以下幾個層面著手：

● 定期備份檔案
(一) 採用「3-2-1原則」備份重要檔案

(二) 根據需求使用不同儲存媒體備份檔案

(三) 公有雲端備份
利用雲端儲存空間備份檔案，如：Dropbox、iCloud、Google Drive、Microsoft-OneDrive、Box 及 ASUS WebStorage等。

註：若為公務資料備份，原則請依業務規定辦理。

● 修補軟體漏洞
勒索軟體利用漏洞攻擊越來越常見，一般使用者平時應確保作業系統與常用應用程式(如：瀏覽器)維持在最新版本，減少因漏洞導致被入侵的風險。
(一) Windows系統更新：請至控制台\系統及安全性\Windows Update更新至最新。
(二) Jave：驗證JAVA版本 https://www.java.com/zh_TW/download/installed.jsp。
(三) Adobe Reader：Adobe Reader最新版下載處 https://get.adobe.com/tw/reader/。

● 謹慎開啟郵件，小心上網行為
(一) 不隨意打開來源不明的信件或點選信中的連結與附件。
(二) 不下載非法軟體或不明程式。
(三) 不要啟用Office文件的巨集，可考慮安裝Office Viewer，因為它不支援巨集功能。
(四) 上網瀏覽時提高警覺，並使用較高安全性瀏覽器。
(五) 即時掌握已/預計停止支援更新的作業系統資訊，並盡速更換成更高版本或較高安全性的作業系統。

● 安裝防毒軟體，隔離已知病毒
安裝防毒軟體是相當基本的防護策略，可增強端點資安防護，免於病毒及其他安全性威脅，更重要的是需時時更新病毒碼，並注意一些進階功能是否啟用，以增強未知病毒的防護能力。

● 行動裝置的防護
(一) 定期為手機內的檔案進行檔案備份
– 在iOS裝置，用戶可以定期連接電腦上的 iTunes來備份檔案。
– 在Android裝置，用戶可以透過USB連線來進行手動備份，或使用手機生產商提供的備份軟體。
(二) 不安裝來歷不明的應用程式
– 使用者應從官方的程式商店下載應用程式，不要安裝其他不明來源的應用程式。
(三) 安裝防毒應用程式
– 使用者可從官方的程式商店下載合適的防毒APP。
(四) 不要破壞手機的安全性
– 手機Root權限一般是不開放，使用者若為了取得手機Root權限而破解裝置系統，將破壞手機安全性並帶來風險。

政府推動「資安即國安」的國家戰略，將國家資通安全視為國安的重要環節，資通安全的理念推廣仰賴各界宣導，以提升全民資安意識。本院定期舉辦資安系列競賽，主題式徵選相關資安金句、海報、漫畫、動畫及微電影，藉由全民集思廣益創作出琅琅上口的資安金句、淺顯易懂的資安宣導圖及貼近日常生活的資安故事影片，用以推廣並提升全民對資通安全的重視。本頁呈現資安系列競賽「勒索軟體」主題的得獎作品，更多資安競賽得獎作品可至資安系列競賽網站取得，推廣資料歡迎複製及轉載(點此取得轉載方式與規範)。