面對(加密)勒索軟體,什麼是該做? 什麼是不該做?
Date:2016-03-19
勒索程式的危害? 已被勒索軟體加密? 我可以拿回檔案嗎? 可以打開加密檔嗎? 如何防範勒索軟體? 勒索程式的簡短歷史 簡介
 
我的資料和檔案被勒索軟體加密,該怎麼辦?
  • 重點:不要屈服,不要付款!付款等於鼓勵,即使你付款,你可保證你能完整地重新取得原先的檔案嗎?切記這些不法之徒是在要脅你。如果大家還記得電影《贖金風暴》裡,兒子被綁架,爸爸不屈服,寧願把贖金當成懸賞獎金不付款,最後才能把匪徒繩之以法。
  • 立即切斷受駭PC的網路,避免災情擴大。加密勒索程式不只攻擊受害電腦內的重要文件和檔案,也會搜尋受害電腦連結的網路芳鄰、網路磁碟機、檔案伺服器等,攻擊公司內網所有共享的文件。
  • 更新防毒軟體,清查區域網路內的其他電腦,並採取自保措施。
  • 搶救還沒被加密的檔案。不要再利用該台電腦開機,可將該硬碟卸載後外掛於其它非重要電腦進行搶救檔案及病毒掃描等修復作業。
  • 若有備份,開始復原檔案。
  • 謹慎評估受害災情,決定是否付贖金取得解密金鑰。不太建議,因為沒有資料顯示支付贖金一定能取回解密密鑰並成功回復檔案。另外,有可能因為加密勒索程式的指令及控制伺服器(C&C Server)已遭到破獲,即使支付贖金,也未能取回解密密鑰。(由於目前加密勒索病毒已經發展為集團式的精密的分工分潤體系;每個攻擊活動的payload (酬載)都會帶有所謂的活動號碼(Campaign ID)及攻擊對象的參數;後端的金流系統會依據活動號碼自動分潤給在這個活動有參與的人員(如開發惡意攻擊程式的;遞送惡意程式的...),所以只要您付了贖金;該犯罪集團就知道您付得起贖金;接下來您就會有層出不窮的機會被攻擊;進而轉換為目標式攻擊;這也就是為何專家不建議受災戶支付贖金的主因之一。)。
  • 從好的備份回復任何受影響的檔案,這是最快而安全的方法
  • 如果系統沒有備份,我們建議用戶暫時不要重裝系統,以免加密檔案記錄資料遺失,導致後續的修復變得更困難。
  • 若使用雲端備份,請確認雲端服務提供版本紀錄 (version history) 功能。即使受影響的檔案已同步到雲端,這功能可以回復檔案到之前版本。
  • 平常及事發後可經由查看企業版的端點防護系統的中央主控台(如SEP 的SEPM)、郵件安全閘道(如SMG)以及網頁安全閘道(如SWG)的日誌,有助益於及早發現異常的安全狀態,對於預防及事後修復與安全政策改善有很大的幫助。