中小企做好備份 對抗勒索軟件
1 :
GS(14)@2016-07-08 08:07:33【明報專訊】由今年3月起,被「勒索軟件」感染的個案大幅上升,不少本地中小企和學校中招,重要資料被加密,造成經濟損失。IT專家和警方不約而同稱,向黑客支付贖金絕對不可取;應付勒索軟件的最佳方法其實是做好資料備份,令黑客無從勒索。
明報記者 薛偉傑
香港電腦保安事故協調中心(HKCERT)高級顧問梁兆昌表示,去年上半年,該中心在本地只接到36宗「勒索軟件」(Ransomware)事件。但今年上半年,該中心已接獲215宗「勒索軟件」事件,按年增幅達4.97倍。其中,3至5月分別有53宗、55宗及62宗之多。6月份即使回落,亦有32宗。這些勒索軟件事件當中,絕大部分都是感染個案,有少數則是一些網站被黑客放入勒索軟件,利用它們來散播。
美國去年相關損失1.4億,暫時來說,本港還未有勒索軟件造成的具體經濟損失數字。一來是因為資料價值很難量化,二來是很多感染勒索軟件的公司亦未能提供有關數據。而美國聯邦調查局(FBI)曾表示,美國去年因勒索軟件造成大約1800萬美元(約1.4億港元)經濟損失。
據悉,一般沒有預設攻擊目標的勒索軟件個案,黑客大多要求對方支付0.5個至4個Bitcoin的「贖金」。以每個Bitcoin現時約值400美元(約3120港元)計算,這大約相當於200至1600美元(約1560至12,480港元)。但若是預設目標的勒索軟件個案(即黑客是故意選定該機構來襲擊,而非隨機散播),他們的叫價會較高,贖金以萬美元計。
香港警務處網絡安全及科技罪案調查科網絡安全組協作隊3警長鍾偉倫表示,勒索軟件可以加密的檔案格式達百多二百種,連部分冷門格式也能加密。可說根本沒有什麼資料檔案能倖免。其次,若企業有任何檔案不幸被勒索軟件加密,原則上可說是無法自行解密復原。
支付贖金 或引來更多攻擊
軟件分銷商Lapcom Ltd總經理郭偉僑解釋,因為一般勒索軟件也採用1024位元或2048位元的加密技術,個別勒索軟件甚至用到4096位元的加密技術。若要靠電腦運算解密,即使用上超級電腦,也需要非常長時間,實際上並不可行。
梁兆昌和鍾偉倫強調,被襲企業絕對不應向黑客支付「贖金」,換取黑客提供解密密碼匙,因為這只會招來更多勒索事件。
鍾偉倫表示,外國有一些報告顯示,若被襲企業向黑客支付贖金,即使後者真的守信用提供解密的密碼匙,在短時間內,該企業亦會再受到其他黑客以勒索軟件襲擊。這是因為,黑客之間會互通消息,當他們得知某家企業會向勒索要求屈服、願意支付贖金時,就會輪流去施襲。
按「3-2-1」方法做好備份
梁兆昌和鍾偉倫都強調,應付勒索軟件威脅的最佳方法,是在平日做好資料備份,而非支付贖金。鍾偉倫表示,備份資料有所謂3-2-1最佳方案。即每份資料檔案至少應該有3個版本(copy),涉及2種不同儲存媒體。其中1個版本還要是離線(offline)的,即是其儲存媒體並非經常連接上網電腦。這樣企業即使有個別電腦受勒索軟件感染,其資料檔案被加密,也不怕失去資料。
郭偉僑表示,勒索軟件其中一個特點是,其變種極快極多。一個勒索軟件隨時可以在一日內出現30個或以上變種,變種速度往往快過防毒軟件商更新軟件速度。因此,若防毒軟件只以比對程式碼的傳統方式偵測勒索軟件,會有相當大的機會攔截不到勒索軟件。他們建議,應選用會同時透過偵測可疑行為來攔截勒索軟件的防毒軟件。此外,可參考IT市場研究公司(如Gartner等)對於防毒軟件或資訊保安軟件開發商的評級。他們認為,選擇第一線(Tier 1)公司產品比較穩陣。
應停用Office巨集功能
經常更新防毒軟件和作業系統亦是老生常談。鍾偉倫建議,企業最好有一套中央控制方法,能夠自動更新局域網(LAN)內所有防毒軟件和作業系統。此外,更要避免下載可疑的電郵附件。據悉,有些受到勒索軟件襲擊的本地中小企業,就是因為員工下載了一些「白撞」的電郵的附件而被襲。
這些附件很多是以微軟Office檔案形式出現,當開啟後,往往只顯示一堆亂碼;卻有指示用戶若看到亂碼,只要開啟微軟Office的巨集(Macro)功能即可。其實用戶只要開啟巨集功能,勒索軟件即會開始運作,以大約每2秒加密一個檔案的速度,將受襲電腦以及同一局域網內的電腦資料檔案加密,甚至連接着電腦的外置儲存設備(如外置硬碟機、USB記憶體等)內的資料檔案,也會被加密。即使電腦硬碟內原先儲有Shadow Copy和Restore Point(復原點),也會被勒索軟件刪除。因此企業需要有離線的資料備份。梁兆昌表示,其實很少企業需要用到微軟Office的巨集功能,為穩陣計,應該索性停用該功能。
瀏覽器plug-in須及時更新
他還指出,應該避免在瀏覽器上安裝太多plug-in,尤其是不肯定它們的來歷時。因為這亦會增加保安漏洞,令被襲擊風險上升。例如,有些視頻網站等會要求用戶安裝一個plug-in,聲言可令視頻播放得更流暢,但其實並無需要。至於有需要使用的瀏覽器plug-in,則要留意軟件開發商有沒有更新。據悉,有些勒索軟件就是利用舊版plug-in的漏洞,令plug-in將它當成Flash檔案或pdf檔案等來執行。所以,若企業未能及時安裝這些plug-in的更新程式或修補程式,亦可能增加被襲擊的機會。
[企業創富]
來源:
http://www.mpfinance.com/fin/dai ... 0777&issue=20160708