技術支援
Ransomware 勒索病毒防護建議
 
勒索病毒簡介 
勒索病毒是一種特殊的惡意軟體,受害者會失去對自己系統或資料的控制權(例如無法使用作業系統或是檔案被加密),如果不付錢就無法取回控制權。目前流行的種類為加密型勒索病毒:將電腦裡的檔案加密,並且要求支付贖金。 

 

感染勒索病毒後果 
目前最流行的勒索病毒種類為加密型勒索病毒:將電腦裡的檔案加密後要求支付贖金。若駭客所使用的加密演算法夠完善的話,遭到加密的檔案幾乎沒有辦法解密。 
近來的一種勒索病毒還會限制付款時間,隨著螢幕上的紅色倒數計時,時間過越久就刪除越多檔案,贖金金額也會跟著提高,增加受害的的心理負擔。(詳情可參考:奪魂鋸勒索軟體JIGSAW

 
 

透過IM系列產品防護勒贖軟體:


若您目前使用IMSx系列產品可參考下列建議設定,透過IMSx系列產品防護功能避免收到這類郵件而感染勒索軟體:

1. 先確認是否已安裝下列對應的hotfix版號以上,如有需要安裝,請聯繫趨勢科技技術支援部門:

IMSS 7.1 Linux, hotfix 17200或更新版
IMSS 7.1 Windows, hotfix 1563或更新版
IMSS 7.5 Windows, hotfix 1310或更新版
IMSVA 8.2, hotfix 17550或更新版
IMSVA 8.5, hotfix 1618或更新版
IMSVA 9.0, hotfix 1500或更新版

2. 於IMSx的SPAM功能中開啟WRS功能,(New-Born URLs Handling Function是透過WRS的功能來檢查)此時(預設)即已經啟用 New-Born URLs Handling Function,不需要做額外設定。由於預設就已經啟用此功能,若使用者不想使用此功能,需自行修改設定檔來停用此功能:

在"/opt/trend/imss/config"資料夾中打開 "imss.ini" 檔案
在"general"新增下列設定項目,並且將值設為"no":
[general]
                use_new_born_for_spam  = no
               註:預設值為"yes",代表啟動此功能。
儲存後關閉檔案。
輸入下列指令重啟服務即可:
/opt/trend/imss/script/S99IMSS restart
 
3. 透過IMSx功能阻擋可執行檔下載避免感染勒贖軟體:

設定方式在『Policy > Policy List > 點選Add /others > True file types,勾選Executable後,點選Save,即可將可執行檔類型檔案進行封鎖。



4. 透過IMSx功能阻擋附檔名為JS系列的檔案:

設定方式在『Policy > Policy List > 點選Add /others > Name or extension,勾選“CLA/CLASS/JS or JSE/VBS/VBE/WSH”後,點選Save,即可封鎖此類副檔名的檔案。







 

中了勒索病毒怎麼辦? 
在發現異狀的當下:
  • 立即切斷網路,避免將網路磁碟機或共享目錄上的檔案加密。
  • 立即關閉電腦電源:關閉電腦電源的目的是不讓勒索病毒繼續加密電腦中的檔案,關機時間愈快被加密的檔案愈少,建議強制關閉電腦電源
  • 保留電腦,通報資訊人員;
  • 不要付錢。

資訊人員的緊急處理措施:

  • 暫時停用帳號,暫時停止該帳號的網路存取權限
  • 檢查該帳號權限可寫入的共享資料夾是否遭受感染
  • 取出硬碟,透過另一台電腦備份尚未加密的檔案
  • 找出勒索軟體侵入管道
  • 利用趨勢科技採樣工具掃瞄,並後送趨勢科技進行分析。

 

如果時機已晚,勒索病毒已完全感染電腦並將檔案加密,可嘗試趨勢科技勒索病毒檔案解密工具。在此提醒您,此工具仍在持續改善中,並無法保證能將檔案解密救回。
面對勒索病毒的防範之道 
面對如此恐怖的勒索病毒,趨勢科技建議採取三不三要:
  • 不上鉤:收到標題吸引人的郵件,務必停看聽
  • 不打開:不隨便打開Email附件檔案
  • 不點擊:不隨意點擊Email中的網址
  • 要備份:依據3-2-1原則妥善備份重要資料—在兩種不同媒介上建立三個備份,其中一個備份要放在不同地方
  • 要確認:打開Email前要確認寄件者身份
  • 要更新:作業程式、軟體、病毒碼要隨時保持更新狀態,當軟體廠商(例如Flash/SilverLight/IE)公布修補程式請盡快更新。 
最後,趨勢科技建議您安裝針對勒索病毒加強防護的資安軟體並時時保持更新。


 

透過以下社群網站聯絡我們