面對加密勒索軟體，你該知道的防護策略大揭露

面對加密勒索軟體的威脅，不論企業、個人都很頭疼，一不小心中招，就有可能讓公司重要文件、交易紀錄、專案資料，甚至是朋友與家人的珍貴照片、影片都救不回來。

如何能保障資料而不受加密勒索軟體危害，是許多使用者都很關心的事，以下提供的五點防護原則，應該是多數人都能做到的防治之道，尤其是檔案備份的工作是否確實，更是IT管理者應盡的責任。

至少做到5種基本防護原則

當我們了解加密勒索軟體危害的嚴峻情勢後，為了使企業與使用者能有更清楚的防護策略去因應，整理了像是安全備份、人員資安教育，以及軟體更新、安全防護與存取管控等，可說是最簡單、又能夠讓使用者有所準備的大方向。

 防護原則1  重視資料備份

為了讓加密勒索軟體危害風險降到最低，最基本且重要的第一件事，應該就是要確保，當公司重要資料被勒索軟體加密時，企業還能透過還原備份資料得方式，救回被加密的檔案，這是一個最簡單又實際的作法。

不過備份方式需要特別注意，如何安全備份是重點，不論是日備份、週備份與月備份，還要做好離線備份與異地備份，減少被勒索軟體加密重要文件時的損失。

為了讓備份更集中，也有小公司是採要求員工將重要資料都存至檔案伺服器上，簡化備份工作的進行。

 防護原則2  作業系統或應用程式定期修補、更新

勒索軟體運用漏洞攻擊越來越常見，儘管漏洞修補需要時間，但一般使用者能做到的就是，確保常用的作業系統、Adobe Flash、瀏覽器等重要軟體更新，時時維持在最新版本，減少因漏洞而導致遇害的機會。

因此，企業IT管理者應積極應對的是，是否能讓所有電腦都能在最短的時間套用最新修正程式。

 防護原則3  強化資安意識，可疑文件與連結不能點

提醒員工加強資安意識已經是老生常談了，但許多案例關鍵都在人為，至少做到兩點，提醒員工勿點擊任何可疑連結，或不下載任何不明程式。讓公司內同仁在接收電子郵件或上網瀏覽時，都能提高警覺，並確保他們了解勒索病毒帶來的威脅。

同時，建立明確的應變措施也很重要，畢竟在遇到突發狀況時，員工要能知道如何在第一時間通報管理者。

 防護原則4  安裝相關防毒軟體並注意保持更新

為了增強端點資安防護，安裝防毒軟體是相當基本的防護策略，以免於病毒及其他安全性威脅。更重要的是，病毒碼需時時更新，並注意一些進階功能是否啟用，增強未知病毒的防護能力。

特別值得一提的是，在上個月底iThome舉辦的資訊安全論壇中，面對加密勒索軟體危害，我們也看到不少資安廠商像是趨勢、ESET、FireEye、Forcepoint、Intel Security等，在基本的端點防護之外，也都提及從郵件閘道阻擋惡意信件，以及網路閘道阻擋惡意連結的作法，強化企業內部對於勒索軟體的入侵防護。當然，如要有能力做好更廣泛的整體資安防護，面向又不僅僅如此。

 防護原則5  重新檢視公司內部的使用存取權限

對於資料夾與檔案的存取控制，一些中小企業管理者可能沒有做好較嚴格的限制。不論是檔案、資料夾或網路分享等，若一些使用者只有讀取資料的需求，其實管理者就能限制使用者的寫入權限，減少檔案被加密的機會。

當然，管理者權限的設定與使用，也是特別要注意的一點，畢竟許多程序還是需要管理員權限才能夠實際運行。

另一方面，我們也蒐集了更多資安專家、國際組織與資安廠商提供的最新建議作法，供企業用戶參考。

增強企業防禦，資安專家提供4招撇步對抗勒索軟體

身為臺灣HITCON駭客年會顧問的邱銘彰，網路暱稱Birdman（目前也是臺灣威瑞特技術長），在6月底iThome舉辦的資訊安全論壇主題演講中，針對加密勒索軟體的危害，也提供了4點建議供中小企業參考。

其中前兩項建議相當務實，一般小企業應該都不難做到，像是現在NAS的價格也不會很貴，買臺NAS做好備份工作是最簡單的作法，且NAS的好處像是，能把最近檔案10次異動都備份下來，而一些廠商提供的NAS產品，最高還能達上萬次歷史版本存取。

第二點是可以針對郵件附件加以過濾，阻擋一些有風險、又不是工作常用的副檔名，像是js、jar、bat、exe、cpl、scr、com、pif、vbs等，以減少員工資安意識不足帶來的危害，畢竟沒有人會每天寄送執行檔給你。

還有兩項他認為也能幫上忙的免費工具，分別是微軟Applocker與Enhanced Mitigation Experience Toolkit (EMET)，但比較需要一些設定技巧。

簡單來說，前者是Windows 7開始提供的應用程式管理工具，可建立軟體限制原則，防止未經授權的軟體使用行為，避免惡意軟體對系統造成危害，這對於Server類設備很有用，因為管理政策較簡單，對於一般員工電腦則比較困難，除非公司有很清楚的政策只能執行哪些程式；後者能允許使用者將一些常用的Windows程式，加入至受EMET保護的清單中，協助預防軟體中的弱點被利用。

臺灣HITCON駭客年會顧問邱銘彰，在今年6月iThome資安論壇中提供了4項增強勒索軟體防禦的作法。像是最簡單的買臺NAS備份、檔掉郵件裡的副檔名，另外還介紹兩款免費工具，微軟Windows Applocker與EMET。

美國FBI教你如何進一步防範勒索軟體的要訣

面對勒索軟體安全事件的增加，連美國FBI也看不下去，他們在2016年4月底發布的官方部落格文章中，便列出一些企業可以落實的防護工作。

預防工作

●      資安意識：確保員工了解勒索軟體帶來的威脅，並要員工懂得保護企業內的資料

●      注意軟體系統更新：注意作業系統、軟體、韌體等漏洞修補（可透過集中式的修補管理系統讓管理更加容易）

●      端點防護更新與掃描：確保防病毒和反惡意軟體解決方案都設定為自動更新，並進行定期掃描。

●      特權帳戶管理：除非必要，應該只有管理者帳戶具有最高的管理者權限

●      內部存取控制：像是文件、目錄，以及適當網路共享權限，若是用戶只有讀取資料的需求，可以限制他們的寫入權限

●      禁用Office巨集：不要啟用Office文件的巨集，特別是在收到的郵件中

●      其他：實行軟體限制策略或其他控制方案，防護勒索軟體常見的執行位置（像是暫存資料夾會支援瀏覽器、加解密程式）

持續防護工作

●      定期備份資料：並核實這些備份的完整性

●      安全備份：確保這些備份沒有連接到電腦或網路

美國聯邦調查局FBI在今年4月29日的官方部落格中，也因為勒索軟體安全事件的增加，提供一些個人與企業可以保護自己的作法與建議，這也顯示當前勒索軟體危害的嚴重性。

資安廠商也提供最新參考與建議，讓企業用戶更有概念的細部作法

近年不斷提醒用戶防範勒索軟體危害的國內資安大廠趨勢科技，也提供了一份簡單明瞭的因應對策，供使用者參考，並區分事前、事中與事後的面向，讓用戶能快速了解各階段的作法。

像是在事前預防的作法中，定期更新軟體、只打開信任的郵件、安裝安全防護軟體，以及定期備份檔案，都是不難做到的。

一旦不幸遭遇到加密勒索軟體，斷網關機就是最即時的處置作為，另外要做的就是清查受損範圍與資料復原的工作。當然，事後宣導也不可少，像是事件分析、人員教育、權限管控與強化防護，都是為了避免再度淪陷受害。

而在個人如何預防勒索軟體的作法上，趨勢也特別建議使用者，一定要定期備份重要的檔案，作法上最好能至少3份備份、2種儲存媒體，與1個不同的安全存放地點；同時也要定期更新修補作業系統與應用程式的漏洞，像是IE、Flash、Adobe、Java與Windows update；最好也不要開放共享資料夾的寫入權限，並且不要多人共用帳號。當然，多宣導並提升人員的資安意識，也要持續進行。

另外，像是Intel Security的McAfee Lab，在今年3月提供關於勒索軟體的報告中，以及資安公司Sophos在2016年5月提供的報告中，都有一些防護概念與作法可供參考。

在軟體更新修補、安全備份等方法之外，其中比較值得注意的是，像是提到使用者才是讓勒索軟體進入PC端點的主因，並建議最好不要開啟從電子郵件收到的巨集文件，或可考慮安裝Office Viewer，因為它不支援巨集功能。

還有像是也能預設以NotePad開啟.JS檔案，預防JavaScript夾帶惡意程式，並設定顯示文件副檔名，避免檔案偽裝而誤開啟。

另外，共享文件的限制與管控也不能輕忽，在其他管控策略上，像是可採應用程式控制的方式，只允許白名單中的項目執行，並且對未知程序限制權限，或是可建立軟體安裝的存取控制規則，透過規則限制文件修改需要批准過程。

如果可以的話，對於可疑程式的執行，最好使用沙箱技術防護，並要隨時注意新的安全功能，並增加到商用軟體系統之中。

前面也提到過，在端點防護之外，由於加密勒索軟體的兩大攻擊主要途徑，分別是網際網路與電子郵件，現在已經不少廠商都有提到透過郵件閘道、網路閘道，搭配端點防護產品，以建構多層的防護力道。

若從其他角度來看，已經被正常加密程序所保護的檔案，不會再受到勒索軟體惡意加密，像是使用Windows內建的BitLocker，以及以虛擬加密磁區防護的檔案加密系統等，雖然這不是這類系統的主要功能，但目前也算是有效，除非加密勒索軟體更進化。

而網路上也有不少小技巧，可能也是一般使用者想知道的。像是有網友表示，他們所遇到的勒索軟體，並不會加密位於隱藏資料夾中的檔案，因此將共享資料夾設為隱藏，只是，這種方法的有效性仍待進一步確認。

【相關報導請參考「2016勒索軟體教戰守則」專題】