Sophos提出協助企業防範加密勒索軟體的實務建議報告

由達友科技代理的 Sophos 資安大廠，新出爐一份文章，針對目前日益猖獗的加密勒索軟體，例如 Cryptowall, TeslaCrypt 以及 Locky...等，提供防範的實務建議。完整的建議報告請按此下載

 

目前的加密勒索軟體，其感染的過程與情境，大多是如下的流程:

1. 使用者收到釣魚的電子郵件，透過偽造的寄件人與社交工程情蒐的內容，讓收件者更容易相信，並引誘點開其中的附件或超連結。

2. 這些釣魚郵件透過一系列的技術，來規避既有的 SPAM 垃圾過濾、Anti-Virus防毒、IPS 等防護機制檢查。

3. 郵件的附件可能是 MS WORD 或 EXCEL 含有惡意巨集或軟體漏洞的利用(如Exploit Kit)。因此使用者開啟後，惡意程式會驅動，並連線到預藏的網址去下載更多的惡意程式下來並驅動執行。

4. 惡意程式會嘗試連到 C&C 中繼站，回傳該受害者的相關系統訊息，並依此產生獨一無二的加密用公開金鑰(Public Key)，並下載使用。

5. 掃描本地硬碟中或網路芳鄰的各種文件檔案，並用取得的 Public Key 加密取代。

6. 刪除作業系統內建的自動備份(Shadow Copy)，以避免讓使用者可以自行恢復文件的機會。

7. 在使用者電腦桌面中，顯示勒索警告訊息，並提示贖金交付方法。為躲避追查，一般是指示以彼特幣(BitCoin) 來交付。金額落於新台幣 7000~17000 不等(美金 200~500)。並且限時72小時之內繳付贖金，否則就永久無法解密。

 

文件中也說明了，為何這類的攻擊會如此成功?

1. 採用了一系列複雜與先進的技術

2. 公司的資安與防護意識之不足，包含

  ● 沒有資料或不足夠的備份(無法即時備份，備份沒有離線..)

  ● 作業系統或應用程式沒有定期修補、更新

  ● 使用者具有過高的本地管理者權限，甚至在網路芳鄰中具備有過高的權限，可以存取大部分目錄與文件

  ● 缺乏資安意識，這些可疑的文件與連結也都輕易點開

  ● 必要資安防護系統沒有佈署，或者沒有適當的設定

  ● 便宜行事(明知一些作法不安全，但這樣做比較省事)

文中並提及如何透過 Sophos 一系列的產品進行縱深防禦，並對各產品提供建議的安全設定。包含 Sophos Endpoint Protection, Sophos Email Appliance (Email Gateway), Sophos UTM (含 Web Gateway, 防火牆, IPS) 等。