創新科技 政策與基建 資訊保安(Information Security)

學校可以如何對付加密勒索軟件(Ransomware)?

綜合而言,最有效的應對方法還是這三個:警覺、備份和更新。

近日多間學校受加密勒索軟件(Ransomware)入侵,除了個人電腦中的檔案被惡意程式加密,惡徒更可以順藤摸瓜潛入共用伺服器,加密封鎖整所學校的檔案。資訊科技教育領袖協會(AiTLE)有見及此,近日連同香港電腦保安事故協調中心(HKCERT)、環速集團(Speedy Group,學校技術支援服務供應商)、微軟(Microsoft)、通域存網有限公司(UDomain)、香港資訊科技商會(HKITF)等多個團體舉行有關講座,分享預防和對付Ransomware的方法。綜合而言,最有效的應對方法還是這三個:警覺、備份和更新

什麼是Ransomware?

Ransomware主要透過釣魚電郵感染電腦,將用戶電腦的檔案及內聯網檔案加密,並要求用戶支付贖金來換取解密密鑰。釣魚電郵會載有壓縮檔案附件 (zip 檔案)-甚至一般文檔(doc檔案),內裡包含一個偽造 PDF 文件的執行檔、Java Script檔案或.exe執行檔。當用戶打開這個執行檔案,電腦便會受到感染。加密後,惡意程式會把加密密鑰回傳到指令及控制伺服器 (C2 server),並在受感染的電腦留下勒索訊息,要求用戶支付指定金額的比等幣 (BitCoin),以換取解密密鑰,否則唯一的解密密鑰將被刪除。(資料來源:HKCERT

能造成什麼禍害?

    1. 金錢:

      非正式調查發現有29%的人認為只要低於美金$400就會願意付錢;高於$800也有3%人願意繳交。保安公司的調查也發現有3%人願意付錢。

    2. 時間:備份和洗機也需要花費技術人員的時間和人手,有公司訪問了300個IT從業員,發現有72%需要兩日或以上的時間修復系統
blackmail_eng

不幸被Locky襲擊後,你會收到一則訊息,要求你繳付2枚Bitcoin購買解密密碼(圖片由UDomain提供)

blackmail_eng

Locky設有簡體中文(及其他多種語言)介面,十分「體貼」大中華客戶的需要。(圖片由UDomain提供)

 

Screen Shot 2016-03-30 at 15.47.46

2枚Bitcoin的市價接近$ 6500港元,足夠你買兩台新電腦,況且惡徒不一定「一手交錢一手交貨」,因此千萬不要助長惡徒犯案。

Ransomware與一般惡意程式的不同之處

相比一般電腦病毒,Ransomware對用家的技術要求不高。惡徒即使不是駭客,不懂寫程式,也可以像購買服務一樣「買」到勒索軟件。供應商已經預備好勒索軟件,只待惡徒成功後再以收取服務費的方式拆帳-例如每成功勒索一個人,便收取20%服務費,過程職責分明,已成為一盤「生意」。2015年發現一隻名為Tox的勒索軟件,用家不需要認識任何電腦專門知識,它就可以代你編寫、修復整個程式,界面十分容易使用。HKCERT指,更新版本的勒索軟件設有不同選項,用家甚至不需懂得使用電腦。

傳播途徑

  • 電郵附件
  • 瀏覽網頁:因為有些網站保安做得不夠好,被人入侵後被加入了惡意程式碼,最終可導致其他用戶只瀏覽網站,便會受感染
    • 包括常用CMS系統如Wordpress,甚至學校網站
  • 網頁上的廣告欄位:可能是1/20的橫額廣告,點擊後才會觸發程式運行
  • 手機: 按下不明連結或下載非官方軟件
email

“Bill”、”Invoice”等都是Ransomware用作掩人耳目的常用字眼,因為很多人想也不想便會下載附件,查看帳單。(圖片由UDomain提供)

為什麼學校容易受害?

  1. 高明的偽裝技術

    正所謂「騙徒手法層出不窮」,Ransomware進化至今日,偽裝手法已經變得十分高明。UDomain的代表范健文以Locky為例,指它的電郵主旨(Subject)和內容可能包含”Invoice”一字,令會計或行政人員降低警覺。因為不論在商界還是教育界,”Invoice”也是極其常見的。Ransomware會花上一點時間「研究」你的電郵收件匣,再模仿為文具零售商、你的上司或老闆傳送名為”Invoice”的附件給你。一下載附件,便無力挽回~

  2. 大量連線電腦

    Microsoft的代表劉耀麒又解釋,假設事發地點為電腦房,惡徒入侵一部電腦後,可以得到登入用的用戶名稱及密碼(Username/Password),然後可以不停嘗試,直至找出你的「管理員」(Admin)密碼或連上後台伺服器。病毒可以不停遊走,只要有一名用戶為個人電腦和共用資料夾設定同樣的用戶名稱及密碼,也會助病毒找到封鎖全校檔案的路徑。

    此外,職員設定「共用權限」(Share Permission)的時候可能貪圖方便,直接設定為 “Everyone Full Control “,令病毒蔓延得更快。

學校已經安裝防毒軟件/防火牆,可以抵擋到Ransomware嗎?

防毒軟件並非萬全之策!因為:

  1. Zero-day Attack

    Microsoft合約服務商Adeccoh的分析師江榮林指,若技術人員仔細查看病毒的發佈日期和製作日期,大概可以發現不少也是同一天出產和應用的軟件;有案例甚至連擔任惡意程式控制中心的域名(Domain)都是同一日創建,即惡徒在同一天內完成所有工序。由於病毒的識別碼(Signature)更新得太快,防毒防毒軟件過濾不了同一天出現,並進行攻擊的軟件,所以未能攔截。在最新3/14的樣本中,有數種Ransomware也未能掃描得到。

  2. 非針對網絡伺服器的防毒軟件

    網絡防毒、電郵伺服器防毒不同電腦防毒,學校現有的防火牆未必足夠。

可以如何防備?

警覺
  • 只在信任的網站下載檔案,尤其留意.exe的檔案
  • 用戶密碼要設定為更強的等級
  • 用Group Policy 阻止 .exe 在暫存檔案(Temp. folder)上執行
  • DNS 上的Forward DNS Lookup 使用 OpenDNS,它可以讀取和識別到全世界有問題的域名
  • 準備 Multi-layer Defence.
  • 使用有防毒和防垃扱電郵功能的電郵供應商
  • 在學校的聯絡資料頁面留下IT部門的直線電郵或技術人員聯絡方法,讓救援機構(如HKCERT)不需先透過其他部門(如校務處)聯邦技術人員,延誤回覆時間
  • 學校行政:
    有校長馬上已知會教職員提高警覺性,學校政策列明內部電郵不可直接傳送附件/連結,只傳送純文字的內容;有需要的話,傳送檔案在共用資料夾中的位置,讓同事自行查看,此舉可先排除Ransomware扮作學校教職員傳送含病毒的電郵。
  • 防毒不只是TSS的工作,而是所有教職員也需留意的事項,保持警惕!
備份
  • 做好離線備份,不過留意接駁中的外置硬碟、同步處理的OneDrive一樣會受感染
  • 備份時,固定在相同的位置,不要太分散,因為學校TSS人員可能頻繁替換,需方便下位上任者交接(備份原則:參考UNWIRE.PRO相關文章
 更新
  • 定期更新操作系統、CMS和軟件,以防造成漏洞
  • 防火牆也要更新,需具備針對Web Server的防火牆
  • Microsoft建議Window用家盡快更新至Window 10,不要再用XP和Window 7。以XP為例,它仍然使用Web 1.0,但現在的科技已發展至2.0、3.0;Window 7也已經是十年前發明的系統。瀏覽器IE也要更新至版本11,因為病毒一定推陳出新,用家的科技也不可落後
  • Mac用家也要經常更新:最近發現針對Mac的Ransomware是透過BT程式Transmission傳播的,但最新版本已解決威脅
  • Linux系統暫時未有被Ransomware攻擊的案例
  • 緊貼提供Ransomware資訊的網站,時刻更新網站/域名黑名單、Ransomware的最新動向

講座介紹

AiTLE將會再度舉辦有關Ransomware的講座,尚未開放報名,但暫定資訊如下:

日期:2016年4月19日(星期二)

時間:1430-1730

地點:九龍九龍塘「教育局九龍塘教育服務中心」W4

詳情請參考AiTLE網頁

延伸閱讀

HKCERT:Locky Ransomware Encrypts Victim Data

UNWIRE.PRO:勒索軟件 Locky 加速散播 HKCERT 提醒四種惡意電郵標題要小心

UNWIRE.PRO:【專題】每月平均 5 家香港公司中招 專家教你中小企勒索軟件應對策略

封面圖片:資安趨勢部落格