2017年5月19日 星期五

[備份王] WannaCrypt0r 2.0 感染測試 (有影片)


從上週至今, WannaCrypt0r 2.0勒索軟體所帶來的威脅,讓所有人擔心自己的電腦是否會開始出現案例,不像過去常見的勒索病毒,這次的 WannaCrypt0r 透過微軟作業系統MS17-010的漏洞(SMB) 對網際網路上的電腦主機進行主動攻擊,感染了這波勒索軟體真的會讓人「想哭」。

面對勒索軟體,千萬不要心存僥倖,下一波何時會再發生都是未知數,平時做好備份才是最佳的防禦方式!!

沒中過勒索軟體,可能無法體會檔案被加密「想哭」的感覺!!我們做了一個小實驗,用 WannaCrypt0r 的樣本感染給大家看。我們將 30 個檔案先透過「備份王」將電腦檔案備份好,找 WannaCrypt0r 樣本來作實驗,最後再把 30 個檔案檔案還原。

影片連結:https://youtu.be/aGeG0k57Uqw


以下為本次測試截圖畫面說明:

▼ 先將30個檔案進行備份,備份後的檔案會擾亂檔名


▼ 網路上找一支 WannaCrypt0r 病毒樣本進行感染實驗,原檔案的副檔名被加上.WNCRY


▼ WanaCrypt0r 跳出解密資訊視窗,並啟用倒數時間


▼ 右下角測試資料已都被加密(.WNCRY),備份後檔名擾亂則不受影響


▼ 勒索軟體更換了電腦桌布


▼ 還原:將受感染電腦中的備份檔案搬到另外一台乾淨的主機,透過備份還原工具進行還原,完整取回原始檔案


相關文章:
☑ 漫談如何防禦勒索軟體?做好檔案備份才是解決之道 :
http://blog.backupking.net/2017/05/backupking-talking-about-wanacry.html

☑ 別再擔心勒索軟體加密電腦檔案了,來試試免費備份工具 - 備份王 BackupKing 吧!
http://blog.backupking.net/2016/11/backupking-free.html

☑ 如何快速備份電腦中的重要檔案
http://blog.backupking.net/2017/01/blog-post.html

2017年5月16日 星期二

漫談如何防禦勒索軟體?做好檔案備份才是解決之道



2016是勒索軟體最猖獗的一年,多數使用者與企業的MIS都被多樣性的勒索軟體搞的暈頭轉向。

今年大約從的5/11開始,WannaCrypt0r 2.0開始出現案例,該病毒透過微軟作業系統MS17-010的漏洞(SMB) 對網際網路上的電腦主機進行攻擊,擴散速度相當快。因此,無論是新聞、各大資安通報中心、社群網站、各大部落客都陸續開始提醒民眾要小心防範。



以下我們針對 WanaCry 與勒索軟體來進行一些討論,希望可以提醒大家電腦檔案「備份的重要性」

1. 為何 WanaCry 這麼熱門?各大媒體爭相報導!!
過去有這麼多勒索軟體家族,頂多也只是上幾則新聞而已,為何這次WanaCry的影響力這麼大?

過去常見的勒索軟體大多是透過社交工程、惡意郵件、惡意的網站應用程式,或是使用者下載到惡意程式,進而感染觸發勒索軟體,導致電腦的檔案都被加密。

與往常不同,這次的事件攻擊者透過漏洞掃描工具,直接掃描網際網路上的電腦是否存在MS17-010的漏洞,直接進入電腦感染 WanaCry,意思就是說,我們的電腦若沒有更新,一直開著就有可能感染勒索病毒。

因此,這樣的資安消息需要很快被大家知道,才可以儘快修補與防護,降低勒索軟體擴散的風險以及減少電腦的損失。


2. 請立即執行作業系統軟體更新
網路上已經有很多更新教學,我們就不再論述太多,只要記得微軟已在2017年3月份發佈此重大漏洞的修補程式,所以尚未更新的電腦需儘快進行更新。

MS17-010 修補程式官方詳細資訊:https://technet.microsoft.com/zh-tw/library/security/ms17-010.aspx


3. 除了更新,我還能做什麼?
更新防毒軟體病毒碼:防毒大廠基本上都會有防護勒索軟體的能力,至於各家防毒廠商的偵測能力就比較無法定論,尤其遇到新型態或變種的勒索軟體,也就很難保證即時就可以偵測並攔阻。

新增防火牆規則: WanaCry 勒索軟體是透過 SMBv1 的漏洞進行攻擊,系統預設的通訊埠為445 Port,建議可以將 445 Port 阻擋掉(TCP & UDP)。

關閉SMB服務:這方式可能對一般使用者有些難度,但若您從事MIS工作或是有資訊相關背景,建議可以將電腦的此項服務關閉。


這樣做完就不會遭受勒索軟體威脅了嗎?

綜觀過去常見勒索軟體感染的方式,加上這次 WanaCry 的事件,從資安的角度來看,很多案例都是使用者對於使用網路疏於防範,才會讓攻擊者有機可趁。其中包括開啟了來路不明的郵件、點擊惡意網站上送大獎的廣告、安裝了來路不明的快樂版軟體、不常更新作業系統軟體、不備份電腦檔案等。

近年來網際網路盛行,上網方式也變的更為廣泛,建議在使用網路時更應該提高,像是我們在路上開車,車越多越要注意安全。不要開啟來路不明的電子郵件附件,不要點擊疑似有問題的連結,不下載執行非官方提供的軟體,最重要的還是要養成檔案備份的習慣。

除了上述的的基本防護觀念之外,其中最重要的應該是平時就要「資料異地備份」,才是最好保護電腦重要資產的方式。我們都知道,一旦感染了勒索病毒,病毒會加密我們電腦中所有磁碟機的檔案,包括外接硬碟、網路磁碟機都會受影響。

以下連結中的影片是備份王測試一支勒索軟體的感染過程

詳細說明:http://blog.backupking.net/2016/08/BackupKing-2.html


部分使用者說:「我有透過雲端備了一份,重要的資料可以再拉回來!」,我們在之前的文章有提過,雲端軟體做的只是同步,勒索軟體異動了電腦的檔案,也會將加密的檔案同步到雲端 (除非雲端同步軟體上傳前已對加密的檔案進行判斷)。

雲端同步不等於備份,您用對備份方式了嗎?
http://blog.backupking.net/2017/05/sync-to-cloud-and-backup.html



Q:我是個人電腦,我應該怎麼辦?
A:快用免費版備份王,個人檔案本機備份或加密到雲端。

關於備份的重要觀念,您都用什麼方式幫電腦做備份呢?
http://blog.backupking.net/2016/08/howtobackup.html   

別再擔心勒索軟體加密電腦檔案了,來試試免費備份工具-備份王BackupKing 吧!
http://blog.backupking.net/2016/11/backupking-free.html


Q:我們是中小企業,我應該怎麼辦?
A:快買集中式備份工具,員工電腦的重要檔案一起保護!!!

使用備份王建立企業私有備份雲,避免勒索軟體威脅
http://blog.backupking.net/2016/08/private-backup.html

中小企業預備起 正面迎戰勒索軟體
http://blog.backupking.net/2016/10/netadmin-20161020.html

企業員工該如何正面對抗勒索軟體
http://blog.backupking.net/2016/10/netadmin-20161005.html

針對 WannaCry 勒索軟體的10大問題


2017/05/15這天太平靜了,我們一直以為 WanaCry 勒索軟體發作的第一個上班日我們會很忙,但事實證明,我們多想了!只要每日備份,就不怕勒索軟體!

備份王免費試用帳號申請 (至 2017/05/31)
備份王企業版五折優惠中 (至 2017/06/30)

1. 如何預防 WanaCry 勒索軟體?
1. 不開機
2. 不上網
3. 備份、備份、備份


2. 是否有防毒軟體可以全面防止 WanaCry 勒索軟體?
現在不會,未來…也不會!!! 遇到未知的變種,防毒軟體第一時間都防禦不了!!!


3. 伺服器放內網,是否比較不容易中 WanaCry 勒索軟體?
是的,但是對內和對外流量都要鎖喔,重要檔案還是需要每天用備份王做差異備份。


4.  買硬體或軟體防火牆有用嗎?
沒用、沒用、沒用,勒索軟體變種多,只透過防火牆無法即時防護。


5. 備份到NAS的網路磁碟機可以嗎?
當然沒用,勒索軟體會連同網路磁碟機一併加密。


6. 我用DROPBOX或GOOGLE DRIVE備份可以嗎?
沒用,因為異動加密後的檔案也會一併更新到雲端,你要還原很麻煩!!!

雲端同步不等於備份,您用對備份方式了嗎?

http://blog.backupking.net/2017/05/sync-to-cloud-and-backup.html


7. 有做WINDOWS更新,是否就不會中 WanaCry 勒索軟體嗎?
勒索軟體的下一步,絕對會採用其他方式攻擊,做好備份才是最重要的事情。


8. WanaCry 勒索軟體的下一步攻擊手法有可能是什麼?
其實沒有人知道 WanaCry 勒索軟體的下一步是什麼,還是透過系統漏洞? 筆者並不這麼認為,不太可能故技重施,就像名偵探不可能每次破案的方法都一樣。平時養成做好資料備份的好習慣才是最佳防禦方式!!


9. 我是個人電腦,我應該怎麼辦?
快用免費版備份王,個人檔案本機備份或加密到雲端。

→ 個人備份:http://blog.backupking.net/2016/08/howtobackup.html
→ 如何用:http://blog.backupking.net/2016/11/backupking-free.html


10. 我是中小企業,我應該怎麼辦?
快買集中式備份工具吧,用網路磁碟機的一定無一倖免喔!!!

→ 企業私有雲備份:http://blog.backupking.net/2016/08/private-backup.html

→ 中小企業預備起 正面迎戰勒索軟體:http://blog.backupking.net/2016/10/netadmin-20161020.html

→ 企業員工該如何正面對抗勒索軟體:http://blog.backupking.net/2016/10/netadmin-20161005.html

→ 為何備份王可以100分防制勒索軟體? http://blog.backupking.net/2016/09/100_12.html

雲端同步不等於備份,您用對備份方式了嗎?


隨著網際網路的成長,網路環境的頻寬越來越多,上傳下載資料都變得更快速了,各家供應商提供的「雲端檔案儲存服務」也越來越便利,空間也越來越多。許多使用者都會使用雲端同步軟體來同步電腦中的資料,一方面是為了可以在多種裝置間存取檔案,一方也是想說將檔案放一份在雲端空間當做備份。


但「雲端檔案儲存服務」只是把使用者的檔案「同步」到雲端伺服器中儲存,並不是算是真正的「備份」方式。當使用者感染勒索軟體之後,電腦中的所有特定檔案都會被加密,包含雲端檔案服務的資料夾及外接硬碟。

▼ 下圖為感染勒索病毒之測試,雲端檔案儲存服務的資料夾一併都會被勒索軟體加密


1. 直接安全備份到外接硬碟

2. 備份到Dropbox資料夾,再同步到雲端

2017年1月4日 星期三

[備份王] 如何快速備份電腦中的重要檔案


電腦中的許多數位資料通常記錄了我們的數位生活,包括工作文件、論文作業、照片、影片等重要檔案。

電腦硬體什麼時候會壞掉很難說,若不時常監控硬碟狀態,對於一般使用者來說,往往都是等到電腦壞掉,才想能明白檔案備份的重要性。

近半年來,勒索軟體(病毒)更是一般使用者最大的威脅,這類病毒會感染電腦後,會加密電腦中所有磁碟槽的所有檔案,勒索使用者支付高額贖金才可以解密。

如果想要解決這樣的問題,筆者建議平時就要養成備份的好習慣,但光是一般的備份方式(複製多份)還不夠,剛才有提到,勒索軟體會加密所有磁碟槽的檔案,所以備份一定要「安全備份」的備份才能防制勒索軟體的感染。



事前準備:
1. 一顆容量夠大的外接硬碟
備份王提供本地加密備份,不需要將檔案放到雲端上。依照您要備份的檔案大小,準備一顆USB的外接硬碟(如果有其他內接式硬碟也可以)

2. 申請一組備份王帳號
備份王軟體可以使用測試帳號(demo)進行試用,但測試帳號屬於公用的。
建議還是可以申請個人免費使用的帳號。
立即申請


測試帳號:demo
測試密碼:demo123

備份王提供企業用戶大量部署方案,建議來信詢問報價。
→→備份王商用版與企業版採購需求

3. 下載備份王軟體
免費下載 (軟體解壓縮密碼 : demo)



開始:
1. 下載後解壓縮,執行BackupAgent.exe,並登入帳號密碼

2. 新增排程,選定要備份的資料夾路徑

▼ 第一次使用請先點「新增設定」,然後依照介面的步驟

步驟 1:設定要備份的檔案路徑(檔案來源)

步驟 2:設定要備份的時間,可以選擇「週期」備份或是「固定時間」備份


 ▼ 步驟 3:接著從「其他設定」選項裡面快速設定
  • 「差異備份」:可以節省備份的空間,只有異動的檔案才會再次被備份
  • 「加密檔名」:可以使用獨一無二的金鑰將備份的檔案加密,這樣就不用擔心勒索軟體加密已經備份的檔案。
  • 「備份位置」:可以選擇本地備份,將檔案加密存放在另外一個磁碟槽路徑
  • 「備份全部檔案」:可以備份 步驟1 指定路徑下的所有檔案


▼ 進階使用者可以自訂哪些檔案是不需要備份的,全部都完成後,直接按下「儲存設定」,並按下「開始備份」執行第一次的備份。


 ▼ 「備份資訊」的頁面會提供您目前備份的進度,若過程中有問題也會提供相關的錯誤資訊。


▼ 備份完成後,可以在「備份還原」頁面看到所有備份的紀錄。

養兵千日用在一時,倘若有一天電腦中的檔案毀損了,或是被勒索軟體加密了,我們就可以從已經備份的檔案進行還原。

想要還原可以直接點選某個備份編號,再點選「排程還原」,這樣就可以把整批備份的檔案全部還原回來了。
 

▼ 另外備份王也提供單檔還原功能(可以還原特定檔案),點擊上圖的「單檔檢視」,則可以瀏覽該次備份的所有檔案列表。接著勾選想要還原的檔案,再按下「還原檔案」


▼最後,選擇檔案要還原的路徑,再按下「儲存」就可以快速還原檔案了


▼檔案還原進度


備份一直是多數使用者都知道要做的事情,但往往卻最容易忽略的,每次都是等到檔案不見(毀損)了,才開始找救援方法。備份王提供了使用者輕鬆又安全的備份方式,透過排程定期自動在背景執行備份,再也不用怕忘記備份這件事情。

2016年11月28日 星期一

[網管人投稿] 個資保護很重要安全加密一把罩

2016/11/28
文章投稿 [網管人] - 個資保護很重要安全加密一把罩
http://www.netadmin.com.tw/article_content.aspx?sn=1611250002


個資保護很重要安全加密一把罩

隨著科技日新月異,收發E-mail、社群分享、線上購物、求職招聘、玩遊戲等已成為人們不可或缺的一部分。然而,隨之而來的蝴蝶效應則導致無法預期的嚴重後果。

近期發生很多個資外洩的案例:2016年11月於第三方網站上進行系統維護時的不正確安全設定,導致求職者資料透過行動版的招聘網站個資外洩,包括姓名、登入帳戶與密碼、住址與電子郵件、電話等重要個資;2016年10月勞動部勞動力發展署「台灣就業通網站」遭民間公司竊取個資約3萬多筆個資;2016年10月第一銀行ATM遭駭盜款案與兆豐銀行防制洗錢疏失案。

如今,個資外洩事件層出不窮,不僅造成社會大眾的恐慌,更證實了不管是個人或是公司企業都應該更妥善的了解與落實個資保護的機制。有鑑於此,為防止個資外洩事件發生,必須強化電腦的個資保護機制,若企業能藉由定期對員工做個資防護教育訓練及電腦、網站、資料庫的個資掃瞄及機敏個資加密,將可大幅度降低企業中因員工疏忽或網站、資料庫的系統程式漏洞而導致個資外洩的風險。

因此,國產資安公司自行研發單機版電腦個資檢測工具,企業在員工電腦盤點完成後,可將所有盤點結果直接輸出成PDF檔,以供管理人員稽核之用。該工具支援Windows與Mac OS作業系統,適用性廣、操作流程相當容易,下載應用程式後,不用安裝即可執行使用,一提該工具最廣受好評的優點為個資掃瞄完成後可立即檔案加密與搬移,目前包含公家單位、銀行企業與學術單位皆大量使用。

目前也有提供免費版申請試用,若申請身份為公司或公務單位申請均可享有30日完整版功能免費試用。除了一般使用者的電腦需要個資檢測外,資料庫與網站都需要定期配合資安政策進行個資盤點,避免成為下一位個資外洩的受害者。

2016年11月16日 星期三

[網管人投稿] 備份不是防制勒索軟體的萬靈丹


2016/11/15
文章投稿 [網管人] - 政府部門如何防範個資外洩?
http://www.netadmin.com.tw/article_content.aspx?sn=1611100005


政府部門如何防範個資外洩?

       勒索軟體持續猖獗,繼日前美國長老教會的醫療中心妥協支付了贖金約1萬7千美元,德國也陸續有醫院遭勒索軟體迫害,據資安廠商統計國內受害企業已超過252家。

       企業部署備份機制是否就可以滿分防制勒索軟體呢?其實並不完全是,在今年公佈的新型態的勒索軟體中發現,已有勒索軟體針對商業備份工具之副檔名進行偵測與加密,換句話說備份已經不是防制勒索軟體的萬靈丹了。

市面上常見的備份方式有以下三種:

1.資料的複製:將原本的資料複製到另外一台主機,通常採用指令方式COPY檔案到網路磁碟機或外接隨身硬碟達成此目的。但因為檔案仍可由本機端讀取網路芳鄰或外接硬碟,因此完全無法防制勒索軟體的攻擊。

2.壓縮或加密:常用的方式為採用壓縮方式定期加密與壓縮檔案,但壓縮後的副檔名也是勒索軟體最喜歡攻擊的目標,因此加密壓縮之後的檔案一樣會被勒索軟體所攻擊。採用商業軟體進行備份與加密,商用軟體備份之後會產生自己格式的副檔名,例如TIB或PDB等常見副檔名,但2016年有研究指出CryptoBit、HydraCrypt等勒索病毒軟體已經將這些副檔名列為基本攻擊對象,目前也陸續傳出採用商用備份軟體卻無法防範新變種勒索軟體的案例。

3.加密並偽裝:勒索病毒的運行原理為偵測檔案型態、加密檔案內容、變更副檔名、要求高額贖金等四個步驟,鈊保資訊技術經理指出,要可以完全防範勒索軟體,也必須提供對抗勒索軟體的攻擊模式,備份工作需設定加密檔案路徑與型態、加密檔案內容、變更完整檔名、保留差異式版本還原機制等,除此之外,更必須支援開關網路磁碟機、背景差異加密式備份、跨網路加密傳輸等功能,以滿足企業需求。


備份不是防制勒索軟體的萬靈丹,選擇對的備份工具才能滿分防制勒索軟體。