2016年9月20日 星期二

[網管人投稿] 安全金鑰加密備份 打亂勒索病毒的節奏


2016/09/20
文章投稿 [網管人] - 安全金鑰加密備份 打亂勒索病毒的節奏
http://www.netadmin.com.tw/article_content.aspx?sn=1609140007


安全金鑰加密備份 打亂勒索病毒的節奏

勒索軟體/病毒(Ransomware)是近年來資安人員面臨的重大風險之ㄧ,面對勒索軟體猖獗,除了事前的病毒偵測與人員資安教育訓練,事後的災難復原也變成重要課題。
想要在災後100%復原電腦的重要檔案,當然就需要在平日維持檔案備份的習慣。備份王提供使用者一個安全又輕鬆備份的方式,當使用者不幸感染了勒索軟體,還是可以快速還原檔案,不怕重要資料被勒贖。


感染了勒索病毒該怎麼辦?勒索病毒使用特定的金鑰進行檔案加密,想要解回被綁架的檔案幾乎不可能,連美國聯邦調查局FBI都宣稱想解密資料,最快的方法就是花錢消災。攻擊者常常透過社交工程的方式,透過惡意電子郵件夾帶惡意病毒,或是誘引使用者連到被掛馬的惡意網站,使用者經常在不知覺的情況下就遭到勒索軟體的感染。

當使用者的電腦感染了勒索軟體,勒索軟體發作的時候會在受感染的作業系統搜尋特定類型的檔案,然後進行加密的動作,至於什麼檔案會被加密呢?目前最常見的檔案類型都是跟使用者最直接有相關文件(.doc,.docx,.ppt,.pptx,.xls,.xlsx,.pdf等)、照片(.jpg,.jpeg,.bmp),、影音檔案(.mp3,.mp4等)及壓縮檔(.zip)等。除了常見的檔案類型之外,有一部分勒索軟體會加密的檔案類型也越來越多,連常見的備份工具產生的檔案副檔名都名列其中,使得備份防護上越來越難掌控。

因此,使用者需要一個可以安全備份的工具,為已經備份的檔案做安全防護。備份王是可以提供使用者輕鬆又安全的備份方式,但為什麼備份王「可以100分防制勒索軟體」?因為備份王內建提供「檔案加密」及「檔名擾亂」功能,

「備份王」所備份的檔案都會利用使用者自己獨一無二的金鑰進行「檔案加密」,檔案加密的目的一方面是為了不讓勒索軟體偵測出這是什麼樣的檔案,另外一方面也可以保護使用者的備份檔案,即便檔案被他人竊取了,對方也無法解出你的檔案,只有使用者透過備份王的還原機制才可以還原自己的檔案。備份檔案加密之後,還會將備份檔案的檔名及副檔名進行編碼加密(檔名擾亂),這樣一來勒索軟體就無從得知這是什麼樣的檔案了,因此免除勒索軟體∕勒索病毒的威脅。

備份王備份工具除了提供一般使用者免費使用之外,還另有企業版本可讓企業佈署私有備份雲,有別於一般備份工具的特色,備份王企業版提供後台管理介面(集中控管),讓管理者可以建立部門使用者帳號及群組,讓管理者自行決定要如何定義備份策略,輕鬆佈署企業部門的檔案備份機制。假設使用者的電腦不慎感染了勒索軟體,備份於伺服器的檔案還可以快速還原。當檔案不小心被誤刪的情況發生,也可以透過多版本還原的機制,隨時還原回最新的資料。


2016年9月12日 星期一

為何備份王可以100分防制勒索軟體?


勒索軟體加密電腦中的檔案

當使用者的電腦感染了勒索軟體,勒索軟體發作的時候會在受感染的作業系統搜尋特定類型的檔案,然後進行加密的動作,至於什麼檔案會被加密呢?

目前最常見的檔案類型都是跟使用者最直接有相關文件(.doc, .docx, .ppt, .pptx, .xls, .xlsx, .pdf等)、照片(.jpg, .jpeg, .bmp), 、影音檔案(.mp3, .mp4等)及壓縮檔(.zip)等。



勒索軟體的變種家族很多,不同家族的勒索軟體會加密的檔案類型也不太一樣,除了常見的檔案類型之外,目前許多惡意程式分析的論壇發現一些勒索軟體的樣本測試資料 (CryptoBit, HydraCrypt),其中也發現市面上很常見的備份工具備份後的副檔名也被列在其中,

▼ 勒索軟體CryptoBit 會加密的檔案類型

▼ 勒索軟體 HydraCrypt 會加密的檔案類型

為什麼備份王可以100分防制勒索軟體呢?

因為備份王做了「檔案加密」及「檔名擾亂」!!


檔案加密:
「備份王」所備份的檔案都會利用使用者自己獨一無二的金鑰進行加密,檔案加密的目的一方面是為了不讓勒索軟體偵測出這是什麼樣的檔案,另外一方面也可以保護使用者的備份檔案,即便檔案被他人竊取了,對方也無法解出你的檔案,只有使用者使用備份王的還原機制才可以還原自己的檔案。


檔名擾亂:
「備份王」將備份檔案加密之後,還會將備份檔案的檔名及副檔名進行編碼加密,這樣一來勒索軟體就無從得知這是什麼樣的檔案了,因此免除勒索軟體/勒索病毒的威脅。



我們也實際下載了勒索軟體的樣本檔案進行實測,如果想更進一步瞭解勒索軟體怎麼感染電腦中的檔案,請觀看我們的Demo影片

假設電腦感染了我們的檔案,通常檔案都會被勒索軟體加密,並且副檔名會被改的亂七八糟(有些勒索軟體不會竄改副檔名),使用者也無法再開啟這些檔案,如下圖右上角的資料夾視窗所示

但是,使用備份王備份檔案後,檔案內容會被安全的加密保護,檔名也會被加密擾亂,這樣一來勒索軟體就無法加密這些檔案,如下圖右下角的資料夾視窗所示。使用者在備份王工具的「備份還原」頁籤中還可以輕鬆檢視該次備份的所有檔案。

▼ 使用備份王備份檔案後,感染勒索軟體的結果比較