2016年9月12日 星期一

為何備份王可以100分防制勒索軟體?


勒索軟體加密電腦中的檔案

當使用者的電腦感染了勒索軟體,勒索軟體發作的時候會在受感染的作業系統搜尋特定類型的檔案,然後進行加密的動作,至於什麼檔案會被加密呢?

目前最常見的檔案類型都是跟使用者最直接有相關文件(.doc, .docx, .ppt, .pptx, .xls, .xlsx, .pdf等)、照片(.jpg, .jpeg, .bmp), 、影音檔案(.mp3, .mp4等)及壓縮檔(.zip)等。



勒索軟體的變種家族很多,不同家族的勒索軟體會加密的檔案類型也不太一樣,除了常見的檔案類型之外,目前許多惡意程式分析的論壇發現一些勒索軟體的樣本測試資料 (CryptoBit, HydraCrypt),其中也發現市面上很常見的備份工具備份後的副檔名也被列在其中,

▼ 勒索軟體CryptoBit 會加密的檔案類型

▼ 勒索軟體 HydraCrypt 會加密的檔案類型

為什麼備份王可以100分防制勒索軟體呢?

因為備份王做了「檔案加密」及「檔名擾亂」!!


檔案加密:
「備份王」所備份的檔案都會利用使用者自己獨一無二的金鑰進行加密,檔案加密的目的一方面是為了不讓勒索軟體偵測出這是什麼樣的檔案,另外一方面也可以保護使用者的備份檔案,即便檔案被他人竊取了,對方也無法解出你的檔案,只有使用者使用備份王的還原機制才可以還原自己的檔案。


檔名擾亂:
「備份王」將備份檔案加密之後,還會將備份檔案的檔名及副檔名進行編碼加密,這樣一來勒索軟體就無從得知這是什麼樣的檔案了,因此免除勒索軟體/勒索病毒的威脅。



我們也實際下載了勒索軟體的樣本檔案進行實測,如果想更進一步瞭解勒索軟體怎麼感染電腦中的檔案,請觀看我們的Demo影片

假設電腦感染了我們的檔案,通常檔案都會被勒索軟體加密,並且副檔名會被改的亂七八糟(有些勒索軟體不會竄改副檔名),使用者也無法再開啟這些檔案,如下圖右上角的資料夾視窗所示

但是,使用備份王備份檔案後,檔案內容會被安全的加密保護,檔名也會被加密擾亂,這樣一來勒索軟體就無法加密這些檔案,如下圖右下角的資料夾視窗所示。使用者在備份王工具的「備份還原」頁籤中還可以輕鬆檢視該次備份的所有檔案。

▼ 使用備份王備份檔案後,感染勒索軟體的結果比較