多重防禦vs勒索軟件

今年2月起，一隻名為Locky的加密勒索軟件（Ransomware）為全球資訊保安界帶來一股強烈颱風。這種軟件主要用釣魚電郵如此「老派」的方式接觸受害者，透過內含惡意程式的附件，把電腦裏及內聯網中的檔案加密，並要求用戶支付贖金換取解密密鑰。至今已有不少醫院、學校、NGO，甚至一般家庭用戶中招。

這次加密勒索軟件風風火火地殺業界一個措手不及，主要因為它可突破部分防毒或過濾垃圾郵件的功能，憑加密軟件的「身份」瞞天過海。加密功能本身無分正邪，原意只是為檔案加上密碼，避免機密資料被竊取。這種保安功能十分常見，一般操作系統有，外部儲存裝置有，現在連WhatsApp也有。對防毒軟件而言，它並非常見的病毒檔，故此難以過濾。再加上這種罪案不以盜取資料為目標，而是破天荒地跟只求賺錢的罪犯合作，創造出一種「多勞多得」的營運模式。

要對付加密勒索軟件，政府、學校和公私營機構應多依靠資訊科技界的專業服務，不宜單單依賴個人電腦（End-point）上的防毒方案，需要採取多層防禦（Multi-layer Defence）。上至網絡供應，下至電腦操作系統，逐層加設防禦屏障。員工應每天離線備份，定時更新電腦（包括Windows和Mac）和路由器，以堵塞惡意程式攻擊系統或軟件的潛在漏洞。另外，管理層亦可考慮轉用雲端電郵寄存服務，例如Google Apps for Education/Work和Microsoft Office 365等，由專人負責電郵伺服器的保安工作。

不宜有「付錢了事」想法

不過，同樣是雲端服務，雲端儲存空間卻不應24小時跟個人電腦保持連接。因為一旦個人電腦中招，保持連線狀態的雲端儲存空間如Dropbox、One Drvie、Google Drive等，也會被惡意程式沿着路徑同步加密。因此在不需要存取雲端儲存空間的時候，應該馬上登出。

至於一般個人用戶，與其買多兩三種防毒工具，倒不如踏踏實實地做好備份和更新工作，盡量減少損失。現在亦可在網上找到破解某些加密勒索軟件的方法，卻不一定能對付最新變種的版本。即使如此，我亦不建議受害者支付贖金換取解密密鑰。首先對方是不法分子，會否遵守承諾也成問題，分分鐘一手交錢一手走人；其次你的贖金亦等於證明加密勒索軟件「有價有市」，鼓勵他們繼續犯罪。因此不論價格高或低，也不應有「付錢了事」的想法，否則便正中匪徒下懷！

Source: http://startupbeat.hkej.com/?p=27809