網絡攻擊/罪案 防禦

「特事特辦」防Locky!(上)

Eric Fan
作者 Eric Fan

今次Ransomware與別不同的地方在於打破了我們對「病毒」一貫的想像。以往我們很依賴1-2種解決方案,可是Ransomware如Locky是沒有單一方案能夠即時解決的,我們要開始思考多層防禦的需要,由家中或公司的路由器和防火牆起開始實行防禦的工作,不要再盲目相信電腦安裝防毒軟件後便是無敵。

上回提到Ransomware(一封電郵令旅行相、BB相全部「被加密」?)如狼似虎的攻勢,不少朋友都表示心驚驚,不知如何對付愈來愈狡猾的惡意程式。可惜的是,自Locky破空而出後我在資訊科技界「收風」多日,仍未聽聞世界上有任何一勞永逸的解決方案-為何?因為它的猖獗,正正是源於我們這種貪圖一勞永逸的惰性。今次,有錢也不一定能解決問題!

多層防禦(Multi-layer Defence)才是永恆真理

為什麼需要多層?電郵伺服器不是有防垃圾郵件的功能嗎?

電郵服務供應商,例如Gmail、Yahoo、Microsoft或其他寄存公司,它們都會有防止垃圾郵件的功能。這已經是電郵服務必備的配套,為服務供應商一定具備的服務,然而此過濾功能雖已運行了十多年,但仍未能完全阻隔垃圾電郵。因為Ransomware 如Locky,不是用古靈精怪的方法破壞你的電腦,而是用加密(Encryption)襲擊你的電腦。它採用加強訊息或檔案安全性的方式,打亂檔案中的內容,並只容許持有正確加密金鑰的人員才能還原及閱讀其內容。(參考:Microsoft)對很多防毒防垃圾的引擎來說,加密程式不是好人也不是壞人。此外,在之前分享的短片中,壓縮檔內只是一個Javascript檔案,並非病毒,在這層面上防毒防垃圾的引擎不一定可以有效阻隔惡意程式。這是大概是為什麼不同界別,包括學校、SME也會中招,因為Ransomware不是很容易就能被阻隔到的攻擊。

今次Ransomware與別不同的地方在於打破了我們對「病毒」一貫的想像。以往我們很依賴1-2種解決方案,例如安裝一個Microsoft Windows系統,便會開啟內置防火牆,謹慎一點的會另外加設防毒軟件。可是Ransomware如Locky是沒有單一方案能夠即時解決的,我們要開始思考多層防禦的需要,由家中或公司的路由器和防火牆起開始實行防禦的工作,不要再盲目相信電腦安裝防毒軟件後便是無敵。以電郵為例,填補漏洞便不單是電郵伺服器的工作,可能由ISP(Internet Service Provider 網絡供應商)和寄存公司的層面開始便要採取防禦措施,在域名方面要加入Anti-Spoofing、電郵伺服器要防垃圾郵件和防毒、路由器和防火牆需具備過濾功能、個人電腦(end-point)亦要有自己一套防禦機制,在整個過程中採用層層推進的保安方法。

5-defence0413

另外,老生常談也要提醒大家:勤力離線備份!就Locky而言,網絡備份(即NAS backup solution)一旦同步處理,也有機會受感染。之前做的實驗中,我們設置了兩台電腦,分別為Win 7 和Win 10,分別棲身於不同網絡中,但Win 7曾經嘗試接通Win 10的電腦。後來Win 7中了Locky,它也可以找出這條路徑(path),沿著這條路徑找到網絡中的其他電腦。因此HKCERT也建議,一旦中毒,馬上拔出Lan線,即網絡備份的方案也沒有效,所以Dropbox、Google Drive和One drive也是一樣。坊間有很多不同配搭,不能一概而論哪一個方案較佳,但針對Ransomware可以將所有能存取的檔案加密的特性,大家最好還是用「傳統」的USB存取備份,再收入櫃桶底吧。

封面圖片來源:網絡

Infographic credit: Derived from Shield icon designed by Paomedia, licensed under CC 3.0.