勒索軟體持續猖獗,繼日前美國長老教會的醫療中心妥協支付了贖金約1萬7千美元,德國也陸續有醫院遭勒索軟體迫害,據資安廠商統計國內受害企業已超過252家。
企業部署備份機制是否就可以滿分防制勒索軟體呢?其實並不完全是,在今年公佈的新型態的勒索軟體中發現,已有勒索軟體針對商業備份工具之副檔名進行偵測與加密,換句話說備份已經不是防制勒索軟體的萬靈丹了。
市面上常見的備份方式有以下三種:
1.資料的複製:將原本的資料複製到另外一台主機,通常採用指令方式COPY檔案到網路磁碟機或外接隨身硬碟達成此目的。但因為檔案仍可由本機端讀取網路芳鄰或外接硬碟,因此完全無法防制勒索軟體的攻擊。
2.壓縮或加密:常用的方式為採用壓縮方式定期加密與壓縮檔案,但壓縮後的副檔名也是勒索軟體最喜歡攻擊的目標,因此加密壓縮之後的檔案一樣會被勒索軟體所攻擊。採用商業軟體進行備份與加密,商用軟體備份之後會產生自己格式的副檔名,例如TIB或PDB等常見副檔名,但2016年有研究指出CryptoBit、HydraCrypt等勒索病毒軟體已經將這些副檔名列為基本攻擊對象,目前也陸續傳出採用商用備份軟體卻無法防範新變種勒索軟體的案例。
3.加密並偽裝:勒索病毒的運行原理為偵測檔案型態、加密檔案內容、變更副檔名、要求高額贖金等四個步驟,鈊保資訊技術經理指出,要可以完全防範勒索軟體,也必須提供對抗勒索軟體的攻擊模式,備份工作需設定加密檔案路徑與型態、加密檔案內容、變更完整檔名、保留差異式版本還原機制等,除此之外,更必須支援開關網路磁碟機、背景差異加密式備份、跨網路加密傳輸等功能,以滿足企業需求。
備份不是防制勒索軟體的萬靈丹,選擇對的備份工具才能滿分防制勒索軟體。