駭客散播大量帶有JS(JavaScript)壓縮附檔的信件,使用者若只要解壓縮後一點擊,就會轉址並自動下載勒索病毒(Ransomware)。
自從2005年發現勒索軟體(Ransomware)之後,11年來,勒索軟體威脅已蔓延至全球各地,包含歐洲、中東、非洲、北美以及亞太地區也都傳出災情,除了企業之外,駭客目標也鎖定醫療、公共服務領域,近期美國密西根州Lansing Board of Water & Light(BWL)水電公司內部企業網路也遭到勒索軟體攻擊便是一例。這項攻擊起因,經證實是某員工開啟了一封含有惡意附件檔案的電子郵件,導致企業網路上其他電腦的檔案遭到加密。
 |
| ▲網擎資訊(Openfind)產品經理張峰銘指出,SecuShare能記錄詳細的檔案系統資訊,不管員工進行檔案上傳、下載、分享、刪除或更新,都會被詳細記錄下來,如此一來IT人員很容易就能觀察到異狀,並且在第一時間立即處理。 |
這類透過電子郵件散播的手法在近年來相當常見,台灣在近期幾波攻擊中,經常可見駭客散播大量帶有JS(JavaScript)壓縮附檔的信件,使用者只要解壓縮後一點擊,就會轉址並自動下載勒索病毒,並透過程式的運行來強行加密使用者的文件,企業若想解鎖,只有支付贖金一途。
網擎資訊(Openfind)產品經理張峰銘指出,遇到帶有JS(JavaScript)壓縮附檔的攻擊型態,大部分防毒軟體均無法有效防堵,原因是一經防毒軟體發現,駭客就會更改JS,再進行第二波大量攻擊,造成防毒軟體更新的速度跟不上變種的速度,因此,企業也發現,即時防毒軟體已經常常更新,卻依然難免中招。
面對勒索病毒猖獗,網擎資訊也從自家的郵件技術著手,輔以SecuShare分享管理系統,提供企業事前防禦與事後還原的完善機制。在事前防禦部份,網擎分別在郵件閘道器(Mail Gateway)以及郵件伺服器都有提供ZIP檔的偵測機制,只要一偵測到含有JS的Zip檔案,就會將此類的檔案都設定阻擋與隔離,以確保使用者端不會收到該信件。目前包含郵件稽核系統、郵件防護系統以及Mail 2000都有提供防堵機制。
萬一不幸中了勒索病毒,網擎本身也有SecuShare分享管理系統,可以透過多版本設定,將檔案回復到上一個版本。SecuShare分享管理系統的優勢之一是在容量許可的情況下,可不限版本進行管控,而且只要把重要的檔案放在固定的資料夾,系統就會自動地進行備份。他提到,SecuShare分享管理系統是Dropbox式的解決方案,能自動備份使用者檔案,「許多專家都指出,最好的防範方式就是勤加備份,但是使用者經常會忘記,SecuShare分享管理系統可避免這些情況發生。」
SecuShare能記錄詳細的檔案系統資訊,不管員工進行檔案上傳、下載、分享、刪除或更新,都會被詳細記錄下來,如此一來IT人員很容易就能夠觀察到異狀,並且在第一時間立即處理,例如電腦應該先關機,並且進行危機處理的動作。此外, SecuShare在空間即將告罄時都會提出告警,再加上SecuShare會有定期清理的機制,可避免空間額滿面臨無法保留版本的情況。