勒索病毒轉攻大企業 反勒索方案應運而生

美國FilingBox Mega推出的FilingBox NAS，專門針對勒索病毒，儲存數據自動改成唯讀模式，情況就有如將所有數據燒錄在光碟一樣，不能隨便修改。

新科技速遞

全球勒索病毒Ransomware攻擊再創新高。上月，著名勒索病毒Ryuk出現了新變種，並且入侵美國海事管理機構。據美國海事防衛隊公佈，該次入侵源頭是釣魚郵件，並且加密該海事機構所有檔案，無使用重要檔案。

Ryuk攻擊後美國港口控制貨運轉運工業系統，停頓了超過30小時。Ryuk病毒也在聖誕節期間攻擊了全球數家零售連鎖，導致大量系統無法營運。

今年7月，英國的網絡及基建保安局已發出有關勒索病毒的預防通告。不過Ryuk的加密法會令大型檔案完全無法復修，即使受害者付了贖金，也無法復修。不過Ryuk也有新的加進版，遇到Windows內的Linux檔案，就不會加密，以免即使用戶交了贖金，亦無法取回檔案。

據說Ryuk是俄羅斯黑客組織Grim Spider運營，針對大型企業及組織進行針對性攻擊，最初也是靠釣魚軟件，後來改以Emotet或TrickBot等惡意軟件，以銀行木馬等假網站傳播。

Ryuk以網絡攻擊傳播，甚至針對企業進行零日攻擊，不是只靠釣魚軟件，較難以防範，勒索目標也只集中有能力支付贖金的企業。Ryuk變成商業化模式經營，有專業的營運模式，甚至售後服務，但贖金相對為高。

Ryuk勒索病毒則叫價15個比特幣（大約10萬美元）起；問題是付贖金後能否取回數據，又是另一疑問。

現在勒索病毒趨勢，已從普通用戶轉向大型企業和政府機構。多份安全報告均顯示，從2018年6月迄今，全球針對企業的勒索攻擊，增加超過3.5倍。

一般而言，攻擊愈高明，贖金愈高。Sodinokibi勒索病毒贖金在3個比特幣（大約2萬美元）起；Ryuk勒索病毒則叫價15個比特幣（大約10萬美元）起；問題是付贖金後能否取回數據，又是另一疑問。

市場上對付勒索病毒，主要還靠數據備份和虛擬化，今年的勒索病毒一度回落，但Ryuk加強版和Sodinokibi等出現，近期再度活躍。

以備份保護數據，仍然會有一段時間數據損失，恢復數據仍要一段時間，引起業務停頓，美國FilingBox Mega推出的FilingBox NAS，專門針對勒索病毒，儲存數據自動改成唯讀模式，情況就有如將所有數據燒錄在光碟一樣，不能隨便修改。如果用戶修改檔案，必須在Windows Explorer打開，或以新名字命名檔案，用戶也不能以DOS指令修改或刪除。

FilingBox之所以可以保護數據，因為只容許特定應用打開檔案，並且由指定應用才能將檔案，從唯讀切換為可修改甚至刪除。一般勒索病毒以Full Disk Encryption （FDE），即使系統人員在作業水平控制應用如何存取檔案，也無法遏止攻擊。

其他保護方式包括放在白名單上的應用，才能有修改數據權限，每次有新應用加入，系統人員又要修改白名單，非常不便。FilingBox檔案系統屬於網絡儲存，用戶毋須要管理白名單，檔案儲存在FilingBox內，自動變成唯讀，比較方便，管理工作也較少。