近幾年來,網路上的威脅以及攻擊已經產生了巨大的變化,在早期 2000 年到 2004 年,當時病毒純粹只是一些高手想要證明自己的能力,而到了 2005 年到 2012 年開始,有特定目標的入侵行為開始出現,在這個階段,駭客開始要的是錢,這形成了一種生意,其中,最讓大家聞之色變的就是勒索軟體。
近幾年勒索病毒對一般人的威脅越來越大,尤其是今年的 Wannacry 橫掃全球事件,著實讓大家見識到勒索病毒的嚴重性。過去你我可能覺得自己是小咖,不會受到這類病毒的攻擊,但是現在多少也都能了解到,勒索病毒的攻擊對象其實是一視同仁的。
對使用者來說,當電腦中了勒索病毒,真正的問題倒不是出在電腦硬體本身,畢竟一台電腦的硬體價值大概就幾萬塊,一旦真的被綁架了,頂多就重灌或再買一台新的電腦即可解決。事實上最關鍵的是儲存在硬碟裡的資料,這些資料可能是花了數年心力所研究的心血結晶、或是公司內部長期積累下來的客戶資料、合約,再不然就是珍藏多年的寶貴文件,當這些資料消失了,即使花再多錢也無法彌補回來,甚至還得賠上難以估計的損失。
勒索病毒對資料的 4 種危害
勒索軟體的緣起可回溯到 2005~2006 年間,首先在俄羅斯出現,之後就衍生出各種不同的版本。不過當時的勒索軟體主要的目的就是「勒索」,有時純粹就是詐騙吹噓,像早期勒索軟體會偽裝成警察或政府單位,宣稱已查到你下載非法軟體並要你支付罰金,讓你因擔心後續的刑責問題進而乖乖上當付款。當時勒索軟體的作法是鎖住你的電腦螢幕,不讓你正常使用電腦,又或是限制住電腦的某些功能,不同於現在盛行的加密、刪除檔案。一直到了 2013 年,出現名為「CryptoLocker」的勒索軟體,普遍被認為是造成這一代加密勒索軟體如此猖獗的源頭。
加密檔案勒贖型
CryptoLocker 的入侵方式是採用所謂的「釣魚郵件」,它會偽裝成一個合法的電子郵件附件或 .exe 格式的檔案,當使用者不小心點選之後,這個程式就會啟動,開始對電腦本機端或是網路端的特定檔案進行加密。
以目前的技術來說,被加密的檔案是難以解密的。因此,當你的檔案被加密之後,在檔案沒有備份的情況下,付款給勒索者就是贖回檔案唯一的方法(但付款後有可能還是無法贖回)。
▲新一波加密勒索的威脅主要是由 2013 年出現的 CryptoLocker 所引發。
加密網站伺服器勒贖型
在 2015 年發現的 Linux.Encoder.1 惡意軟體,利用攻擊常見的 Magento CMS 上的漏洞(CMS, content management system, 俗稱網站的「後台」),來入侵網站伺服器、進而加密伺服器的內部檔案,甚至也有駭客在研究入侵 WordPress 系統後台的漏洞。
▲Linux.Encoder.1 惡意軟體
綁架 MBR 勒贖型
隨著勒索軟體的演進,近期也開始看到針對 MBR 與 MFT 加密的勒索軟體,這類的勒索軟體不是針對檔案做加密,而是直接對整個磁碟做加密,當使用者重開機時,被竄改過的 MBR 便會讓使用者看到勒索畫面,而無法順利進入作業系統。這類勒索軟體最有名的就是 PETYA。
▲勒索軟體 PETYA。
行動裝置勒贖型
除了 Windows 平台之外,其它的裝置也有遭到勒索軟體攻擊的案例,其中像是 Android 裝置最多,例如 ANDROIDOS_JIANMO.HAT。不過這類行動裝置勒索軟體,其實主要都是將使用者的裝置螢幕鎖定,讓使用者完全無法進行任何操作。但實際上使用者還是能透過重置的方式來挽救自己的行動裝置。
▲ 上圖為 Android 裝置遭到勒索軟體入侵的畫面。
裝了防毒軟體就能抵抗勒索病毒?那可不一定
當然,透過防毒軟體等安全機制,可以有效的阻擋大部分的威脅。但是如果勒索軟體加上了零日漏洞,防毒軟體也不一定能夠成功阻擋。因為這些威脅利用的是從系統漏洞而來,繞過了防毒軟體的保護機制。像是今年上半年席捲全球的 WannaCry,用的就是微軟 Windows 系統的「永恆之藍」漏洞。
此外,現在的勒索病毒還會用多管齊下的方式,讓你交叉感染勒索病毒。尤其是在企業或是小型工作室,這種危害更可怕。舉例來說,今年繼 WannaCry 攻擊之後沒幾個月,又出現了一個新一波的勒索病毒叫做 NotPetya(也有廠商命名為 Petya,各家廠商對其歸類有不同意見),他用的一樣是永恆之藍的漏洞。
照道理來說,經過了先前 WannaCry 的「教育」,同樣的漏洞應該不會再造成太嚴重的災情才對。不過,在永恆之藍的漏洞之外,NotPetya 還用了其它的不同工具,讓它透過區域網路的傳播速度可以變得更快:
- 勒索軟體會在受感染的電腦中的記憶體或是電腦中的檔案系統中搜尋所有可以找到的 Password,去利用這個密碼滲透其它的電腦。
- Petya(或 NotPetya)另外用到的技巧是,它會濫用 PsExec 這個工具。這個工具原本是用來遠端遙控電腦執行指定的程式,但是在勒索軟體中他被利用來遠端遙控執行病毒程式。例如,如果受感染的 PC 是網路系統管理員,那麼網路中所有的電腦就都會被感染。
- 這個勒索軟體還用到了Windows Management Instrumentation (WMI) 工具,Windows Management Instrumentation (WMI) 是一種用來管理執行 Microsoft Windows 作業系統的本機及遠端電腦之資料和功能的主要資源。只要使用能與 Windows Script Host 搭配使用之任何指令碼語言所撰寫的指令碼就可以去取用 WMI 資料。
也就是說,這些勒索軟體之所以能在第一時間造成災情,靠的就是「快」。通常在頭 24 小時之內是這些勒索軟體的爆發期,過了這個時限之外,防毒軟體以及系統廠商應該都已經端出解藥來,勒索軟體的入侵也就被根絕了。但是麻煩的是,往往這些勒索軟體在入侵你系統之後還會有一段的潛伏時間,目的就是不要打草驚蛇,盡可能地去感染更多的電腦。
那麼,假設你不幸中了勒索軟體,是不是付了贖金就可以解決了呢?很不幸的是,經過一年以來大家被各種勒索軟體的「訓練」,幾乎可以得到一個結論就是:如果你中了勒索軟體,可以說有一半以上的機率你被綁架的軟體已經等於沒了。因為很多人發現就算是付了贖金,取得解密金鑰,也不一定能夠成功還原檔案。
相關報導:
這也不是說你就不要裝防毒軟體,基本的防護還是一定要做的,但是除此之外,使用者也應該要養成良好的定期備份習慣,才能保護你的重要資料,減輕可能發生的損失。
3-2-1 備份原則,即使電腦損毀也能確保重要資料的安全
而講到備份重要資料,各家資安廠商都會提到的就是「3-2-1 備份原則」,這是資安界最常提到的備份法則,可以為電腦備份和災難復原作好最佳的準備,即使電腦遺失、遭竊或損毀,也能確保個人裝置的系統與資料的安全:強調 1) 資料至少備份 3 份 2) 使用 2 種以上不同的備份媒介 3) 其中 1 份備份要存放異地 。
當然了,除了上述的 「3-2-1 備份原則」之外,你要把資料備份在「什麼地方」,也是很重要的一件事情。舉例來說,如果你只是把 C 槽的資料備份到 D 槽,這根本就沒有意義,因為如果你的電腦中了勒索軟體,C 槽的資料被加密了之後,D 槽的備份資料一樣會被加密。因此,這種備份方式就顯得有點搞笑。
因此,最基本的觀念就是:備份的資料,不能原本的資料放在同一個系統環境下。
舉例來說,你可以把重要資料複製到隨身碟上,然後把隨身碟拔下來,放到抽屜裡再也不插入電腦。 那麼這就算是一個成功的資料備份,因為當勒索軟體攻進你的電腦時,他並沒有途徑可以感染到你的隨身碟,因此此時隨身碟中的備份資料就還是安全的;但是,如果這時你把隨身碟插入了被感染的電腦,處在同一個環境下,這將導致勒索軟體也會連帶感染了隨身碟,備份資料自然也就淪陷了。
上述是使用兩種以上的不同媒介保存。而如果你是大公司、需要再進一步保護的話,則需要異地備份,指的是在不同的地理環境下備份。當然,一般人也可以異地備份,最簡單的作法就是把資料備份到公有雲上。
讓我們先撇開大企業、資料量大的異地備份不談,以個人使用或是中小型企業來說,可以選擇的備份方式有三大類:
1.本地備份
指的是電腦透過實體連接,將資料備份到外部裝置上。最常見的就是備份到外接硬碟、隨身碟。
優點:不需要懂得什麼技巧,也不特別需要使用什麼工具,只要將檔案複製到另一個硬碟上就好,而且傳輸的速度也快,成本也是最低的。
缺點:如果你需要定時備份、以及指定要備份哪些資料夾,長期使用下來的話你還是需要有特殊的軟體來幫你進行定期備份的設定以及規劃。此外,外接硬碟在插拔的過程中有可能會碰撞或是跌到。此外,如果你備份的同時,你電腦已經被感染而不自知的話,外接硬碟中的備份資料有可能一樣會被感染。
2.公有雲備份
透過網際網路,將電腦中的資料,備份到像是Dropbox、Google Drive等雲端空間。
優點:資料硬體的保護安全性高,不需要花建置的人力以及時間,付費之後馬上就可以用。
缺點:儲存的資料量越多、每個月所需負擔的價格也就越昂貴。而且透過網際網路來備份資料,速度還是比較慢。此外,雖然我們說公有雲的資料保護夠安全,但是你還是需要帳號密碼連上公有雲,這也就給了駭客可趁之機。只要駭客用各種方法取得你的帳號密碼,你在公有雲的資料也就被攻破了。其次,就算你的帳號密碼牢不可破,但是資料的所有權其實不在你的手上。過去兩年我們見過太多公有雲說關就關,以及收費制度說換就換,你現在覺得公有雲很便宜就把資料拼命備份上去,很有可能下個月它就坐地起價,到時你一樣面臨了是要搬家還是乖乖繳費的難題。
3.私有雲(NAS)備份
透過網際網路或是區域網路 ,將資料備份到 NAS 上。
優點:長期來講儲存的價格成本要比公有雲便宜,而且透過區域網路備份的速度要比網際網路備份來得快很多,如果你備份的資料量大的話,可以省下非常多的時間。此外,現在的 NAS 都有提供多樣化的應用服務,因此你可以依照不同的目的、需求,定下最適合你或是公司的備份計畫。
缺點:雖然現在 NAS 的設計都已經做到很簡單了,需要你動手安裝、比較有技術門檻,也需要花一點學習的時間;而且,NAS 裡頭的硬碟本身也是有使用壽命的問題,一般來說三、五年左右也是需要更換硬碟以確保資料的硬體安全;此外,備份的速度還是會受到你的網路設備的影響。
哪一種備份方法最適合你?
這問題需要依照你要備份的資料的重要性、容量大小、需要備份的頻繁程度來分析這個問題。
以個人來說,重要性低的資料來說,如果資料量不大的話,你可以選擇免費的公有雲方案,或是隨身碟來儲存。而以重要性高的資料,但是需要備份的頻繁程度低的話,比方說像是家人的照片、那麼選擇公有雲或是私有雲來備份都會好一點,但是選擇哪一種的話就要看你的資料量的大小而定,因為這與你要付出的儲存成本有關。
如果你是為公司或是工作室在找備份方案的話,那考量的點又不大一樣。
公司的資料毫無疑問都是重要性高的資料,而且由於匯集了多人的資料要備份,資料量可能很大。更重要的是,你可能需要設定特定的資料夾來進行備份,以及需要設定固定週期的備份方案。公有雲、私有雲都是可以考量的選擇,除了依照資料量的大小考量付出的儲存成本之外,另外你要考慮的一點是,有沒有可以讓你方便排程、自訂備份方案的方法。在這個方面來考量的話,私有雲提供的彈性較大,尤其是公務上資料的備份頻率應該會比私人用途更頻繁,因此如果你是要用在工作上的話,採用私有雲備份會讓你更有效率。
在 NAS 上有哪些備份工具,可以進行哪些不同類型的備份方式?
假設你是正在為公司、工作室,或是你個人大量的重要檔案找一個合適的備份方法,私有雲將會是比較推薦你考慮的一個作法。現在的 NAS 廠商都有提供雲端的服務,讓你的 NAS 一樣可以在線上安裝一些擴充套件,加強 NAS 的各種能力。其中備份的功能當然是 NAS 最大的重點,因此各家 NAS 廠商都有提供許多能夠符合不同需求的備份擴充套件讓使用者來安裝。
下面我們就以 Synology 廠商提供的 NAS 服務,以及他們所提供的備份相關 APP 為例,說明你可以採用那些方式來在私有雲上備份保護你的資料。
1.Synology Drive
Synology Drive 其實就是把 NAS 變成類似 Dropbox、Google雲端硬碟,適合習慣 Google Drive介面的使用者無痛轉移使用。而它的桌面版工具是 Synology Drive Client,是一個快速且省流量跟電腦空間的即時備份解決方案,可自訂備份或同步任務,同步模式分為單向上傳或是雙向同步,還能開啟「隨需同步」功能,將 Synology Drive 上的目錄結構同步到本地端,待使用者存取檔案時才將檔案下載到電腦中,不只提供完整的資料保護還能節省電腦的儲存空間。
▲Synology Drive擁有類似 Google Drive 的檔案存取介面。
▲ 使用者可以依據需求選擇不同的同步模式,也可以啟用隨需同步功能節省電腦本地端的儲存空間。
2.Hyper Backup
Cloud Station Backup 的功用是讓你從你的電腦備份資料到 NAS 上,而 Hyper Backup 則是讓你把資料備份到本地端 NAS、外接裝置,或是像是 Dropbox、Google 雲端硬碟等公有雲上,甚至還支援可以備份到遠端的另外一台 NAS 上,也就是所謂的「異地備援」。
▲ Hyper Backup 支援多種公有雲端以及其他的 NAS、外接裝置,讓你將 NAS 上的資料備份到這些地方。
▲ 你可以設定備份的排程,以及固定要多久的週期來對資料的完整性進行檢查。
3.Snapshot Replication
各家 NAS 廠商都有提供 Snapshot「快照」的功能,所謂的快照,就是讓你記錄當時系統的檔案狀態,而當未來如果 NAS 發生了損害的時候,你就可以將檔案狀態回復到之前建立過快照的狀態,你也可以把他想像成是 NAS 版的時光還原機制。
不同的廠商實際進行快照的方式以及技術各有不同,以 Synology 來說,他們採用了 Btrfs 檔案系統,Btrfs 是由眾多組織共同開發,現在特定 Synology NAS 機種支援此檔案系統。Btrfs 檔案系統為了解決企業儲存系統問題而設計,如系統容錯、不易管理和資料保護等問題。
Btrfs 檔案系統提供強大的快照功能,讓你在任意時間點複製整個共用資料夾。因此,若因人為疏失導致資料庫毀損,你可以在短時間內利用快照還原資料。而且可自動執行即時資料備份,最高可達每五分鐘一次,在不影響效能的情況下,提供精細備份與還原。
快照可以依照個人需求保留每小時、每天或每週的快照,每個資料夾最多可以保存 1024 份。智慧保留政策自動刪除不重要的版本。使用者可以利用 File Station 或 Windows File Explorer 瀏覽舊的版本並自行還原至先前的時間點。
▲ Snapshot Replication 中可以針對 NAS 中的所有資料夾進行拍攝快照的設定。
▲ 你也可以利用排程來設定固定的快照拍攝時間,最短可以到每五分鐘拍攝快照一次。
▲ 之後你隨時可以到「還原」裡頭,去找回先前拍攝過快照的時間點的所有檔案狀態。
如何利用 NAS 搭配 3-2-1 備份原則,保護你的資料?
前面我們說過,資安界建議的備份法則叫做 3-2-1 備份原則,指的是 1) 資料至少備份 3 份 2) 使用 2 種以上不同的備份媒介 3) 其中 1 份備份要存放異地 。
但是,假設你買了一台 NAS,也想要遵照前面所說資安界建議遵循的 3-2-1 備份原則,該怎麼樣去實際進行呢?
當然依照不同的 NAS 品牌、不同的需求,你可以有不同的方式來實現這個 3-2-1 備份原則。而以前面我們介紹的三種備份工具來說,基本上,整個備份流程將會是:
1. 利用 Synology Drive 備份個人的電腦資料至 NAS,因此除了電腦本地端的資料外還有另一份的備份資料在 NAS 上。
2. 透過 Snapshot 快照保護 NAS 上的資料,這是針對 NAS 上的資料進行多版本備份的保護。主要原因是 NAS 使用者有可在平常就直接將大部分的資料利用區域網路儲存在 NAS 上,就可以透過這種方式來進行多版本備份。此外,傳統的資料還原時間會非常久,透過這種快照技術來保護 NAS 上的資料,使用者可以即時災難復原,在幾秒鐘之內就可以完成備份與還原的保護。
3. 最後透過 Hyper Backup 將 NAS 上檔案再備份到其他常用公有雲、遠端 NAS,或其他外接儲存裝置上。比方說,你將資料備份到 Google Drive、Dropbox上,這樣就實現了至少有兩種以上的備份媒介(你把電腦中的硬碟資料備份到公有雲、私有雲上),此外,由於資料儲存在公有雲上,也實現了至少有 1 份備份在異地上的目標。
結論:針對勒索軟體,平常就該做好的 4 個資料保護工作
由於有利可圖,未來勒索軟體的危害只會有增無減。而不管是個人或是企業,都應該要有良好的防護策略以及觀念。至少需要建立以下 4 個基本防護工作,才能夠全面保護你的資料:
1.系統、軟體需定期更新、修補
從永恆之藍漏洞造就了今年最大的兩個勒索軟體,我們知道系統漏洞已經成為勒索軟體的一個最好用的攻擊工具。而一般使用者應該做好定期更新你的系統、瀏覽器以及其它常用程式的更新,讓程式的版本維持在最新,可以減少漏洞的危害。
2.安裝防毒軟體
雖然說不見得防毒軟體可以阻擋系統漏洞的攻擊,不過那不代表你就可以不裝防毒軟體。防毒軟體可以幫我們阻擋八成以上的危害,尤其是現在的防毒軟體也可以針對釣魚網站、惡意連結進行攔截,還可以防止駭客透過郵件散佈惡意工具造成的危害。
3.強化使用者的安全觀念
個人或是員工都需要在安全的觀念上多加提醒,雖然說不可能讓每個人都變成資安的專家,不過至少要知道不要點選陌生郵件中來路不明的連結,也不要開啟可疑的郵件附檔。提醒使用者在上網或是收信時都該提高警覺。
4.重視資料備份的重要
再嚴密的資安保護也無法確保百分之百不會受到勒索軟體的攻擊,因此最重要的,就是應該要確保當你的電腦或是公司的檔案,不幸真的被勒索軟體入侵遭到加密的時候,你有沒有本事能夠透過資料備份還原的方式,找回那些被加密的檔案。此外,為了確保你的資料可以被救回,因此你必須要遵循 3-2-1 備份原則,來將資料進行多重的備份。不過,3-2-1 備份原則其實實際做起來也滿花功夫的,因此,最簡單的方法,就是買一台 NAS,利用現成提供的多種工具,輔助你進行 3-2-1 備份原則,將可以有效保護你的重要資料,就會電腦中的檔案被勒索軟體全都加密也不用害怕。
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!