勒索軟體攻擊與資料還原:完整概覽
鑑於勒索軟體攻擊會導致資料遺失及系統停機,對於各行各業的企業而言,這無疑是一項危險的威脅。該 2023 年的平均贖金已達 154 萬美元 根據 Sophos 的報告。不幸的是,勒索軟體攻擊的強度正逐年增加。 每個人都面臨風險。勒索軟體一旦安裝在電腦上,便會利用強大的加密演算法刪除或破壞資料。
勒索軟體背後的惡意行為者通常會索取一筆金錢(贖金),以發布資料並使其恢復可用。然而,除了助長犯罪分子的氣焰外,支付贖金也無法保證您能完全取回可用的資料。這篇部落格文章將說明如何在避免與攻擊者進行金錢交易的情況下,有效從勒索軟體攻擊中恢復。
遭遇勒索軟體攻擊後該怎麼做
儘管已有眾多預防措施,您的組織仍有可能成為勒索軟體攻擊的受害者。若不幸遭遇勒索軟體攻擊,以下做法可協助您將其影響降至最低。若您的電腦感染了勒索軟體,請在從勒索軟體中恢復檔案之前,遵循以下建議。
-
將受感染的裝置斷開連接一旦發現某台裝置遭到惡意軟體感染,必須立即將該裝置從網路及外部儲存裝置中斷開連線。如此一來,即可確保您基礎架構中的其他裝置與系統不會受到連帶感染。此步驟能讓您儲存未受影響的資料,並減少從勒索軟體中恢復檔案所需的工作量。
接著,請確認實際受到勒索軟體攻擊影響的機器數量,並檢查您的基礎架構中是否有可疑活動。
-
辨識勒索軟體的類型. 與最初發現此問題的人員進行溝通。詢問他們在事件發生前正在進行什麼操作、是否收到過附有可疑附件的email,以及最近下載了哪些檔案。釐清勒索軟體的類型能提供寶貴的資訊,有助於找出資料保護系統中的漏洞,並據此進行調整。
此外,若您成功辨識出勒索軟體的類型,便能確切了解檔案受到的影響(也就是說,檔案是被加密還是被鎖定)。如此一來,您就能掌握不支付贖金可能帶來的後果,並了解應採取何種策略才能成功從勒索軟體攻擊中恢復。
- 回報問題. 在進行員工培訓時,請向員工說明,若發現其電腦上有任何可疑活動,務必通知 IT 支援團隊。如此一來,IT 專業人員便能在造成嚴重損害之前,及時應對勒索軟體攻擊。 隨後,請向相關主管機關通報勒索軟體攻擊事件(例如,若您身處美國,則應通報聯邦調查局),並提供有關該事件的所有必要資訊。向主管機關通報有助於防止同一勒索軟體攻擊者日後再次發動攻擊。
- 請勿支付贖金執法機關建議不要屈從於攻擊者的要求,因為這會助長未來更多勒索軟體攻擊的發生。那些想快速牟利的駭客會將您視為未來攻擊的輕鬆目標。此外,在大多數情況下,支付贖金並不能保證攻擊者會如承諾般解鎖或解密資料。請記住,您面對的是只對利益感興趣的罪犯。
- 釐清勒索軟體攻擊的影響. 您應釐清受損的資料量、受攻擊影響的受感染設備數量,以及從攻擊中恢復所需的時間。此外,還需評估無法存取的資料的重要性,並判斷是否能在不支付贖金的情況下恢復資料。
- 從勒索軟體中恢復系統. 在從電腦中移除勒索軟體後,您即可開始進行勒索軟體攻擊的還原作業。
遭勒索軟體加密檔案的還原選項
遭遇勒索軟體攻擊後,有多種資料還原方法。這些方法的有效性會因情況而異。
使用作業系統中的內建工具
如果您使用的是 Windows 10,可以嘗試使用 Windows 系統還原工具,從系統自動建立的還原點中還原系統設定和程式設定。但並非所有資料都能透過此方法還原。現代的勒索軟體可能會停用系統還原功能,並刪除或損毀 Windows 還原點。在這種情況下,此方法將無法奏效。
使用勒索軟體解密工具
如果您已確認勒索軟體的類型和版本,請嘗試尋找安全研究人員提供的解密工具。並非每個勒索軟體版本都有對應的解密工具,而且如今要找到解密工具的情況也越來越少見。
使用軟體來還原已刪除的檔案
如果勒索軟體尚未覆寫磁碟上的檔案,也未將磁碟表面填滿零或隨機資料,您仍有機會還原部分重要資料。掃描磁碟表面需要相當長的時間。還原後的檔案名稱可能會遺失,且其名稱可能會變成 RECOVER0001.JPG, RECOVER0002.JPG等等。
從備份中還原資料
此方法的重點在於,您必須預先做好準備,切勿等到勒索軟體感染您的電腦後才行動。若您在遭受勒索軟體攻擊前尚未建立備份,此方法將無法適用。您需要預先做好準備,並定期備份資料。備份的最佳實踐建議遵循以下 3-2-1 備份法則 並將備份儲存於異地及/或離線環境,以便在遭受勒索軟體攻擊時進行還原。您可以使用雲服務, 磁帶 及/或 不可變備份 專門用於此目的的儲存空間。
建立備份的最佳方式是使用專用的資料保護解決方案,這些解決方案能支援不同類型的工作負載和基礎架構,並讓您能夠落實"3-2-1"備份法則。
其中一種解決方案是 NAKIVO Backup & Replication. NAKIVO 的解決方案 可協助您提升備份效能、確保資料可復原性,並改善勒索軟體攻擊後的還原能力。此解決方案支援實體伺服器、虛擬機器(VMware vSphere、Microsoft Hyper-V、Nutanix AHV)、Amazon EC2 執行個體以及 Microsoft 365 的資料保護。透過此解決方案,您可以:
- 執行基於映像、具應用程式感知能力的增量備份與複製。
- 無需介入原始主機或虛擬機器(VM),即可輕鬆建立備份複製。
- 將備份儲存於遠端站點、公有雲或磁帶中。
- 為基於 Linux 的本地儲存庫或 Amazon S3 雲端儲存庫啟用不可變性。
- 從多種靈活的還原選項中進行選擇,包括即時虛擬機器啟動、 粒度還原 以及實體機器的 P2V 還原,將其轉為 VMware vSphere 虛擬機器。
- 透過將各種動作與條件排列成自動化流程,建立災難還原工作流程。
從勒索軟體攻擊中恢復需要多久時間?
恢復遭勒索軟體加密檔案所需的時間,取決於受感染電腦上受損資料的數量,以及所採用的勒索軟體還原方法。在估算勒索軟體攻擊還原所需的時間時,我們指的是資料還原,以及讓所有系統恢復線上運作並恢復工作負載。
資料還原與工作負載復原所需的時間可能從數天到數月不等。讓我們來看看影響還原時間的主要因素。
- 系統管理員的經驗。資深系統管理員通常針對不同情境制定多套災難還原計畫,並清楚在各種情況下該如何應對。您應制定一份勒索軟體還原計畫,以防範勒索軟體攻擊。
- 使用解密工具進行還原(若您找到適用於特定勒索軟體版本的工具)可能需要很長的時間。如果檔案名稱在加密後也被更改(例如
sLc6-fAl26m.nSeB2而非image001.jpg),在還原後將它們放回正確的目錄中會花費更多時間。您必須遵守正確的檔案與目錄結構,尤其是當這些檔案是應用程式運作所必需時。
- 進行資料備份可縮短檔案與伺服器遭勒索軟體攻擊後的還原時間。在遭受勒索軟體攻擊後,從備份中還原檔案的優勢在於,您能完整還原結構化資料,包括檔案與資料夾名稱及其正確路徑。您只需選擇對應日期與時間的備份,並指定資料的還原目標位置,接著等待資料完成複製與還原即可。
此外,像這樣的備份解決方案 NAKIVO Backup & Replication 仰賴基於映像的技術來擷取虛擬機器和實體機器的備份。這意味著備份會包含作業系統以及與作業系統相關的其他檔案,例如應用程式設定檔和系統狀態,有助於您節省系統恢復運作所需的時間。
- 若未充分測試勒索軟體還原計畫,可能會導致資料還原時間比預期更長。因此,請務必 測試您的還原計畫 以確保您能在適當的時間內取回所需的一切。
請注意,在制定包含勒索軟體災難還原計畫的災難還原策略時,您應考量 RTO 與 RPO 指標。
結論
勒索軟體還原是一項複雜的流程,包含資料還原與工作負載恢復。勒索軟體還原所需的成本與時間,取決於備份策略及針對勒索軟體攻擊的還原措施所做的準備程度。
減輕勒索軟體攻擊所造成問題的主要方法,是採取預防措施並定期備份資料。請遵循"3-2-1"備份法則,並採用不可變動備份儲存,以及能自動化執行任務的可靠資料保護解決方案。
