保護 OneDrive 免受勒索軟體侵害的策略
許多使用者將 OneDrive 視為雲端備份儲存空間。他們往往認為儲存在 OneDrive 中的檔案不會遺失或損毀。換句話說,有些人相信儲存在公有雲中的檔案不會受到勒索軟體的侵害,這與儲存在本地電腦硬碟或內部伺服器上的檔案不同。但這並非完全正確! 儲存在 OneDrive 中的檔案仍可能遭受勒索軟體攻擊、被加密,進而導致資料遺失。
勒索軟體攻擊的盛行程度逐年攀升。然而,只要遵循建議並遵守安全政策,即使將資料儲存在 OneDrive 中,也能確保資料安全。這篇部落格文章將探討保護 OneDrive 資料的策略,並說明如何防範勒索軟體攻擊。
關於 OneDrive 與勒索軟體
勒索軟體會感染 OneDrive 嗎?是的,在以下情況下,儲存於 OneDrive 的檔案可能會遭到勒索軟體感染並加密:
- OneDrive 會掛載至本機電腦上的某個本機資料夾,而儲存於 OneDrive 中的檔案會與對應的本機資料夾進行同步。若本機電腦遭到勒索軟體感染,勒索軟體便會加密所有可存取的檔案,包括儲存於與 OneDrive 同步之資料夾中的檔案。 因此,若您透過網頁介面存取 OneDrive,將會看到已加密(換言之,已損毀)的檔案。勒索軟體可能會先開始加密 OneDrive,隨後再加密其他磁碟機以及所有可存取的儲存位置。
- 如果攻擊者取得您的登入憑證,您的使用者帳戶中可存取的檔案可能會遭到勒索軟體加密。
- 點擊網路釣魚連結會導致受害者的電腦下載並執行病毒、惡意軟體及勒索軟體。勒索軟體會破壞其存取到的檔案。
- 要求您授予存取 OneDrive 權限的惡意附加元件和擴充功能非常危險,可能會成為勒索軟體感染的入侵途徑。安裝前請仔細閱讀附加元件和擴充功能的說明,並確認供應商資訊。
OneDrive 有多安全?OneDrive 是否安全?OneDrive 的安全性如何?這些問題在 Microsoft 365 的新使用者中相當常見。OneDrive 具備足夠的安全性。不過,您應該了解如何防範勒索軟體攻擊、遵循安全建議,並知道若發現 OneDrive 遭駭時該如何應對。微軟推出了一項新的內建勒索軟體偵測特點,可偵測到 OneDrive 中儲存的檔案遭大量刪除或加密等可疑活動。 系統會透過使用者裝置上的警示訊息及 email 通知使用者,並顯示一系列建議措施。但您真正希望的是避免 OneDrive 遭勒索軟體破壞檔案。請閱讀本部落格文章的下一節,了解如何保護資料夾免受勒索軟體侵害。
如何保護 OneDrive 免受勒索軟體攻擊
在本節中,我將說明如何防範勒索軟體,並為 OneDrive 制定勒索軟體防護策略。遵循這些建議,可降低感染勒索軟體及資料遺失的風險。
保護憑證
保護 Microsoft 365 管理員帳戶的憑證。攻擊者若竊取管理員的憑證,便能竊取並破壞組織中儲存於 OneDrive 儲存空間的所有資料(包括組織內所有使用者的資料)。
保護使用者的憑證。攻擊者若竊取使用者帳戶,便能存取其個人資料與共用資料、散佈勒索軟體,並感染檔案。 當儲存於共用 OneDrive 儲存空間的檔案遭到感染時,存取該共用儲存空間的其他使用者也可能受到感染。
啟用雙因素驗證。Microsoft 365 支援多因素驗證。此額外的安全步驟可協助使用者保護其帳戶,防止帳戶遭入侵及憑證被竊。建議您使用多因素驗證或兩步驟驗證來保護具有管理權限的 Microsoft 365 帳戶。以下是一篇關於 Microsoft 365 的雙因素驗證.
保護每台電腦
保護貴組織內的電腦。安裝並設定防毒及反惡意軟體。遵循此建議可降低勒索軟體感染使用者電腦,以及感染這些電腦上同步的 OneDrive 資料夾(即映射至本機資料夾的 OneDrive 儲存空間)中儲存之檔案的風險。請勿忽略伺服器與虛擬機器。
阻止執行儲存於 %appdata%, %localappdata%. 預設情況下,Windows 中的應用程式會使用這些目錄來儲存資料。暫存檔和下載的資料通常會有其位置。當勒索軟體檔案被下載時,它們可能會偽裝並隱藏在這些資料夾中,隨後被執行。
請在 Microsoft Office 文件中停用巨集。巨集在商務任務中鮮少被使用,但卻是引發嚴重問題的根源。 一種廣泛使用的感染手法是散佈含有惡意巨集的文件,這些巨集會發動勒索軟體攻擊來感染電腦,並透過網路擴散以感染其他電腦。
更新軟體並安裝安全性修補程式,以修復已知的軟體漏洞,這些漏洞可能被勒索軟體利用來入侵並感染系統。您可以啟用 Windows 及應用程式的自動軟體更新功能。若您的安全性設定不完善,攻擊者便可能利用未修補的軟體漏洞發動勒索軟體攻擊。這就是為什麼安裝修補程式至關重要。
教育使用者
教育使用者識別釣魚攻擊。攻擊者往往假設使用者缺乏經驗,認為他們會下載所有email附件、開啟檔案,並點擊所有連結。我們的任務是向使用者說明威脅,並教導他們如何辨識可疑內容。
最常見的勒索軟體攻擊途徑是向使用者發送釣魚email。 惡意連結通常偽裝成合法連結,但實際上會將使用者導向下載並安裝勒索軟體的頁面。請將滑鼠懸停在連結上,並檢查網址中的拼寫。即使只有一個字元錯誤,也請避免點擊該連結。與連結類似,寄件者的email地址也可能遭到偽造。如果您不認識寄件者,且不希望收到該寄件者的任何訊息,最好直接跳過或拒收來自該寄件者的email。 請勿下載或開啟email附件。請謹記開啟含有巨集的 Word/Excel 文件所帶來的威脅。
email中的惡意連結與偽造網頁極具危險性。攻擊者可能建立偽造網頁,並透過email發送連結引導使用者至這些偽造頁面。偽造頁面看似與原始頁面無異,但點擊頁面上的元素或輸入憑證,可能導致帳戶遭竊或感染勒索軟體。
即使網站網址真實且合法,也請注意攻擊者可能駭入網站並在該網站植入惡意程式。造訪此類網站後,使用者可能遭勒索軟體感染。在此情況下,保持最新版本的優質防毒軟體可防止感染。
攻擊者可能利用社會工程學技巧,並在email中使用"緊急"、"重要"等標籤,迫使受害者倉促行事,並使其注意力從檢查內容上轉移。 收到來自 Skype 及其他服務的訊息時請務必謹慎。請謹記,攻擊者可能駭入使用者帳戶並冒用該使用者身分發送訊息。雖然此情況下使用者帳戶是真實的,但從遭駭帳戶發送的連結或檔案仍可能構成威脅。
當使用者經過訓練能辨識可疑內容時,透過釣魚 email 發動的勒索軟體攻擊風險將大幅降低。預防 OneDrive 勒索軟體攻擊,總比事後恢復受損檔案來得更好。
使用email防護系統
使用 Exchange Online Protection。此 Microsoft 365 原生工具可讓您設定額外的防護篩選器,例如安全連結篩選器和安全附件篩選器。
設定反釣魚政策。 Exchange Online Protection 能夠識別可信發件人、可疑發件人、構成威脅的附件,以及偽造和惡意連結至受感染網站的連結。您可在設定中封鎖偽造發件人及不需要的 email。
封鎖附件中的主動內容,例如 Word/Excel 文件中的巨集、VBScript 及 JavaScript。閱讀相關部落格文章 Exchange Online Protection 如需瞭解此特點的更多資訊。
使用雲端防護系統
請在您的 Microsoft 365 環境中啟用 Microsoft 365 Defender。Microsoft 365 Defender 是 Office 365 的新名稱 進階威脅防護 (Microsoft Defender for Office 365)。此特點可協助您降低組織內 Microsoft 365 使用者遭受勒索軟體感染的風險。Microsoft 365 Defender 的主要特點包括智慧型威脅偵測、自動化調查,以及針對複雜勒索軟體攻擊的整合式防護。您可在 Microsoft 365 安全性中心中設定 Microsoft 365 Defender。當使用者接受相關教育訓練且啟用智慧型軟體後,防護層級將大幅提升。
使用版本控制
請在 OneDrive 設定中啟用版本控制(版本歷史紀錄)。若勒索軟體加密了儲存於 OneDrive 中的物件,僅會加密檔案的最新版本。您可以選擇較早的檔案版本,並還原所需的檔案。請務必記住,在進行檔案還原之前,應先從受感染的電腦中移除勒索軟體,以免檔案再次遭到加密。 請注意,透過還原先前檔案版本來恢復數千個檔案相當耗時,在此情況下,建立完善的 OneDrive 備份將能為您節省時間與資源。OneDrive 的版本歷史記錄功能,可讓您將儲存於 OneDrive 的檔案還原至過去 30 天內任何一個版本。請檢查 OneDrive 針對已刪除檔案(儲存於資源回收筒中的檔案)的保留設定。
設定保留原則。Microsoft 365 保存政策 請指定資料在刪除後會保留多久,之後才會被永久刪除。請注意,將保留的資料儲存於雲端會佔用儲存空間,這可能會產生額外費用。
備份儲存於 OneDrive 中的資料
備份儲存於 OneDrive 中的資料。上述部分選項可能並非適用於所有 Microsoft 365 訂閱方案,且很可能僅限於頂級訂閱方案。Microsoft 允許您在資料遺失事件發生後兩週內申請支援並還原 Office 365 雲端儲存中的所有資料,但並無細粒度還原選項,您亦無法選擇需要還原的特定物件。
請將備份儲存於雲端或本地端的安穩位置。 備份儲存庫必須受到妥善保護,且不得與其他使用者共用(僅限備份軟體及管理員可存取)。
備份資料 NAKIVO Backup & Replication
使用 NAKIVO Backup & Replication 以保護 OneDrive。 NAKIVO Backup & Replication 支援 Microsoft 365 備份 資料,包括儲存於 OneDrive、Exchange Online 及 SharePoint Online 中的資料。您可以備份 OneDrive 資料並建立最多 4,000 個還原點,日後可透過這些還原點還原所需的檔案版本。細粒度還原功能讓您能將使用者的特定檔案和資料夾還原至原始位置或自訂位置。一個實例的 NAKIVO Backup & Replication 可保護數千個 Office 365 使用者帳戶。OneDrive 資料會備份至儲存於本地伺服器上的內部備份儲存庫。設定作業可透過直覺式的網頁介面進行。
閱讀更多關於 勒索軟體還原, 勒索軟體 針對 NAS設備的攻擊 欲進一步了解運作原理及勒索軟體防護措施。
如何恢復 OneDrive 檔案
如果您的檔案遭到勒索軟體加密,切勿支付贖金。支付贖金會鼓勵攻擊者發動更多攻擊以獲取更多金錢。即使支付贖金,也無法保證您能完全或部分取回檔案。若您發現 OneDrive 檔案在勒索軟體攻擊後遭到加密,應使用 Microsoft 原生工具或透過第三方資料保護軟體從備份中恢復資料。
首先,請移除組織內所有電腦上安裝的勒索軟體。若您組織中的使用者帳戶已啟用 Microsoft 365 原生特點,請從 OneDrive 的舊版本或資源回收筒(包括第二級資源回收筒)中還原檔案。若您有備份,請從備份中還原資料。
進一步了解 OneDrive 的備份與還原 NAKIVO Backup & Replication 在 這篇部落格文章.
結論
這篇部落格文章探討了保護 OneDrive 免受勒索軟體攻擊的策略,並提供了一些高層次的建議,有助於您預防 OneDrive 遭受勒索軟體攻擊。 您應從技術層面保護資料——為所有裝置上使用的軟體設定安全設定,並設定資料備份。此外,您還應教育使用者如何辨識潛在的勒索軟體攻擊企圖,因為攻擊者通常會利用幾種常見手法,透過一般使用者發動 OneDrive 勒索軟體攻擊。若勒索軟體損毀您的檔案,
備份是還原資料最可靠的方法。請使用 NAKIVO Backup & Replication 以保護您儲存在 OneDrive 中的資料。
