Microsoft 助 各 行 各 業 對 抗 勒 索 軟 件
勒索軟件近期在全球各地肆虐,根據美國聯邦調查局互聯網罪案投訴中心的報告顯示,2015年有多達2,453宗涉及勒索軟件的個案,騙取受害者合共接近2,410萬美元。而香港近來數月有關勒索軟件的個案數字也有顯著飇升,其中以Locky最具威脅性。根據香港電腦保安事故協調中心 (HKCERT) 的數字顯示,自2016年2月中開始已接獲逾40宗有關Locky的報告,其中2宗來自企業、30宗來自中小企、2宗來自非政府組織,以及4宗來自個人用戶。為了協助香港以至全球的消費者、學校和機構應付最近的惡意軟件威脅,Microsoft正致力透過其數碼罪案組 (Digital Crimes Unit,簡稱DCU) 進行偵查及深入分析,就綜合出來的數據提供防禦及解決方案。
DCU是一個由律師、調查人員、數據科學家、工程師、分析師以及商界專業人士組成的團隊。團隊成員分布於全球30個國家,跨地域攜手為打擊數碼罪案這場持久戰而不斷努力和革新,銳意建立更安全的數碼世界,讓全球各地的人和企業受惠。DCU發現,全球每秒便有12人成為網絡罪案的受害人,即每日合共有多達100萬受害人。而惡意軟件亦拖累各行各業的生產力和增長,為全球經濟帶來多達3萬億美元損失。
Microsoft 投入更多資源協助用戶防禦網絡攻擊,包括建立更安全技術平台及透過數碼罪案組積極阻截重大網絡威脅
Microsoft香港區域科技長許遵發表示:「我們的目標是要將收集到的惡意軟件數據轉化成各種深入分析,協助我們為地上所有人和機構製造一個更安全的數碼體驗。DCU能有效利用Microsoft的雲端技術及數據分析來偵測及評估威脅,以協助政府機構阻止它們肆虐,從而有效打擊網絡罪案,包括近期的勒索軟件攻擊,而配合Microsoft的技術平台,我們亦能為機構及個人提供最大的保護。」
Locky與其他勒索軟件類似,會透過大量及指定目標垃圾電郵活動傳播,當中有許多是偽裝成虛假發票或付款單據,由受害人的電郵網域、地址簿或不知名的寄件者發出。這些訊息所附帶的.zip檔案內會包含惡意的巨集、JavaScript或其他格式的檔案。勒索軟件也可以透過被入侵網站內的惡意編碼攻擊,將網站的訪客重新導向至其他會將Locky下載到受害人電腦的網站內。
無論是採用哪種方式,受害者的系統或檔案都會被鎖上及加密,並賦予名為「.locky
的副檔名,然後受害者會被要求付款,以取得加密金鑰解鎖數據。受感染的檔案都是使用了強勁的加密演算法,數據幾乎沒有可能進行回復。有很多時候,這些攻擊會被設計成零時差攻擊,用戶的電腦很難只依靠防毒軟件方案偵測及阻止這些攻擊。
香港電腦保安事故協調中心的數據顯示,勒索軟件在香港的主要攻擊對象除了中小型企業和非政府組織外,教育界亦迅速成為另一重災區。
資訊科技教育領袖協會主席黃健威表示:「過去兩個月,我們知悉有超過50宗學校或教師收到勒索軟件電郵的個案,情況更由中小學進一步蔓延至幼稚園,但相信還有許多未報告的個案。當中有10宗在感染後,USB外置硬碟及伺服器內的檔案全被鎖上,甚至出現學校網站被損壞的情況,嚴重影響學校運作。學校往往缺乏資訊科技方面的資源和專業知識應對此等勒索軟件,情況令人擔憂。」
作為業界領袖,Microsoft一直致力帶頭遏止惡意軟件的威脅。Microsoft成立DCU的目的便是要打擊網絡罪案,同時透過公私營合作建立互信,並透過網絡威脅防禦智能技術,鞏固可靠性高雲端服務的可靠性。DCU過往創下不少卓越往績,包括成功瓦解殭屍網絡、惡意軟件散布、DDOS、網上金融詐騙、點擊詐騙以及網上憑證盜竊等網絡罪案。DCU團隊多年來搗破多宗惡意軟件個案,並成功救回數以千萬計連接到超過5千萬互聯網通訊協定位址受感染的裝置。
Microsoft
防範勒索軟件的建議
Microsoft建議用戶採取以下措施,以便有效預防勒索軟件攻擊:
避免點擊由不知名用戶或沒有商業來往的公司所傳送的連結,或開啟他們傳送的附件。敬請務必關上巨集,以防止來自巨集下載的威脅感染閣下的電腦,最好因應個別情況,只開啟可信賴的巨集。用戶亦可以採用釣魚電郵防護工具:Office 365 進階威脅防護 (ATP) 透過零時差惡意程式防護,阻截不安全的電郵附件及連結 。
一旦受到感染,馬上將受感染電腦從網絡上及外置儲存裝置隔離。
定期備份電腦檔案,最好以離線備份方式保存。建議用戶透過可靠的雲端儲存服務,將記錄保留或把文件存檔,例如OneDrive for Business便可讓用戶取回前14天的數據。在選擇雲端服務供應商時,除了要顧及資訊保安之外,用戶更應該考慮到私穩問題,以及供應商會否擅用閣下在雲端上的數據作私人用途。
確保更新電腦上的保安軟件、操作系統 (例如可更新至附設擁有較強保安能力的最新版本Edge瀏覽器的Windows 10操作系統) 及其他軟件。用戶只需要啟動Windows自動更新便可以輕易把所有Microsoft軟件保持更新。當用戶把電腦連接至網絡時,便會自動下載Microsoft的安全更新。
鼓勵企業及學校採用一套強勁的網絡防護生態系統,例如 Windows 10 企業版及教育版,在操作系統中皆內置了嚴格的保安功能,包括設備防護 (Device Guard) 及認證防護 (Credential Guard),以及增強版應用諸如先進威脅分析功能 (Advanced Threat Analysis):
設備防護功能只容許受權的應用程式在系統上運行,而認證防護則採用虛擬化保安功能去隔離機密的數據,只容許已授權的軟件與系統連接,以防止黑客盜取數據及攻擊。
先進威脅分析是一個專屬內建平台,會自動分析、學習及識別身分
異常行為,從而保障企業免受高階針對性攻擊。
採用身份驅動型保安 (identity-driven security) 以及行為分析 (behavioral analysis) 工具:Microsoft Enterprise Mobility Suite (EMS) 是為了保護企業面對多層惡意程式防護而建立的 (身份及存取管理、流動裝置及應用管理,和針對檔案層面的持續資訊保護)。憑藉EMS的機器學習能力,它可以在系統被攻擊或破壞前,透過行為分析辨別出高風險的網絡攻擊。
關於 Microsoft
Microsoft 成立於一九七五年,是領導全球的電腦軟件、服務及解決方案供應商,藉著各種產品和服務協助個人及商業用戶充分發揮潛能。Microsoft Hong Kong於一九九一年在本港成立辦事處。
