事中-遭受勒索軟體攻擊時的應變措施

更新日期：2023-04-27

1.如何識別遭受勒索軟體攻擊?

受到勒索軟體攻擊，初期特徵是因為對大量檔案做加密運算，所以會發現硬碟、CPU或記憶體使用率會大幅提升。 另外，受影響的檔案通常會被修改副檔名，檔案被加密結束後，在大多數的狀況下，因勒索軟體需要向受害者要求贖金，所以會將勒索訊息顯示在設備螢幕上，亦或是留下相關文件，也會有連絡方式，讓受害者可以與攻擊者溝通付款的議題。 攻擊者甚至可能威脅要在網上發布數據以迫使受害者支付贖金，例如:MAZE 勒索軟體的攻擊者，公佈了 Hammersmith Medicines Research 的醫療檔案以迫使他們支付贖金。

2.應變措施

1. 立即斷開受感染設備與所有網路的連接，無論是有線、無線還是基於行動網路。在非常嚴重的情況下，可考慮關閉 Wi-Fi、禁用任何核心網路連接（包括交換機）以及斷開internet連接。
2. 若系統服務遭受勒索軟體影響而中斷，在確認備援機已與感染網路隔絕，並正常運行後，即可啟動系統備援機制，以維持系統服務不間斷。
3. 依內部通報程序進行通報，啟動相關應變措施。
4. 向就近的派出所報案並提供受駭侵佐證資料(如：資料被加密情形之照片)，或尋求法務部調查局service@mjib.gov.tw / 內政部刑事警察局cib.noransom@cib.npa.gov.tw 尋求協助，並通報TWCERT/CC。
5. 尋求外部資安專業單位協助事件處理。
6. 區段隔離實體網路並監控流量以確認感染範圍。
7. 盤點可能受影響設備，將這些設備進行預防性的隔離，並對這些設備執行防毒軟體掃描。
8. 盤點受影響資料範圍，包括: 設計開發、測試、財務、客戶、供應商、帳號密碼等機敏資料，以備研議資料毀損或外洩之因應措施。
9. 大多數被勒索軟體加密的資料難以被破解，但仍可嘗試透過勒索軟體名稱、副檔名等資訊，檢閱該病毒的類型，在no more ransom project 網站上，尋找可信任資安單位提供的解密工具。
10. 針對未能找到解密工具的檔案，可以先將這些檔案備份到安全的地方，當未來出現解密工具時就可以使用。
11. 將系統日誌檔進行備份，交由外部資安團隊進行分析，可以了解事件發生原因，進行降低二次感染的機會。