個人的資料備份和家居NAS成為了犯罪份子的目標,令用戶即使有定期備份文件、相片甚至整個操作系統,仍然有機會一夜之間變得一無所有,不想失去自己的珍貴回憶,就要注意可能面對的風險。
為甚麼個人用戶成為目標?
在不久前的過去,加密勒索程式通常是大企業的頭號敵人,攻擊者聚焦於企業伺服器和資料備份,因為凍結大公司的生產程序或盜取他們的資料和客戶數據庫,通常都伴隨著鉅額賠償,在過去幾年出現過無數類似個案,然而「小市民」卻突然成為了犯罪份子喜愛的目標。原因可能是現代加密勒索不需要人手操作,程式會掃瞄互聯網上的漏洞裝置,一旦發現便對所有資料加密而無需黑客干涉,這意味著單一攻擊者就能輕鬆地攻擊數以千計家居裝置。
其次是因為這種廣泛散播的環境,要求的贖金變得更「相宜」,因為不是要求數百萬元,「只是」數百或千元,很多人會願意支付而不與警方接觸,尤其涉及家族照片、醫療記錄、銀行文件和其他個人檔案,黑客就是以「集腋成裘」的方法獲得可觀的利潤。最後一個原因自然是家居裝置沒有企業網絡的嚴密防護,很多路由器仍然在使用出廠設定,也有很多人把NAS向互聯網公開。
個人備份如何被攻擊
家居NAS裝置經常被稱為個人雲端,其實是一台微型電腦執行特化的Linux或FreeBSD為基本的操作系統,配合一個或多個大容量硬盤,然後儲存裝置連接著路由器,令檔案能被家庭網絡中任何裝置存取,甚至可以設定成可透過互聯網進行遙距存取,很多用戶購買NAS專門為家庭備份而設,只讓家庭成員存取,以為是極安全儲存數碼資料的方法。事實上這些儲存裝置已成為加密勒索組織的頭號目標,黑客可透過已知的安全漏洞輕鬆入侵,又或者直接暴力破解弱的密碼組合,在過去5年間,很多大型加密勒索攻擊針對家居QNAP、Snology和Austor的NAS。
針對NAS並非黑客取得你的檔案的唯一方法,第二種方法是通過社交工程,誘騙受害者自己行惡意程式,隨著25年的AI熱潮,騙徒設立惡意網站散播假的ChatGPT安裝程式,以免費高級訂閱作為誘餌,其實是下載和執行加密勒索程式。
加密勒索程式的目標
一旦惡意程式成功滲透系統,便會開始勘察環境並鏟除任何令用戶可不支付贖金回復資料的方法。
- 清除Windows磁碟區陰影複製,Volume Shadow Copy Service是Windows內建的功能,可以快速復原檔案,刪除這些資料令它無法簡單復原檔案的舊版本。
- 掃瞄連接的磁碟,如果有外置硬盤長期連接電腦,加密勒索程式也會把它同時加密。
- 搜尋網絡資料夾,如果家用雲端設定成網絡磁碟機,惡意程式便會沿著路徑進行攻擊。
- 檢查雲端同步客端,如Dropbox、Google Drive或iCloud for Windows會與電腦保持同步資料夾,加密勒索程式會加密這些資料,而雲端服務會「幫忙」把加密的版本上傳至雲端。
備份的黃金法則
經典的備份3-2-1法則是指3份資料複製,原版加兩份備份,2種不同媒體種類,例如電腦和外置硬盤,1份複製在不同位置,例如雲端或其他地方。然而這法則是加密勒索程式的產物,現代需要更新一個重要條件,其他複製需要在被攻擊時完全隔離於互聯網和用戶電腦,例如定期備份到外置硬盤,一旦完成後便把它拔除物理連線。
不幸被加密的處理
先不要驚慌,查看免費加密勒索程式解密工具的網頁,當中一系列的解密工具可能協助到你奪回自己的資料而無需支付贖金。
保護自己的備份
- 不要長期讓外置硬盤連線,只在複製檔案時連線,然後立即拔線。
- 設定自動雲端備份,但確保你的雲端服務供應商保持舊版本至少30天。
- 嚴守3-2-1法則
- 切斷網絡儲存的互聯網存取,如果有家居網絡磁碟機,確保它無法經由互聯網無需密碼地存取(密碼也不應該是「admin」),關閉所有不需要的遙距存取功能,保持韌體更新。
- 盡可能保持更新,大部份攻擊使用已知的安全漏洞早已推出補丁,路由器、NAS和電腦開啟自動更新,只需幾分鐘就能堵塞已佑安全漏洞。
- 遠解「免費」的付費軟件,假安裝工具經常偽裝成破解軟件、遊戲作弊,其實是散播加密勒索程式。
- 使用Windows版的Kaspersky用戶可啟動System Watcher,有效追蹤加密勒索威脅,不但攔截更復原已造成的傷害。
- 備份身份驗證應用程式
- 測試備份,每數個月隨機復原檔案,以防備份檔案破損或其他狀況導至無法復原。
資料來源:Kaspersky Blog
