中了勒索病毒后的处置七准则

现阶段，大多数的加密勒索软件都是透过钓鱼邮件入侵，若使用者风险意识不够，就很可能受害，导致档案无法存取。

从大多数的加密勒索病毒的执行过程来看，一般都是会向远程遥控C&C主机取得加密密钥，再暗中加密受害计算机中的档案，像是先使用AES加密档案，再用非对称密钥RSA加密来将AES密钥加密，且密钥长度是2048位，使用户难以用暴力方式解开加密，因为即便用超级计算机，都要运算个好几十年才能达到目的。

当用户计算机中的重要档案，像是Word、Excel、PowerPoint、PDF、JPG档，等近百种常见文件格式，都被恶意加密后。加密勒索病毒就会跳出要求付赎金的勒索讯息，并限期在很短时间内（像是5天）就要给付，否则销毁密钥，让用户再也无法解开档案。同时，勒索给付方式上，为了更隐匿踪迹，会要求以比特币等金融机制来给付，才能取得解密密钥。

当用户看到勒索讯息时，同时也会发现，无法开启被加密的档案，文本文件即便开启，也会是乱码显示。而且，新的变种加密勒索软件，甚至连文件名也能加密，这将使用户无法分辨哪些档案无法使用，可能更影响用户心理状态，让用户焦虑而顺从付款。CryptoWall是2015年最著名的加密勒索软件在被害用户的计算机上，看到屏幕上自动跳出的勒索讯息才知道受害，但这时计算机里的档案都被加密，无法正常开启，而且还是采用超高等级的2048位加密技术，用超级计算机都要花上不少时间才能解开，因此档案都无法再开启使用。

加密勒索紧急应变之道

遭受加密勒索软件入侵后，真的没有办法破解吗？是的，大部分的加密勒索软件，若都是经由2,048位RSA和AES加密，几乎已经不可能自行暴力破解救回调案。

另一方面，从防毒厂商趋势的统计资料看出，中小企业为受害对象的比例明显增加，一旦中小企业真的面临这种加密勒索威胁时，该如何面对与解决呢？

 处置准则1  中断网络联机

最近，网络上有不少人询问，中了勒索软件该怎么办的讯息。防毒厂商趋势、赛门铁克等专家的建议都是，先中断该台电脑的网络联机，避免灾情可能扩大，这是最简单易做的处理方式，虽然大多数使用者意识到被加密勒索软件绑架时，通常灾害也已经发生了，但将受害主机隔离这个步骤，仍是不可少的首要处置动作。

档案无法使用，用户心急是一定的，公司负责IT相关工作的人员，可以先尝试了解当事人使用情况，像是是否点选可疑的电子邮件，浏览了哪些网站，即便使用者不太记得，但也算是多一些参考的信息。请记得，沟通需要多点耐性，并安抚中毒计算机的用户，而不是一味指责。

 处置准则2  即刻发现，应立马关机

若是用户能够实时发现，自己计算机中的档案正在被恶意软件加密，这时首要的动作是关机，立刻持续按压电源键，强迫计算机进行关机动作。之后可将该台电脑的硬盘取出或使用U盘PE系统，透过外接方式将其中的未被加密的档案保存下来。他们也实际这么做过，结果成功防止其他档案继续被加密。但也要提醒大家的是，过程中千万不能去点选那些已经被加密的受害档案。

 处置准则3  紧急培训、清查不可少

就这次我们访问的防毒、安全厂商等，在他们所接触到的例子中，大多数加密勒索病毒的感染途径，都是经由钓鱼邮件入侵。

因此，在状况发生的当下，负责IT相关的人员也要立即跟其他部门或同事培训，提升大家的警觉性，并一一检视各台电脑是否也有受害，并通知所有同仁有状况立即回报。

甚至，IT人员自行寄送可疑邮件的测试方式，了解是否还有同事没有提高警觉，以便能针对进行教育训练，像是教导他们可疑邮件的分辨方式，提醒不要乱点标题耸动的信件，避免点入可疑链接，内文中有乱码或英文显示的要特别注意，应多仔细检查邮件内容。

 处置准则4  评估灾情

评估灾情是相当必要的一点，知道哪些资料被加密了，才能了解企业损失范围与严重性，同时也要清查这些档案是否有备份，是否能够将档案复原。

万幸的是，现在也有一些防毒、网络与资安等厂商，例如卡巴斯基、Cisco、Bitdefender与Fireeye，已经针对加密勒索软件推出解密工具与网站，像是中了CoinVault、Bitcryptor、TeslaCrypt、Linux.Encoder.1与CryptoLocker的受害用户，就有机会能将档案解密。尽管，这些工具并不一定保证可以复原档案，但总是多个机会。然而，要注意的是，也不要病急乱投医，找到假的解密网站，使用户再次受害。

 处置准则5 系统重装，但软件防护要更注意

若是灾情不大，没有太多重要档案被加密，或是都有安全备份可以将档案复原，仅有部分资料需重建，此时，多半使用者会选择将被感染的计算机硬盘格式化，重装系统，让计算机回复成干净的原始状态。

然而，最好在重装前，也清查受害计算机本身的预防措施，像是Windows操作系统是否安装更新程序，是否安装防病毒软件，防病毒软件的防护功能是否全部都开启。因为，除了已知病毒的防护，还要提升未知病毒与最新攻击的防护力。而且，多数企业防病毒软件在预设上，通常不会将功能全开，主要是这会影响效能，虽然这样提供用户选择的弹性，但无形中也产升一些风险，因为并不是每个用户能自己衡量并注意。其他还需要留意的像是Java、Adobe Flash、IE浏览器等，有没有更新到最新版本。

这有助于了解受害当时计算机本身的风险与状态，也期望避免该计算机与其他公司计算机，因为同样的漏洞而再感染。

 处置准则6 保存现场状况，请求支持

如果想找防毒、安全专家进一步协助，他们也都有提供产品的售后服务，请他们协助了解受害情况也是一种方式。同时，记得也要保存一台受害主机，以便提供分析环境。

至于是否需要留下当成证据，期待未来能够成为求偿的物证，目前并没有很好的答案，因为勒索软件的犯罪侦查有其专业及复杂性，对于一般企业似乎难有即刻的效益。

不过，像是国外FBI探员也曾表示，他们也很希望能收集勒索诈骗的讯息，并希望能够及时了解这些诈骗的不断发展。

 处置准则7  没有办法中的办法：付赎金

该不该付赎金，是让多数受害用户两难的问题。基本上，各方面专家的回答都是不建议的，因为这将助长犯罪，更让恶意黑客为所欲为。

但实际上，企业若是评估灾情后，发现影响甚大，有许多重要文件损失，在没有任何有效办法的情形下，若只要花不多的金钱就有机会取回，使用者很可能就会买单。但要注意的是，付了款，不一定就能拿到解密密钥。

在现实生活中，勒索行为已经触及刑法范畴，只是，网络勒索犯罪都是跨国的事件，加上匿踪手段高，难以追查，多数人的普遍认知，也都了解这种加密勒索难以追查、破解，因此普遍专家也都没有针对报警、备案一事给出明确响应，即便美国FBI探员也在有提及，花钱消灾是解密数据的最快方法。这也显示加密勒索威胁的恶劣，需艰难面对。