近期發生學校、醫院、一般公司、電子公司甚至連資安廠商也遭受勒索軟體攻擊之事件,駭客透過系統管理者電腦進行橫向攻擊。再利用網內其他主機散播勒索軟體加密檔案,導致多主機內的服務中斷與資料被加密。另在醫院受到勒索軟體CrazyHunter之攻擊,目前已知有下列惡意程式名稱:bb.exe、crazyhunter.exe、crazyhunter.sys、zam64.sys、go3.exe與go.exe,提供參考。
面對勒索軟體攻擊,事先預防勝於事後應變,建議各單位除加強資料備份外,亦可建立離線備份,對於單位內各伺服器之安全性也應定期檢視,相關作業系統及自動備份系統安全性更新亦需留意。
在帳號與密碼之安全建議,除定期更換密碼與加強密碼強度外,應避免同一管理者使用同一組密碼同時管理多台伺服器之情形。
[建議措施:](如有發生疑似攻擊或入侵事件,請第一時間向計網中心通報)
- 定期進行系統與防毒軟體的安全性更新,如無法更新應佈署對應的防護措施。切勿安裝來路不明或免費之防毒軟體,避免惡意軟體偽裝衍生風險。
- 建議留意可疑電子郵件,注意郵件來源正確性,勿開啟不明來源之郵件與相關附檔。可掃描郵件及附檔,以偵測和阻擋惡意程式入侵。例如:開啟檔案前可使用防毒軟體掃描郵件附檔,並確認附檔檔案類型,若發現檔案名稱中存在異常字元(如exe.pdf,exe.doc,pdf.zip,lnk,rcs,exe,moc等可執行檔案附檔名的逆排序),請提高警覺。
- 可落實網段切割隔離機制,縮小可能被攻擊的主機數量。
- 強化高權限帳戶的監控措施,如登入次數過多則關閉該帳戶、紀錄登入行為、偵測可疑行為等。
- 採用多因子身分認證機制。
- 對於重要核心系統主機可安裝EDR(EndpointDetectionandResponse)端點偵測與回應的技術服務,可偵測並調查主機和端點上的可疑活動,以期阻擋勒索軟體攻擊。(計網中心同仁請確認PC/NB/Server等裝置已安裝MDR並再次確認運作正常)
- 清明等長期連續假期,請務必將非必要使用之系統(PC或SERVER或NAS)進行關機。
- 定期進行檔案備份,並遵守備份321原則:
(1)資料至少備份3份。
(2)使用2種以上不同的備份媒介。
(3)其中1份備份要存放異地。
(4)確認備份是否可以正常還原並使用
近期資安宣導: