勒索病毒肆虐150國 會計師提醒企業「這7步驟」救電腦
▲「WannaCry勒索病毒」示意圖。(圖/翻攝MalwareHunterTeam推特)
這兩天引起全球恐慌的電腦病毒「WannaCry勒索病毒」,目前已造成超過150個國家,200,000部電腦遭到感染,許多國際大型機構,包括英國的醫院及西班牙電信商Telefonica、美國聯邦快遞(FedEx)、德國鐵路(Deutsche Bahn)、法國雷諾汽車及俄國第2大行動電話商Megafon等接受到影響。
資誠企業管理顧問股份有限公司執行董事張晉瑞表示,WannaCry所攻擊的微軟作業系統弱點,並不是零時差漏洞(zero-day flaw),微軟早在兩個月前就已發佈了重大的安全性更新MS17-010,用於修補SMB Server中的漏洞;然而,許多企業講求穩定就好,對於各種漏洞的修補採取非常保守的態度,擔心漏洞修補會影響系統的穩定性,故寧可築高防火牆、加強各種資安設備的管控,卻不願意將漏洞修補好,因此造成此次攻擊病毒得以肆虐全球。
KPMG安侯企管公司數位科技安全服務協理邱述琛提到,若不幸發生遭到勒索軟體綁架時,可參考以下的緊急應變SOP:一、拔:企業內使用者應先拔除網路線並進行檢查,避免勒索軟體利用內部網路進行擴散與感染二、觀:未遭到勒索前,可以按 Ctrl+Atl+Del 呼叫程式管理員,觀察有否異常的程式一直佔用 CPU 資源,或電腦出現附名 .WCRY 的檔案三、報:使用者發現遭受感染時應於第一時間依程序進行通報四、停:資訊人員接獲通報立即停止受害者網路帳號與使用電腦連網能力五、救:資訊人員取出受害者硬碟,並接入另外一臺未連網電腦進行搶救與調查六、查:資訊人員立即清查受害者帳號權限與本機及網路感染狀況七、控:資訊人員隨時由資安監控系統(如SOC等)、網路防禦設備(如IPS、Firewall等)之監控紀錄偵測異常事件,避免損失擴大
張晉瑞也強調,依賴外部資安廠商更新資安防護設備的防禦規則、更新病毒碼或黑名單等,根本無法抵抗日新月異的攻擊,企業應從根本做起,定期更新微軟釋出的修補程式,關注各資安組織發佈的資安漏洞及修補建議,才能防患於未然。