硬是要学科技新知：面对越来越凶猛的勒索病毒攻击，你应该知道的必备知识最新消息

勒索病毒持续不断地威胁全世界所有资料和档案的安全，演变进化的速度也相当快，从最早期的夹带档案、社交工程手法，到最近更是直接利用操作系统的漏洞强迫感染没能及时修补漏洞的电脑，感染速度越来越快，如果再搭配 0-Day 零时差攻击，如果平时没有做好防范，几乎完全没有反应时间，就直接栽了。

以下好手整理勒索病毒相关的知识，从浅到深的问题都有，无论你是否受到勒索病毒威胁，这些知识应该都值得你仔细阅读。

什么是勒索病毒？

电脑病毒软件的一种，与传统电脑病毒不同的是勒索病毒通常不直接对系统进行破坏，而是将重要档案 (通常如 Word 文件、多媒体档、数据库档案等) 进行高度加密，并向中毒电脑的使用者索讨高额费用取得解锁用的金钥。

为了督促受害者尽速支付“赎金”，通常勒索病毒会设下时间门槛，越过门槛后可能删除部分档案，或者提高赎金。

档案被加密后有办法解开吗？

勒索病毒为了避免档案被暴力破解，通常使用非常高加密等级的金钥进行加密，几乎没办法破解。加密档案使用的金钥通常被存在远端数据库内，除非远端数据库被骇，否则难以直接夺得金钥进行解锁。

勒索病毒收什么作为赎金？

勒索病毒清一色使用“比特币” (bitcoin) 作为收取赎金的工具。由于比特币具有匿名的特性，虽然交易细节公开可追踪，但由于属于非具名性质交易，要追查到本人并不容易，再加上后来已有相关混币、替代货币的出现，让追查变得更加困难。

怎么支付赎金？

在台湾，全家便利商店的 FamiPort 有比特币代收服务，限额 20,000 元台币内之交易。不过由于不确定勒索病毒是否真能还原档案，不建议支付赎金给骇客团体，以免壮大其声势，助纣为虐。

中了勒索病毒怎么办？

通常勒索病毒会潜伏在电脑中一阵子，等到加密的档案超过一定数量后 (总是要找更多的俘虏) 才跳出讯息进行勒索。但因为高度加密需要大量运算时间，通常不会等全部档案都加密后才通知，因此当你发现中了勒索病毒以后，第一步骤请立即关机 (请勿使用网络传说的自动关机脚本)，并且将硬盘移出原电脑，找一台干净无中毒的电脑先尚未被加密的档案救出。

至于原本的电脑，如果可以从被加密后的档案附档名得知勒索病毒的种类，

勒索病毒可以 "解毒" 吗？

不能，只能透过防毒软件或其他技术避免毒继续蔓延，但已经中毒 (被加密) 的档案仍然没办法取回。

我先将档案压缩加密，就可以防止被勒索病毒加密吗？

不可以。勒索病毒会直接将所有它认得的档案类型进行加密，即便是加密码的 RAR 或 ZIP 等档案还是会加一层密，没有取得勒索病毒加密用的金钥，照样成为废档一个。

云端备份不安全？

人总是对于看不见的东西产生莫名的恐惧，这个思维就是基于这件事而起。即使云端备份系统没办法保证 100% 不受攻击、档案不受损，但几乎都能保证有 99.999% 以上的有效性，甚至存放在 Dropbox 的档案也都经过 256bit 的 AES 加密确保安全，甚至还提供遭勒索病毒加密档案后的救回机制，事实上仍然比一般的备份方式安全。

用现实生活来举例，就像是在路上发生交通事故的比例虽然高出飞机好几倍，但多数的人仍然对于搭飞机有更多的恐惧。

放在云端的档案会被偷！

放在银行保险箱的金饰也会被偷、放在金库内的金条也会被偷，但和放在身上遗失被偷的概率相较起来，这个概率的高低你应该不难分辨。

常见的备份架构

1. 本机备份

最常见的就是“备份到D槽”或随身硬盘，不过因为都是人工作业，不仅每次备份完整性不一，若感染勒索病毒也同样会直接遭病毒将档案加密。因此这个方法只能勉强说“聊胜于无”，实际上对于勒索病毒几乎没有防范之力。

2. 离机备份 (空间大，单位储存成本较低)

将档案备份至其他没有直接连线的电脑或备份设备，通常这类设备也会使用不同的操作系统，以避免同时发生系统安全而沦陷。使用 NAS 可以视为是离机备份的一种，通常如 Synology 的 NAS 会使用专属的操作系统及档案格式 (File System)，避免恶意程式直接对系统攻击。

而NAS 通常也支援磁盘阵列 (RAID)，提高更高的档案可靠性，详细可以参考 RAID 详细说明。

如果没有 NAS，也可以使用多颗硬盘进行备份，但请注意至少要有 2 个以上的备份 (不含原始档案)，才能确保备份档案安全。

3. 云端备份 (最方便)

将档案透过备份软件同步至云端储存空间 (或云端硬盘服务) 如 Dropbox、OneDrive 或 Google 云端硬盘。在一般使用上又以云端硬盘最为方便，自动同步机制也让备份这个动作几乎无感实现，并且具备档案版本管理机制，详细可参考“善用云端硬盘，打造勒索软件也攻破不了的档案保护墙”一文详细说明。

不过还是要提醒一下云端备份虽然稳定性、安全性高，但仍然有发生资安事件的可能，如果是非常重要的资料可以考量先透过 boxcryptor 之类的工具，将档案加密过后再同步至云端硬盘。

什么是“档案版本管理”机制？

在一个完整的档案或文件管理系统里，为了管理及追踪、回复档案的每次变动，都会具备“档案版本管理”机制，每一次档案的变动 (修改/删除/新增) 都会被系统纪录下来，因此你可以从纪录上得知每次档案异动的内容、时间，也可以随时将档案回复至“档案版本管理”机制内的任何一个档案版本。

因为勒索软件在加密档案后，会将原始档案删除并且要求支付高额赎金，因此如果搭配硬盘的档案版本管理，基本上你完全不需要理会勒索病毒，因为就算他把你的档案都删光，你还是可以从云端硬盘轻松的把档案给取回。

▲ 档案多版本管理 (图/Synology 系统截图)

如何做好备份？

这件事情讲200年也不会有人100%做到完美，不过能做多少就尽量做，毕竟资料是自己或公司的重要资产。备份档案通常需要拟定备份策略，不过这名词听起来太假掰，好手这边列举一些原则供大家参考：

养成定期备份的习惯
这是一个必须要有的正确观念，不过....好，我知道这对大部分的人来说和天方夜谭一样，你只要记得这件事情就好，继续往下看吧...
至少要有一个本机以外的备份
鸡蛋不要放在同一个篮子里，同样的，档案也不要放在同一台电脑里。当你将档案放在同一台电脑，就算没有病毒威胁，也有可能因为电脑的硬件故障导致储存装置同时损坏。因此建议必须至少要有一个备份在其他的电脑或储存空间上，分散风险避免一次被意外击沉。
备份目标地必须要有档案版本管理机制
备份的目的除了避免勒索病毒外，也可以避免平常因为人为的疏失造成误删或误改档案，提供一个救回的机会。版本管理机制能保存的档案版本数越多、保存期越长，对档案的保护能力就越高，不过相对也会耗费更多的储存空间。建议至少要保留 6 个以上的历史版本。
定期自动化备份或同步
将工作档案集中在特定资料夹内可以比较方便设定备份，工作档案建议一周至少备份2~3次，全系统建议2~3个月做一次系统快照 (snapshot)，以便发生状况时可以快速还原。档案同步是最方便的备份方式，不过必须要搭配档案版本管理机制使用，否则就不能算是安全的备份方式。