前言:勒索攻擊已成為企業最大威脅
勒索軟體(Ransomware)攻擊已從單純的檔案加密演變為「雙重勒索」甚至「三重勒索」——不僅加密資料,還竊取敏感資訊並威脅公開,甚至對受害者的客戶發動 DDoS。根據統計,全球平均贖金金額已超過 150 萬美元,而企業因停機造成的損失更遠超贖金本身。
一、常見攻擊手法
釣魚郵件(Phishing)
超過 70% 的勒索攻擊始於釣魚郵件。攻擊者偽裝成合法寄件者,誘使員工點擊惡意連結或開啟含有巨集的附件。一旦執行,惡意程式會在背景下載勒索軟體主體。
RDP 暴力破解
企業對外開放的 RDP(遠端桌面協定)是攻擊者最愛的入口之一。透過自動化工具嘗試大量帳號密碼組合,成功後即可直接在伺服器上部署勒索軟體。
供應鏈攻擊
攻擊者入侵軟體供應商或 MSP(託管服務商),透過合法的軟體更新管道散播勒索軟體,一次影響數百甚至數千家企業。
漏洞利用
未修補的系統漏洞(特別是 VPN 設備、防火牆、Exchange Server)是攻擊者最快速的入侵途徑。
二、預防策略
端點防護(EDR/XDR)
- 部署具備行為偵測能力的 EDR,不依賴特徵碼比對
- 啟用勒索軟體專用防護功能(如 Honeypot 資料夾偵測)
- 集中管理所有端點,確保策略一致性
郵件安全
- 部署進階威脅防護(ATP)過濾惡意附件與連結
- 啟用 SPF、DKIM、DMARC 防止郵件偽冒
- 定期進行釣魚模擬演練,提升員工警覺
漏洞管理
- 建立定期修補流程:關鍵漏洞 72 小時內修補
- 使用漏洞掃描工具定期盤點暴露面
- 優先修補面向網際網路的服務(VPN、防火牆、Web Server)
存取控制
- 關閉不必要的 RDP 對外存取
- 全面啟用 MFA
- 實施網路分段,限制橫向移動
三、偵測與回應
勒索軟體從入侵到加密的平均潛伏期為 5-14 天。在這段期間內偵測到異常並阻斷,是防止全面爆發的關鍵窗口。
建議偵測機制
- SIEM 集中日誌分析:整合防火牆、AD、端點、郵件日誌,關聯分析異常行為
- 網路流量監控(NDR):偵測異常的大量檔案存取、異常 SMB 流量、C&C 連線
- 特權帳號監控:Admin 帳號的異常登入是勒索攻擊的重要指標
- 檔案系統監控:短時間內大量檔案被修改或重新命名是加密行為的典型特徵
四、備份隔離策略
備份是勒索攻擊後最後的防線,但攻擊者也深知這一點,因此會優先嘗試破壞備份。
- 3-2-1-1 備份法則:3 份備份、2 種媒體、1 份異地、1 份離線(Air-Gapped)
- 不可變備份(Immutable Backup):設定保護期間內備份不可被修改或刪除
- 備份帳號隔離:備份系統使用獨立的管理員帳號,不與 AD 共用
- 定期還原測試:至少每季進行一次備份還原演練,確認 RTO 可達成
五、應變計畫(IR Plan)
事前準備好的應變計畫能在事件發生時大幅縮短反應時間:
- 成立事件應變小組(IRT),明確角色與聯絡方式
- 定義事件分級標準與通報流程
- 準備離線版的應變手冊(攻擊可能癱瘓內部系統)
- 建立與外部資安鑑識公司的預約合約
- 每年至少進行一次桌面演練(Tabletop Exercise)
重點摘要
- 60% 以上勒索軟體透過釣魚郵件入侵,員工教育是第一道防線
- 防禦三層架構:NGFW(網路)+ EDR/XDR(端點)+ 離線備份(資料)
- 不建議付贖金——付款後僅約半數能取回資料,且會被標記為「願意付款」目標
- 有效備份必須是離線或不可竄改的,一般 NAS 備份會跟著被加密——若公司用的是 Synology/QNAP,務必參考 NAS 勒索病毒防護實戰 強化設定
不確定現況或下一步該怎麼做?凱茂資深工程師用實戰經驗,協助您釐清問題、找出最適合貴公司的做法。
預約免費架構盤點 →常見問題
企業如何防止勒索軟體攻擊?
從三個層面防禦:(1) 網路層:次世代防火牆過濾惡意流量、封鎖 RDP 對外暴露;(2) 端點層:部署 EDR/XDR 偵測異常加密行為;(3) 備份層:落實 3-2-1-1 離線備份確保被加密後仍可還原。同時加強員工資安意識訓練,因為 60% 以上的勒索軟體透過釣魚郵件入侵。
中了勒索軟體該怎麼辦?
立即執行:(1) 隔離受感染主機(拔網路線,不要關機);(2) 通知資安團隊或委外廠商;(3) 確認備份是否完整可用;(4) 評估影響範圍;(5) 決定是否報警。不建議付贖金,因為只有約 65% 的案例在付款後真正取回全部資料。
勒索軟體的贖金該不該付?
不建議付贖金。根據統計,付款後只有約 65% 能完整取回資料,且付款會被列入「願意付款」名單,未來遭受二次攻擊的機率更高。正確做法是平時做好離線備份(3-2-1-1 法則),事後靠備份還原,必要時報警處理。
備份可以防勒索軟體嗎?
可以,但必須是離線或不可竄改的備份。一般的網路備份(如 NAS 共用資料夾)會跟著被加密。有效的防勒索備份需符合 3-2-1-1 法則:3 份副本、2 種媒體、1 份異地、1 份離線(air-gapped)或不可變(immutable)。
訂閱 IT 技術電子報
每月精選 IT 趨勢與實務文章,直接送到你的信箱