勒索軟體事件應變 Playbook：感染後 72 小時行動指南

前言：遭受攻擊後的每一分鐘都至關重要

勒索軟體爆發的第一個小時往往決定了企業復原的成本與速度。研究顯示，從發現感染到完成全面隔離，平均需要 4.5 小時——而在這段時間內，攻擊者的加密程序可能已橫向擴散至數十台伺服器。本篇 Playbook 以 72 小時為框架，提供逐步驟的應變行動指引，協助企業 IT 團隊在高壓情境下做出正確決策。

一、前 30 分鐘：黃金隔離窗口

感染初期是阻止勒索軟體擴散的最佳時機。攻擊者在完成加密前通常會進行橫向移動，因此快速切斷網路連線是第一優先。

立即執行的三項動作

• 中斷感染端點的網路連線：實體拔除網路線，或透過交換器管理介面立即停用對應的埠口（Port）。若是無線設備，強制將其從 AP 踢除。不要只是關閉 Windows 防火牆——這無法阻止已在記憶體中執行的惡意程式。
• 停止所有備份同步工作：立即暫停雲端同步（OneDrive、Google Drive、Dropbox）與本地備份排程。勒索軟體會主動嘗試加密備份目的地，若備份正在同步中，乾淨版本可能被覆蓋為加密版本。
• 立即通知 IT 主管與資安負責人：啟動緊急通訊樹（Emergency Contact Tree）。確保決策鏈上的人都被通知到，包括 CIO、CISO 及法務代表。使用備用通訊管道（例如個人手機），因為公司郵件系統可能已受影響。

評估初始受感染範圍

在隔離感染端點後，初步評估哪些系統可能已連帶受影響。詢問使用者：是否有其他人反映檔案無法開啟或副檔名異常？共用資料夾上的檔案是否出現加密跡象？

二、第 1-4 小時：確認範圍與保全證據

隔離完成後，下一個任務是確認攻擊範圍，同時保全鑑識證據——這對後續的根因調查與保險理賠都極為重要。

使用 EDR 查看橫向移動足跡

若企業已部署 EDR（端點偵測與回應）系統，此時是發揮其最大價值的時刻：

• 查看感染端點在過去 24-72 小時的程序執行歷史，找出初始惡意程式的執行時間點
• 追蹤橫向移動跡象：異常的 SMB 連線、PsExec 工具使用、WMI 遠端執行
• 確認哪些伺服器與工作站曾與感染主機有過網路通訊
• 匯出完整的事件時間軸（Timeline），作為鑑識報告的基礎

保留記憶體 Dump

在關機或重啟任何感染系統之前，對仍在運作的感染端點進行記憶體轉存（Memory Dump）。記憶體中可能包含加密金鑰、C&C 伺服器位址等關鍵鑑識資料，一旦關機即永久消失。使用 WinPmem 或 Magnet RAM Capture 等工具完成此步驟。

確認備份完整性

在嘗試任何復原前，必須先確認備份的可用性：

• 檢查備份儲存媒體（NAS、磁帶、雲端）是否已遭加密
• 確認最近的乾淨備份點（Last Known Good Backup）的日期與時間
• 驗證備份檔案的完整性（校驗碼比對）
• 若使用不可變備份（Immutable Backup），確認保護期間內的版本是否完整

三、第 4-24 小時：通報與決策

台灣法規通報義務

依據《資通安全管理法》，特定關鍵基礎設施業者（金融、電信、能源、醫療等）發生資安事件時，須於規定時限內向主管機關通報：

• 一級事件（系統停頓或資料外洩）：發現後 1 小時內通報，72 小時內完成調查報告
• TWCERT/CC（台灣電腦網路危機處理暨協調中心）：電話 02-2358-9030，提供事件應變協助
• 上市櫃公司：若涉及重大資安事件，依資訊揭露規範可能須向主管機關申報
• 個資外洩：若有個人資料外洩，依《個人資料保護法》須通知當事人及主管機關

是否繳納贖金的決策框架

這是最困難的決策之一。以下是系統化的評估框架：

決策前需釐清以下問題：

• 備份可用性：若有完整且未受污染的備份，通常不需考慮繳納贖金
• 業務中斷成本：計算每日業務停擺的財務損失，與贖金金額及支付後的不確定性相比
• 資料敏感性：若攻擊者聲稱已竊取敏感資料並威脅公開（雙重勒索），即使支付贖金也無法保證資料不被外洩
• 法律諮詢：在支付前務必諮詢法律顧問，確認是否涉及制裁風險
• 資安保險：確認保險合約是否涵蓋贖金支付，以及支付程序規定

四、第 24-72 小時：復原啟動

乾淨環境重建

切勿在受污染的環境中直接復原——攻擊者可能留有後門。正確的復原流程應從「乾淨的基礎」開始：

• 使用已驗證的黃金映像（Golden Image）重建作業系統
• 重新安裝所有應用程式軟體，不要從感染環境複製
• 更換所有帳號密碼，特別是服務帳號與特權帳號
• 重新部署 EDR、端點防護與日誌收集代理程式

從最近乾淨備份點還原

確認備份點完整後，按照以下優先順序執行還原：

1. 核心業務系統優先：ERP、會計、生產系統等直接影響營運的系統
2. 通訊系統：Email、內部通訊平台
3. 共用資料：檔案伺服器、共用資料夾
4. 次要系統：非核心的內部工具與服務

每個系統完成還原後，在接回生產網路前應先進行隔離測試，確認無異常行為。

業務連續性計畫啟動

在系統完全復原前，啟動 BCP（業務連續性計畫）以維持最低限度的業務運作：

• 啟用紙本或替代流程處理關鍵業務
• 通知重要客戶與供應商，說明服務中斷情況及預計恢復時程
• 指派專責人員處理客戶查詢與媒體詢問（統一對外發言口徑）

五、72 小時後：根因調查與強化

攻擊向量分析

復原工作告一段落後，必須找出攻擊的入侵點，否則相同事件可能在數週後再次發生：

• 分析郵件伺服器日誌：找出包含惡意附件或連結的釣魚郵件
• 審查 VPN 與 RDP 存取日誌：確認是否有異常的外部連線
• 檢查漏洞利用跡象：對照 CVE 資料庫，確認是否有已知漏洞被利用
• 委託外部資安公司進行獨立鑑識調查，以獲得客觀的根因報告

漏洞修補與系統強化

• 立即修補所有已知高風險漏洞，特別是面向網際網路的系統
• 重新審查並收緊存取控制政策（最小權限原則）
• 強制全面啟用 MFA，特別是 VPN、RDP 與特權帳號
• 實施網路分段，防止未來的橫向移動

Active Directory 密碼全面重設

若 AD 環境曾被攻擊者存取（這在大多數勒索攻擊中是標準手法），必須進行全面的帳號安全重置：

• 重設所有特權帳號（Domain Admin、Enterprise Admin）的密碼
• 重設 KRBTGT 帳號密碼兩次（防止 Golden Ticket 攻擊遺留）
• 稽核所有服務帳號，刪除不必要的帳號
• 強制所有使用者在下次登入時變更密碼

六、事前準備最重要：IRP 計畫與演練

最有效的應變是事前就已準備好的應變。以下是企業應在「平時」完成的準備工作：

IRP（事件應變計畫）文件化

• 定義事件應變小組（IRT）成員、角色與職責
• 建立緊急通訊樹（含備用聯絡方式）
• 制定事件分級標準與升級流程
• 準備離線版的應變手冊（儲存於 USB 隨身碟或印出紙本）
• 與外部資安鑑識公司簽訂預約保留合約（Retainer）

桌上演練（Tabletop Exercise）

每年至少舉辦一次桌上演練，模擬勒索軟體攻擊情境，讓應變小組在沒有系統壓力的情況下演練決策流程。演練應涵蓋技術層面（隔離、備份還原）與管理層面（通報、媒體應對、法律合規）。