👉 歡迎加入T客邦telegram ( https://t.me/TechbangNEWS )
疑隨身碟惹禍
中油公司於5月4日傳出資訊系統遭勒索軟體攻擊,由於中油官方網站已下線,因此主要的官方訊息來源為經濟部發佈的新聞稿。
新聞稿中提到,台灣中油公司因遭受惡意程式攻擊,感染勒索病毒,目前加油站加油部分受影響者為無法使用捷利卡、中油PAY等相關作業,請消費者加油先使用現金及信用卡,其餘生產和供應並未受到影響。
台灣中油指出,資訊系統今天出現操作異常,目前資訊單位已緊急處理中,儘速排除障礙;消費者大部分使用的現金及信用卡交易不受影響,唯牽涉台灣中油內部系統的相關作業如捷利卡、中油PAY等暫停使用,請消費者改用現金或信用卡支付。
由於在截稿前筆者尚未能聯繫到中油的新聞聯絡人,而且根據我們對公務機關的瞭解,就算聯繫上也無法期望得到詳實且具體的回應,因此在這邊僅整理部分網友於Ptt討論區的爆料內容,需要注意的是其真實性有待商確。
根據網友ColeNorris的爆料內容指出,感染源頭為將帶有勒索軟體的隨身碟插入公司電腦,造成各加油站站點機台只要開機或重新開機就會被感染,資料也會被加密鎖定。而根據網友YummyYummy的回覆,表示中油的資訊系統有進行異地備份,因此只要待清查事件後,就能進行重建,有趣的是文中也點名了某間防毒軟體公司。
分析中油公司處置
勒索軟體是種於2015年左右開始盛行的惡意程式,它會將受害電腦中的檔案加密鎖定,讓檔案或電腦無法正常運作,並以高價向受害者兜售解密金鑰,詳細介紹可參考筆者先前撰寫的《勒索軟體解析:技術上真的無法自行救回檔案》一文。
而根據經濟部新聞稿的資訊,中油確實感染勒索軟體,但這種在第一時間就跳出來承認自己就是受害者的行為,無疑是讓攻擊者知道自己「釣到大魚」可以放膽要求高額贖金。反觀先前曾有民眾在感染勒索軟體後,主動聯繫攻擊者表示經濟狀況不好而降低贖金的案例,或許保持低調才是比較好的做法。
不過如果中油有對資訊系統進行異地備份的話,代表可以放棄遭到感染而被鎖定的資料,只需從備份檔還原資料即可,能將傷害降到最低。
如同我們先前也在《微軟:大家不應該向勒索軟體發起者交贖金》一文中,提到Microsoft檢測和響應小組(DART)的高級網路安全顧問奧拉‧彼得斯表示不鼓勵勒索軟體受害者支付任何形式的勒索要求並表示,公司應該建立可靠的備份策略,以利系統能從任何攻擊中恢復過來。
(標題圖片來源:li-penny,本圖採用創用CC姓名標示分享,作者為li-penny)