關於勒索病毒的常見問題 (FAQs)
趨勢科技為客戶建立了一個電腦輔助教學,說明有關勒索病毒的常見問題,如有需要請點選這裡觀看教學。
趨勢科技產品的建議設定
趨勢科技有多個可以使用 Trend Micro™ Smart Protection Network™ 的產品。它可以幫助管理員阻擋來至可疑來源的勒索病毒威脅。對於趨勢科技產品的最新版本以及 Service Pack 和 Critical Patch 請到Trend Micro Download Center下載。
OfficeScan 和 Worry-Free Business Security
這兩種趨勢科技企業端點防護產品都強烈建議開啟 網頁信譽評等服務 和 行為監控功能來防範勒索病毒的威脅。如要開啟這並設定這些功能,請參考下列文章:
- OSCE: Enabling the Ransomware Protection feature in OfficeScan 11.0 SP1
- WFBS: Enabling the Ransomware Protection feature in Worry-Free Business Security 9.0 SP3
- WFBS-SVC: Enabling ransomware protection for Worry-Free Business Security Services (WFBS-SVC)
有關詳細的設定步驟,請參閱以下文章:
- OfficeScan Best Practice Configuration
- Worry-Free Business Security (including Services) Best Practice Configuration
Endpoint Application Control
希望在端點上有額外防護的管理者,例如防止不需要和未知的應用程式 (例如勒索病毒和零時差惡意程式) 執行,可能會設定規則以阻止不受信任的 EXE 檔案。
如果是購買 Trend Micro Smart Protection Suites 方案,則可能已經擁有此產品的授權。如需安裝及設定規則,可參考以下文章:
有關詳細的設定步驟,請參閱文件:Endpoint Application Control Guide。
Deep Security
關於使用 Deep Security 防範勒索病毒可透過下方文章進行設定Ransomware Detection and Prevention in Deep Security.
您還可以下載並更新以下版本來增加 Widgets 的 Ransomware Monitoring:
- Deep Security Manager 9.6 Service Pack (SP) 1 Patch 1 Critical Patch 1 (9.6.4000)
- Deep Security Manager 9.5 Service Pack (SP) 1 Patch 3 Critical Patch 1 (9.5.7200)
更多資訊請參考這篇文章:Adding new widgets for ransomware monitoring in Deep Security Manager (DSM)。
以下文章將說明如何進一步提高對郵件和閘道產品的防護:
- SMEX: Ransomware protection using ScanMail for Exchange (SMEX)
- TMCAS: Enabling the Ransomware Protection feature on Trend Micro Cloud App Security (TMCAS)
- IMSVA: Enabling the Ransomware Protection feature in InterScan Messaging Security Suite (IMSS) or InterScan Messaging Security Virtual Appliance (IMSVA)
- IWSVA: Configuring URL Filtering policy to block Ransomware on InterScan Web Security Virtual Appliance (IWSVA) 6.5 Service Pack 2
參考資料:防護模組介紹
由於電子郵件是攻擊者傳遞勒索病毒的流行媒介,因此也建議阻擋某些非必要的檔案類型(例如執行檔或 Scripts)。管理者可以透過使用真實檔案類型(建議)或特定的附檔名來阻止這種類型的檔案。客戶可以使用下列產品來阻擋電子郵件的附件,要設定這些產品請參閱 Filtering and blocking email attachments using Trend Micro's Messaging products。
- ScanMail for Microsoft Exchange
- Hosted Email Security
- InterScan Messaging Security
巨集病毒是 Microsoft Office 文件和壓縮檔中最常見的感染類型之一。為了提高安全請參閱 configure the macro file scanning option using Trend Micro products。
使用郵件防護產品的用戶建議開啟 Web Reputation Service 和 New-Born URLs handling 功能,以便更有效的防範惡意垃圾郵件。請點選這裡 New-Born URLs handling function查看可使用的產品列表。
有使用 Email Reputation Services 功能的用戶建議開啟 Quick Information List (QIL) 功能並將 IP Reputation 的級別設定為 Level 2。
以下文章將說明如何進一步提高網路產品的防護:
Control Manager (TMCM) 提供了 Ransomware Monitoring 功能,提供了偵測統計資料和受影響使用者的資訊。以下文章將說明 TMCM 所提供的資訊:Checking the information displayed in the Ransomware Prevention sub-page of the TMCM dashboard。
以下文章將說明如何進一步提高對行動裝置的防護,包含適用於 Android 的 Mobile Security 以及 Mobile Security for Enterprise:
預防
被勒索病毒感染的受害者想要還原檔案會是極其痛苦的,所以需要提高使用者的認識和警覺可以在發生不幸的事故中減少受害者的時間和金錢。 預先防範仍是應對這種威脅的最有效方法。
以下是使用者和管理者可以做的預防措施:
- 定期備份重要資料以防發生任何損失 (不僅僅針對勒索病毒)。
- 更新並套用來自作業系統供應商或軟體廠商提供的軟體更新或修復程式。
- 養成良好的瀏覽電子郵件和網站的習慣,僅從可信任的來源下載檔案或點選連結。
- 若使用者有收到可疑的信件或檔案,建議可以提供給管理員確認是否正常。
- 確保您的防護產品有定期更新元件並定期執行掃描。
- 在您的端點使用 Endpoint Application Control 的白名單來阻擋未知和不需要的應用程式。
- 定期對使用者宣導社交工程的危險以及特徵。
趨勢科技將繼續研究及探索這應對這些威脅的新方法,並透過我們的Security Intelligence Blog 和 Online Help提供最新的訊息和建議。
另外,只要您是趨勢科技合法的使用者,有關此通報中提及關於設定的任何問題都可向我們詢問。
可用工具
趨勢科技針對某些勒索病毒家族所加密的檔案開發了一個解密工具。關於解密工具使用及說明,可參閱 Downloading and Using the Trend Micro Ransomware File Decryptor。