鼎新用戶服務平台

【HR基礎資料庫維護】勒索病毒來襲,薪資考勤資料都被綁架!人資應如何防範?

於2020/06/22 02:43:23

近期全球駭客持續大量攻擊中,各大企業與政府單位伺服器持續遭勒索病毒攻擊,重要資料遭病毒加密鎖定。

鎖定台灣企業攻擊的勒索軟體「ColdLock」,五月初發動多起攻勢,加密企業資料庫

5 月還沒過半,台灣企業接連遭到網路攻擊,先是中油再來是台塑兩大石化公司中鏢,接著半導體封測大廠力成也遇到攻擊事件。這幾次攻擊,還沒有證據顯示是否為同一來源、形式,但恰巧在近期也有一款針對台灣企業攻擊的勒索病毒突然出現,讓人引發聯想。這款針對台灣企業的新勒索病毒,叫做 ColdLock,攻擊行動最初就在 5 月初出現,目前為止已經感染了好幾個組織,似乎會加密受害企業的資料庫和郵件伺服器。

未知抵達媒介

趨勢科技官方表示尚未得知病毒一開始進入潛在受害者網路的抵達媒介。但推測認為攻擊者用某種方法,取得目標 Active Directory 伺服器權限,透過設定群組原則,讓勒索病毒被下載,並且在網域內的電腦執行。

另外,病毒只會在指定日期的下午 12:10 或之後執行,時間還沒到的話就自動休眠 15 秒,像定時炸彈般的設計。

加密之前的預備動作

定時炸彈設定的時間一到,ColdLock 會先中止特定服務,例如資料庫軟體、微軟郵件系統 Exchange,和收信軟體 Outlook 等,防止因檔案拒絕存取可能導致加密失敗的狀況。更恐怖的是,如果中毒的電腦是 Window 10,ColdLock 還會自動停用內建防毒軟體(Microsoft Defender),讓電腦無法偵測和即時回傳遭到攻擊的資訊給微軟。

將檔案通通「鎖起來」

  把服務程式和防毒軟體都關掉之後,接下來病毒會用寫死的 RSA 公鑰進行加密,被鎖上的檔案,會加上「.locked」這個副檔名。等它一切大功告成之後,就會看到下圖這個畫面。

勒贖通知(圖片來源:趨勢科技)

 

桌布也會「順便」更新

被更換的系統桌布(圖片來源:趨勢科技)

 ※ 參考來源:https://buzzorange.com/techorange/2020/05/11/coldlock-ransomware/

 

人資如何因應

案例中可以了解勒索病毒的危害,當資料庫主機或是個人電腦遭到病毒入侵,企業經年累月建立的人事、考勤及薪資等重要資料將遭受重大危害,影響範圍不僅是資料遭到加密、財務及商譽受到損失、甚至影響系統無法正常操作。因此,平時做好防毒軟體更新之外,定期備份資料更顯得重要。

資料備份除了個人電腦的檔案可由人資自行操作之外,資料庫主機的備份通常會是由資訊人員處理。但是,當資料庫主機若是沒有做好定期備份,遭受病毒攻擊的危害導致資料被加密無法恢復時,人資得手動將歷年的人事、考勤及薪資資料全數補齊,若在計薪期間中毒,缺少系統的輔助該如何如期發薪?如此巨大的影響,落實定期備份資料的工作將會是您最好的解毒方案。

然而,資料庫備份的頻率取決於資料遺失的容忍程度,通常建議每天備份,以確保較低的風險。除此之外,提醒您,雞蛋不可放置在同一個籃子裡,異地備份更能做好資料的保障哦

照過來照過來!!!!鼎新HR提供您完善的加值服務

公司沒有專門的資訊人員,或者資訊人員不能接觸到HR資料,HR要如何操作資料庫備份呢?別擔心,鼎新HR提供R資料庫基礎維護的加值服務心動不如馬上行動,在鼎新服務雲管家的我的首頁進入「鼎新雲市場」,搜尋HR基礎資料庫維護可查看相關說明並購買或是立案詢問,服務人員會與您聯繫說明相關功能~

 

 

步驟一:登入服務雲管家,選擇【我的管家】,點選「鼎新雲市場」。

 

步驟二:找到【專業服務】再點選「更多專業服務」

 

步驟三:找到【HR】HR資料庫基礎維護服務,點選進入

 

步驟四:點選【立即購買】後,我們會有人員與您聯繫