近期发生学校与医院遭受勒索软件攻击之事件，骇客透过系统管理者电脑进行横向攻击。再利用网内其他主机散播勒索软件加密档案，导致多主机内的服务中断与资料被加密。另在医院受到勒索软件Crazy Hunter之攻击，目前已知有下列恶意程式名称: bb.exe、crazyhunter.exe、crazyhunter.sys、zam64.sys、go3.exe与go.exe，提供参考。

面对勒索软件攻击，事先预防胜于事后应变，建议各单位除加强资料备份外，亦可建立离线备份，对于单位内各服务器之安全性也应定期检视，相关作业系统及自动备份系统安全性更新亦需留意。

在帐号与密码之安全建议，除定期更换密码与加强密码强度外，应避免同一管理者使用同一组密码同时管理多台服务器之情形。

情资分享等级: WHITE(情资内容为可公开揭露之资讯)

此讯息仅发送到「区县市网络中心」，烦请贵单位协助转发与通知辖下各单位知悉。

全

1. 定期进行系统与防毒软件的安全性更新，如无法更新应布署对应的防护措施。

2. 建议留意可疑电子邮件，注意邮件来源正确性，勿开启不明来源之邮件与相关附档。可扫描邮件及附档，以侦测和阻挡恶意程式入侵。例如:开启档案前可使用防毒软件扫描邮件附档，并确认附档档案类型，若发现档案名称中存在异常字符(如exe.pdf, exe.doc, pdf.zip, lnk, rcs, exe, moc等可执行档案附档名的逆排序)，请提高警觉。

3. 可落实网段切割隔离机制，缩小可能被攻击的主机数量。

4. 强化高权限帐户的监控措施，如登入次数过多则关闭该帐户、纪录登入行为、侦测可疑行为等。

5. 采用多因子身分认证机制。

6. 定期进行档案备份，并遵守备份 321 原则 :

   (1) 资料至少备份 3 份

   (2) 使用 2 种以上不同的备份媒介

   (3) 其中 1 份备份要存放异地 。

7.  对于重要核心系统主机可安装EDR (Endpoint Detection and Response)端点侦测与回应的技术服务，可侦测并调查主机和端点上的可疑活动，以期阻挡勒索软件攻击。