勒索軟件急救指南：發現勒索信後，應該立即關機還是保留現場進行取證？

衝擊發生的那一刻

當你登入伺服器，看到 IT 管理員最恐懼的畫面：桌面上出現一個名為 "README_DECRYPT.txt" 的文字檔案，背景桌布被換成了一張宣告你的數據已被加密的警告信。

你的心沉了下去。你的第一直覺是什麼？伸向電源鍵拔掉插頭。你想停止加密過程。你想在病毒蔓延到整個網絡之前「殺死」它。

但在你拔掉電源之前，請稍等。你接下來 60 秒的決定，將直接影響你的數據是能失而復得，還是永遠消失。在勒索軟件應急響應（Incident Response）的世界中，「拔掉電源」的直覺反應往往是 IT 團隊能犯下的最大錯誤。

1. 焦慮的現實：為什麼「強行關機」往往適得其反

關掉一切似乎符合邏輯，但現代勒索軟件的設計正是為了懲罰這種行為。以下是強行關機可能導致災難的原因：

--- 遺失內存（RAM）中的關鍵證據：勒索軟件運行在伺服器的隨機存取記憶體（RAM）中。內存是易失性的，一旦斷電，其中的內容會立即消失。這包括了可能正浮動在內存中的加密金鑰（Encryption Keys）。取證專家有時可以從內存中「刮取」這些金鑰，從而無需支付贖金即可解密文件。一旦關機，金鑰就徹底消失了。
--- 觸發「自殺開關」：一些先進的勒索軟件具備偵測重啟或斷電的功能。如果惡意軟件感覺到系統正在重啟，它可能會觸發指令刪除加密標頭或覆蓋硬碟數據，這意味著即使你最終拿到了解密工具，也無法救回數據。
--- 數據損壞風險：如果勒索軟件正在加密一個數據庫，突然斷電可能會導致文件結構嚴重受損，甚至連駭客自己的解密工具稍後也無法修復。

2. 取證價值：為什麼「保持開機」至關重要

如果你想提出網絡保險索賠，或需要符合香港的數據私隱法規，你需要證據。

一台運行中的伺服器是取證調查員的寶庫。通過保留伺服器的「感染狀態」，專家可以確定：
--- 零號病人：駭客是從哪裡進來的？（是釣魚郵件、RDP 漏洞還是被入侵的 VPN？）
--- 橫向移動：他們還去了哪裡？他們是否觸碰了備份伺服器？
--- 數據外洩：他們是真的盜取了你的數據，還是僅僅將其加密？知道這一點，是「簡單恢復」與「重大公關災難」之間的本質區別。

3. 教學：「隔離而非殺死」標準流程

如果你剛剛發現勒索信，請立即執行以下步驟，以最大化恢復機會：

[1] 斷開網絡連接：不要按電源鍵，而是拔掉網線或關閉 WiFi。這會阻止勒索軟件與駭客的「指令與控制」伺服器通訊，並防止其蔓延到其他機器，但同時保留了伺服器內存供調查員研究。

[2] 拍照留證：用手機拍下屏幕上的勒索信照片。不要移動文件或瀏覽文件夾，因為這會更改取證團隊用來建立時間線的「最後修改」時間戳。

[3] 檢查備份（從獨立設備進行）：不要從受感染的機器登入你的備份伺服器。使用一台乾淨、隔離的筆記型電腦，確認你的備份是否仍然在線且未受影響。

[4] 拒絕使用「免費」解密工具：不要在受感染的伺服器上下載任何來自互聯網的隨機「修復工具」。這些工具往往含有二次惡意軟件，或者會進一步損壞你的加密文件。

[5] 記錄一切細節：記錄下你發現勒索信的準確時間，以及當時有哪些用戶在線。這些資訊對於應急響應團隊至關重要。

4. 商業影響：保險與法律責任

在香港，根據《個人資料（私隱）條例》（PDPO）以及各行業監管機構的要求，你可能需要提供詳細的數據洩漏報告。如果你在調查完成前就「清理」了伺服器（抹除並重裝系統），你實際上是摧毀了符合法律合規要求的關鍵證據。

此外，如果你無法證明你採取了「合理步驟」來保留現場供審計，許多網絡保險供應商可能會拒絕賠償申請。

5. 冷靜管理危機

勒索軟件現場就是罪案現場。如果你在辦公室發現竊賊，你不會為了阻止他而放火燒掉整棟大樓；你會鎖上房門並報警求助。同樣的邏輯也適用於你的伺服器。

隔離機器、保留內存，讓專家為你尋找恢復之路。

您的企業目前正遭遇安全事故嗎？我們位於香港的應急響應團隊提供 24/7 全天候支援，協助您遏制威脅並嘗試在不支付贖金的情況下恢復數據。請立即聯繫我們的緊急熱線獲取協助。

強化企業安全 🛡️ 立即行動

UD 是值得信賴的託管安全服務供應商（MSSP）
擁有 20+ 年經驗，已為超過 50,000 家企業提供解決方案
涵蓋滲透測試、漏洞掃描、SRAA 等全方位網絡安全服務，全面保護現代企業。