中油資訊系統遭勒索軟體攻擊，向攻擊者支付贖金真的好嗎？

根據經濟部所發佈的新聞稿，臺灣中國石油股份有限公司於2020年5月4日因遭受惡意程式攻擊，感染勒索病毒，導致民眾在各加油站消費時無法使用捷利卡、中油PAY等支付服務。同時中油官方網站亦無法連線，截止5月5日上午狀況尚未解除。

疑隨身碟惹禍

中油公司於5月4日傳出資訊系統遭勒索軟體攻擊，由於中油官方網站已下線，因此主要的官方訊息來源為經濟部發佈的新聞稿。

新聞稿中提到，台灣中油公司因遭受惡意程式攻擊，感染勒索病毒，目前加油站加油部分受影響者為無法使用捷利卡、中油PAY等相關作業，請消費者加油先使用現金及信用卡，其餘生產和供應並未受到影響。

台灣中油指出，資訊系統今天出現操作異常，目前資訊單位已緊急處理中，儘速排除障礙；消費者大部分使用的現金及信用卡交易不受影響，唯牽涉台灣中油內部系統的相關作業如捷利卡、中油PAY等暫停使用，請消費者改用現金或信用卡支付。

由於在截稿前筆者尚未能聯繫到中油的新聞聯絡人，而且根據我們對公務機關的瞭解，就算聯繫上也無法期望得到詳實且具體的回應，因此在這邊僅整理部分網友於Ptt討論區的爆料內容，需要注意的是其真實性有待商確。

根據網友ColeNorris的爆料內容指出，感染源頭為將帶有勒索軟體的隨身碟插入公司電腦，造成各加油站站點機台只要開機或重新開機就會被感染，資料也會被加密鎖定。而根據網友YummyYummy的回覆，表示中油的資訊系統有進行異地備份，因此只要待清查事件後，就能進行重建，有趣的是文中也點名了某間防毒軟體公司。

▲ 中油在5月4日遭勒索軟體攻擊後，造成民眾消費時無法透過捷利卡、中油PAY付款的狀況。（圖片來源：Superbil，本圖採用創用CC姓名標示-相同方式分享，作者為Superbil）

▲ 網友ColeNorris爆料感染源頭為隨身碟。

▲ 網友YummyYummy指出幸好的資訊系統有進行異地備份。

分析中油公司處置

勒索軟體是種於2015年左右開始盛行的惡意程式，它會將受害電腦中的檔案加密鎖定，讓檔案或電腦無法正常運作，並以高價向受害者兜售解密金鑰，詳細介紹可參考筆者先前撰寫的《勒索軟體解析：技術上真的無法自行救回檔案》一文。

而根據經濟部新聞稿的資訊，中油確實感染勒索軟體，但這種在第一時間就跳出來承認自己就是受害者的行為，無疑是讓攻擊者知道自己「釣到大魚」可以放膽要求高額贖金。反觀先前曾有民眾在感染勒索軟體後，主動聯繫攻擊者表示經濟狀況不好而降低贖金的案例，或許保持低調才是比較好的做法。

不過如果中油有對資訊系統進行異地備份的話，代表可以放棄遭到感染而被鎖定的資料，只需從備份檔還原資料即可，能將傷害降到最低。

▲ 不幸感染勒索軟體的話，保持低調或許是比較聰明的做法。（圖片來源：Christiaan Colen，本圖採用創用CC姓名標示分享，作者為Christiaan Colen）

如同我們先前也在《微軟：大家不應該向勒索軟體發起者交贖金》一文中，提到Microsoft檢測和響應小組（DART）的高級網路安全顧問奧拉‧彼得斯表示不鼓勵勒索軟體受害者支付任何形式的勒索要求並表示，公司應該建立可靠的備份策略，以利系統能從任何攻擊中恢復過來。

（標題圖片來源：li-penny，本圖採用創用CC姓名標示分享，作者為li-penny）