依據KPMG全球資安情報，近日引起全球恐慌，並造成重大資安災情的綁架軟體(Ransomware) WanacCrypt0r 2.0(或被稱為Wcry、WannaCry等)，目前已有超過150個國家，200,000部電腦遭到感染，受到感染的大型機構包括英國的醫院及西班牙電信商Telefonica、美國聯邦快遞（FedEx）、德國鐵路（Deutsche Bahn）、法國雷諾汽車及俄國第2大行動電話商Megafon等。KPMG安侯企管公司副總經理謝昀澤分析，本次勒索軟體具有「三從四得」的特性，分別是：

• 從系統已知弱點下手：對未更新的已知漏洞進行攻擊

• 從常用服務擴大戰果：以常用的網路芳鄰、遠端桌面進行擴散

• 從用戶端末資料得手：以用戶端資料作為攻擊目標

• 得手成功率高：若重要資料未備份，勒索成功率極高

• 得款安全性高：以比特幣支付贖金，難以追查

• 獲得弱點容易：弱點公布於網際網路，易於取得

• 獲得利潤驚人：勒索軟體極易工具化，對全球廣大用戶攻擊，積少成多，網路預測駭客可獲利高達10億美金

謝昀澤表示勒索集團除了可能利用釣魚郵件大量散布外，此惡意程式具有主動擴散的能力，更是造成這次災情難以控制的主因。此外本次勒索軟體可支援28國語言，未來此類針對終端用戶進行攻擊的駭客工具市場，值得觀察。

在現實環境中，像是傳統的工業控制系統、醫療設備或器材等，目前仍有使用Windows 2003/XP的情況，KPMG安侯企管公司數位科技安全服務協理邱述琛表示，這些安裝過於老舊作業系統的設備大多並不被視作為「電腦」，故資訊單位中並未納管，當然也不會進行更新；但這些「設備」因為要將資訊傳回系統，所以大多具備有聯網的功能。根據5/13英國官方公布資訊，248家公立Health Trust機構中有48家遭到攻擊，約佔20%，其中有6家超過一天方恢復正常服務，過程中導致醫生無法存取病患檔案，必須將急診病患轉診至其他醫療單位，造成了非常重大的影響。

 邱述琛說明，企業若不幸發生遭到勒索軟體綁架時，可參考以下的緊急應變SOP：

1. 拔：企業內使用者應先拔除網路線並進行檢查，避免勒索軟體利用內部網路進行擴散與感染
2. 觀：未遭到勒索前，可以按 Ctrl+Alt+Del 呼叫程式管理員，觀察有否異常的程式一直佔用 CPU 資源，或電腦出現附名 .WCRY 的檔案
3. 報：使用者發現遭受感染時應於第一時間依程序進行通報
4. 停：資訊人員接獲通報立即停止受害者網路帳號與使用電腦連網能力
5. 救：資訊人員取出受害者硬碟，並接入另外一台未連網電腦進行搶救與調查
6. 查：資訊人員立即清查受害者帳號權限與本機及網路感染狀況
7. 控：資訊人員隨時由資安監控系統(如SOC等)、網路防禦設備(如IPS、Firewall等)之監控紀錄偵測異常事件，避免損失擴大

謝昀澤表示，此波攻擊來勢洶洶、除了清查、處理的必要作業外，企業應該思考建立多重防禦的完整防護機制，才能夠在這波不斷翻新手法的駭客攻擊中，平安生存。