自二十一世纪中期以来,勒索软件已成为大企业、中小型企业和个人面临的主要威胁。根据 FBI 的调查,互联网犯罪投诉中心 (IC3) 在 2017 年收到 1783 起投诉,总成本超过 230 万美元。不过,这些投诉仅代表向 IC3 报告的攻击。
攻击的实际数量及其成本要高得多,因为很多组织选择内部处理,以避免遭到任何可能损害其声誉的公众或利益相关者的强烈反对。根据 Statista 的统计,2017 年估计有 1.84 亿起攻击。
最初,勒索软件针对的是个人,迄今为止,个人仍是这类攻击的主要目标。但攻击者开始将目标扩展至没有数据访问权限就完全瘫痪的机构,包括医院、高等教育机构和政府机关。在本文中,我们将讨论勒索软件的相关信息,例如如何预防勒索软件、感染后怎么办以及备份的重要性。
这是一种独特的恶意软件,旨在锁定您的计算机系统或加密您的数据,让您无法访问。此外,它还可以利用操作系统的漏洞并传播到其他网络或系统。
一旦勒索软件成功感染了您的计算机系统,攻击者就会勒索赎金(因此得名),钱到手才会放弃对您系统的所有访问权和控制权,或解密您的数据。勒索软件类型包括加密恶意软件、锁定程序、恐吓恶意软件、Doxware(泄漏软件)和勒索服务 (RaaS)。
这些网络罪犯通常远程发起攻击,要求受害者以比特币之类的加密货币形式支付赎金,这类付款不可追踪,也无法追回。在最近的一些勒索软件攻击中,犯罪分子更进一步要求以礼品卡的形式付款,例如 Google Play 或 Apple iTunes,然后可以将其转换为商品或现金。
不幸的是,成功的勒索软件攻击很少会留下数字证据,因而也无法追踪犯罪分子或追回已支付的款项。此外,即使您支付了赎金,也无法保证您的数据得到全部解密。
第一次事件可以追溯到 1989 年,当时据说是哈佛大学出身的生物学家感染了 WHO 世界内部艾滋病大会的几位与会者的计算机。从二十一世纪中期开始,网络犯罪分子的攻击变得更有创意。2012 年之后,勒索软件通过非对称 RSA 加密在全球范围内肆意传播。
如今,勒索软件的变体更加复杂,它们在加密文件、逃避检测、在系统内传播和向用户勒索赎金方面的功能大有长进。在新时代下,攻击还采用先进的开发技术,例如使用加密程序让逆向工程变得极为困难,或者使用高级分发流程,包括广泛而轻松分发新变体的预建基础结构。
鱼叉式网络钓鱼活动正在迅速取代传统的网络钓鱼电子邮件,因为后者现在经常被过滤为垃圾邮件。更高级的攻击者甚至开发了可下载的工具包,就算是技能生疏的新手也能部署。其他形式的勒索软件方案包括 RaaS 程序,这些程序彻底改变了 CryptoLocker、Locky、CryptoWall 和 TeslaCrypt。
此外,攻击者现在还运用合法系统的功能(例如 Microsoft CryptoAPI)实行脱机加密方法,以至于无需与僵尸服务器通信。
勒索软件可通过多种方式传播,最常见的一种就是包含恶意附件的钓鱼邮件。这些电子邮件附件伪装成来自受信任源的合法文件。下载和打开感染文件后,内置的社交欺诈工具会引诱您允许开放管理员访问权限,从而迅速掌控您的计算机。其他更具攻击性的勒索软件会利用系统中的安全漏洞来感染和加密计算机,不使用任何欺骗手段。
攻击者还使用社交媒体上的欺骗性消息套出受害者计算机的访问权限。最常用的渠道之一就是 Facebook Messenger。攻击者会创建一个与您好友帐户一模一样的冒牌帐户。然后他们发送带文件附件的邮件。一旦这些附件被打开,攻击者就会入侵您的设备,锁定所有互联网络。
此外,偷渡式下载也是感染计算机的方式之一。例如您在不经意间访问了受感染的网站,恶意软件就会偷偷下载并安装在您的计算机上。然后,攻击者就会加密您计算机上的数据。
还有一种加密勒索软件的变体,它会加密您的文件并以类似方式在社交媒体上传播(例如,网页版即时消息应用程序)。其他感染方法包括,利用易受攻击的 Web 服务器入侵组织网络,然后使用弹窗。
一旦攻击者接管了您的计算机系统,他们要做的第一件事就是锁定或加密您的文件。攻击结束时,没有只有攻击者知晓且可能存储在其系统中的密钥,您的文件就无法打开或解密。
此时,您将收到一条消息,说明文件的不可访问状态以及通过不可追踪的付款方式(如加密货币)支付的赎金。有时,您的攻击者还会想尽方法,假冒执法机构的身份,并声称由于存在非法内容(例如盗版软件或色情制品)而关闭了您的系统。然后,他们要求您支付罚款。
在泄漏软件或 Doxware 攻击中,攻击者甚至以公开您设备中的敏感数据为要挟来勒索赎金。不过,查找和提取此类数据需要专业技术知识,因此最常见的攻击还是加密类。
多年来,勒索软件已经从简单的电子邮件附件发展到受感染的网站、移动应用程序甚至数字广告。它的有效性大幅增加,因此在暗网上,这种勒索服务 (RaaS) 形式攻击的买家需求也一路上涨。潜在目标包括:
美国司法部称,这种网络犯罪有可能蔓延到全球。与大多数其他恶意软件一样,勒索软件通常通过引诱目标点击不安全的链接或下载不安全的程序来感染计算机系统。
不过,与其他恶意软件攻击不同,在您刷新 BIOS、擦除驱动器或尝试将操作系统返回到先前的还原点时,这类恶意软件删除不了。该程序会锁定您的文件,然后发出勒索信。与此同时,攻击者会创建独一无二的解密密钥,将其存储在自己的服务器上。
不及时支付赎金或企图修改加密程序,都会造成解密密钥被永久删除,从而导致您被锁定的文件无法访问。大多数类似攻击往往以受害者乖乖缴纳赎金告终。
尽管您仍可以使用受感染的计算机,不过丢失宝贵的数据会严重影响生产力。这种攻击造成的后果还有:
勒索软件之所以恐怖,因为在此过程中您可能会丢失重要的个人和业务数据,即使您支付了赎金,也可能存在其他短期和长期影响。不过,您可以用一些反勒索软件战略来保护自身和业务。
切勿将所有数据存储在一个位置。定期备份数据,以便在遭到勒索软件攻击和其他灾难后还原丢失的数据。注意,CryptoLocker 还会在映射的驱动器上查找并加密数据。因此,您应安排定期备份计划,备份数据到未分配驱动器号或未进行任何备份时断开连接的外部备份服务或驱动器。
CryptoLocker 文件的扩展名经常是”.PDF.EXE”,因为攻击者了解 Windows 的默认行为是隐藏已知的文件扩展名。因此,只要启用计算机查看完整文件扩展名,您就可以轻松发现可疑文件。
CryptoLocker 最出名的一种行为就是从 Local AppData 和 AppData 文件夹运行可执行文件。因此,您可在系统中通过 Windows 或入侵防御软件创建规则,禁止这种行为。您还可以始终排除从 AppData 区域运行的合法程序文件。
如果您的网关电子邮件扫描程序可以按扩展名过滤所收到的文件,则建议拒绝带 “.exe” 文件扩展名的电子邮件或带多个文件扩展名(其中一个是可执行文件扩展名)的文件。
如果在拒绝了带有 .exe 扩展名的电子邮件后,您确实需要在环境中接收或发送可执行文件,可以选择使用密码保护的 ZIP 文件或通过云服务接收电子邮件。
Cryptolocker/Filecoder 通过远程桌面协议 (RDP) 访问目标计算机。这是一个 Windows 实用程序,允许其他用户远程访问您的桌面。禁用 DRP 可保护您的计算机不受远程攻击。
安全始终是您和员工之间共担的责任。因此,务必始终对员工及时开展抵抗网络犯罪的例行培训,让他们了解系统、网络安全、威胁评估以及各自角色职责。
恶意软件作者通常指望人们运行存在已知漏洞的过期软件,这样他们就能利用这些漏洞来谋取个人或经济利益。因此,定期更新软件则可大幅降低遭到攻击的几率,部分厂商会发布定期安全更新和紧急更新。
您可启用自动更新或手动访问供应商的网站来获取更新。注意,犯罪分子还喜欢将自己的软件伪装成更新通知。
同时部署软件防火墙和反恶意软件软件有助于您识别潜在威胁或可疑行为。这两个防御层缺一不可,因为恶意软件作者通常会发出新变体以躲避检测。
大部分恶意软件类型都依赖远程指令来启动执行。如果您碰巧发现新的勒索软件变体绕过了您的安全软件,那么它绕过防火墙的几率不大,因为它会试图远程连接僵尸命令服务器。
您可以采取一些预防措施来避免未经授权的访问。这些安全做法可以极大地提高您的防御能力,远离各种网络攻击。例如:
您应对下列承包商或员工实行某些限制:
有权访问您系统的任何人、员工或承包商都可能为攻击者创造潜在的漏洞点。失误、不适当的限制和未更新密码都可能导致遭到攻击的概率上升。
您应部署多层检测系统,实现全面保护。其中应包括针对用户系统的端点保护、入侵检测、针对服务器的企业病毒保护、已知恶意软件检测、事件关联的中央日志记录、网络端口监视和数据模式检测。
快速检测恶意活动可立即遏制,避免它进一步传播,造成进一步的损害。所有受感染的系统都应进行隔离、修复和恢复。有时,您的系统可能无法及早捕获成功的勒索软件攻击,待发现时您的数据已被锁定。甚至您的备份也可能遭到破坏,导致它们毫无用处。
因此,您的系统管理员应在检测阶段保持警惕,便于快速采取遏制措施,阻止攻击并恢复加密的数据。系统管理员还应安装实用的第三方工具,帮助检测攻击。
不幸的是,没人敢百分百保证网络安全。无论您的 IT 部门检测和防御阶段的准备有多充足,攻击偶尔还是会得逞,迫使组织进入恢复阶段。
因此,恢复时间取决于攻击的传播范围以及您的准备程度。无论是只加密了几个文件的小规模攻击,还是整个网站数据丢失的大规模攻击,通常都是您最重要的数据成为待宰羔羊。因此,灾难恢复流程和工具应在整个流程中反复使用和测试。
有效的勒索软件防御最终都离不开安全意识培训。您应该花时间深入了解有关软件更新和自动数据备份的最佳选择。当下的首要任务是自我学习并在员工之间普及威胁或攻击的明显迹象以及它们分发策略的相关知识,例如欺骗性网站、偷渡式下载以级网络钓鱼攻击。
您还应实施内置高级威胁防护的安全解决方案。端点检测和响应 (EDR) 工具非常适合监控网络和端点上的活动,以识别、保护和遏制威胁。NetBackup 工具在检测和防止勒索软件和其他攻击方面也在不断改进。
当下有三种勒索软件清理和预防工具。第一类防病毒工具主要面向需要干净证书的计算机,您可以在事件发生后恢复数据。这种功能广泛存在于当下诸多主流的防病毒程序中。
第二类包括解密工具,一旦攻击成功入侵,它们就会启动。不幸的是,这些工具的功能是有限的,仍然依赖于研究人员在拦截攻击后逐个恢复关键数据库。
第三类是保护工具,该工具使用行为分析来发现系统中可能存在勒索软件的事件,并及时拦截威胁以防遭到任何损坏。
当今最好的勒索软件工具包括 Veritas NetBackup 备份一体机、Trend Micro 锁屏工具、Avast 工具、BitDefender、Kaspersky 工具和 Lab 解密程序、AVG 解密工具、Webroot SecureAnywhere 工具、Malwarebytes、McAfee Interceptor Review、No More Ransom 和 CryptoPrevent。
测试勒索软件防护工具在真实样本中的有效性非常棘手。此外,有些工具还仅针对当下不再出现的过去特定事件。
不过,或许测试这些工具有效性的最佳方法是根据您的系统环境搭建一个不联网的虚拟机。您可再次测试不同攻击场景,使用备份中的还原点(例如 Veritas NetBackup 备份一体机)以检查有效性。
近年来,针对计算机系统的加密勒索软件已成威胁新常态。缺少合适的勒索软件保护工具和培训,在您看到勒索信后,拔下插头以试图阻止进一步的破坏已为时已晚。WannaCry/NotPetya 等各种品种的爆发表明,高度分散的攻击可能造成大面积的破坏。
虽然当下防病毒程序已经过了优化,可检测和阻止某些类型的勒索软件(通常是关注可疑的行为),但部署正确类型的备份仍然是抵御种种恶意软件攻击的第一道防线。Veritas NetBackup 备份一体机提供了一系列产品,可帮助您预防和检测攻击以及恢复数据。