本案例的主人公是 Simon,他是一家中型企业的销售代表。他正摩拳擦掌,准备连续第二个月成为销售冠军,赢取 1,000 美元的奖金。
与潜在客户通话时,Simon 听到了电子邮件通知声,他随即查看了下邮件。虽然发件人并不熟悉,但乍一看,似乎是曾经的某位潜在客户打算重新询价。兴奋激动之余,Simon 不假思索地打开了邮件及附件。
这个简单的动作立刻让勒索软件入侵了他所在公司的网络。除非公司支付高额赎金,否则将无法拿回数据。
很不幸,许多企业最初都是以这样的方式认识勒索软件的。只不过一旦相遇,叫苦不迭。勒索软件日益猖獗,您必须采取有力措施来守护您的企业安全。
如果您认为公司规模不大,不会成为攻击目标,或被攻击的概率不高,那就大错特错了。一般而言,美国的办公室人员每天会收到 121 封电子邮件。大数据统计表明,几乎一半的电子邮件是垃圾邮件。
垃圾邮件已成为勒索软件和其他恶意软件的主要攻击载体,无论公司规模大小,您都不能掉以轻心。
有关勒索软件,本文主要讨论以下几个方面:
勒索软件是一种通过挟持数据,向企业索要赎金的恶意软件。网络犯罪分子入侵您的网络后会迅速加密重要文件,屏蔽公司的访问权限。
如要重新拿回数据访问权限,您必须向犯罪分子支付赎金,通常是加密货币的形式。但即使支付了赎金,也不能保证数据会安全无恙地回到您的手中。事实上,某些勒索软件一旦超时没有拿到赎金就会将数据删除(撕票)。
无论企业规模大小,勒索软件都是需要直面的一个严峻问题,下面的勒索软件攻击统计数字足以证明问题的严重性:
勒索软件形形色色,其挟持数据、攻击系统的手段也各不相同。总的来说,常见的攻击类型有以下几种:
从对企业财务和声誉的影响来看,勒索软件攻击的破坏力非同小可。
从财务影响来看,勒索软件攻击会让企业遭受巨大经济损失。攻击后企业恢复运行的平均成本高达 185 万美元。如果您没有数据备份,可能还要支付赎金才能拿回数据。
从声誉影响来看,勒索软件攻击会严重损害企业的名声。企业会失去客户的信任,造成客户流失。如果加密的是敏感数据,那么您还需要向相关当局报告整个事件过程,这会进一步损害企业声誉。
近些年发生了几起大规模勒索软件攻击事件,造成了巨大的损失。下文列举影响最大的五起事件:
WannaCry 是一种加密文件的恶意软件,威胁企业支付赎金才会解密数据。它利用 Windows SMB 协议中的安全漏洞,在电脑中自行传播,并感染与之连接的其他设备。
WannaCry 是自包含程序,它会伪装成 Dropper 木马,挟持包含加密密钥、解密软件以及 TOR 通信程序的文件。攻击者没有费太多心思伪装 WannaCry,因此您不必大费周折就能找到并删除这个软件。
2017 年,该病毒感染了 150 个国家/地区的 23 万台电脑,造成的损失估计高达 40 亿美元。WannaCry 攻击给很多企业和组织机构敲响了一记警钟,他们因此认识到修补安全漏洞并及时备份的重要性。
Petya 只感染运行 Windows 系统的电脑。它需要假借用户之手获得管理员级别的访问权限。然后,它会重启机器并显示一个假的系统崩溃屏幕,同时在后台加密整个主文件表 (MFT)。
NotPetya 是 Patyal 病毒的改造版,它会自行传播,因此危险程度更高。NotPetya 利用 Windows SMB 文件传输协议中的已知漏洞(EternalRomance 和 EternalBlue)。
然后,它会感染与宿主电脑连接的一切 Windows 设备。NotPetya 不仅加密整个硬盘,还使它们无法恢复,即使您支付了赎金也无法恢复。
Maze 勒索软件是一种加密文件的恶意软件,威胁企业支付赎金才会解密数据。它利用 Windows SMB 协议中的安全漏洞,在电脑中自行传播,感染与之连接的其他设备。
它之所以广为人知,主要是因为它会泄露企业的机密信息,尤其是医疗机构等涉及大量个人隐私数据的企业。入侵后,攻击者可以盗取 100 GB 以上的文件。最近的一起攻击事件的受害企业是 Xerox Corporation。
Cerber 是一种借助服务发起攻击的勒索软件(勒索软件即服务,RaaS),网络犯罪分子与恶意软件开发人员合作传播病毒。
Cerber 病毒会加密您的文件,屏蔽 Windows 安全功能,加大系统的恢复难度。它加密电脑上的文件后,随即在您的桌面上弹出一封勒索信,向您索要赎金。
2013 年 CryptoLocker 开始传出恶名。网络犯罪分子向受害企业共计勒索了近 300 万美元,而供应商和 IT 专家直到 2014 年 5 月才彻底清除了这一 CryptoLocker 僵尸病毒。
CryptoLocker 会加密您的文件,屏蔽 Windows 安全功能,加大系统的恢复难度。它加密电脑上的文件后,随即在您的桌面上弹出一封勒索信,向您索要赎金。
CryptoLocker 是多数网络犯罪分子倾向使用的攻击手段。不过,当前版本与原版已有很大差异。新版可能使用相同或类似的文件加密算法,但它们没有网络基础架构的支持,无法高效传播。
毫无疑问,勒索软件防御如今已是企业的当务之急。这不仅是为了维护企业经济利益和声誉,也是为了实现合规。
保护企业远离勒索软件攻击的措施有多种,下文列举十大主要战略:
数据备份和恢复是企业的必修课。缓解风险最简便的方式就是将数据备份到外部硬盘或云服务器。这是因为发生勒索软件攻击时,最好的办法就是擦除电脑内容,然后重新安装备份文件。由此可见,数据备份至关重要,应争取至少每天备份一次。
我们常用的是 3-2-1 备份策略,即保留三份数据副本:两份在线存储到两个不同的介质中,一份离线存储。
您还可以额外增添一步流程,让数据存储更安全。那就是将数据复制到防篡改且不可擦除的云服务器中。此举可确保备份永不会被篡改或删除,这样即使遭到勒索软件攻击也完全无所畏惧。
在设备上及时安装修补程序(打补丁)是企业确保网络安全的关键环节,但往往被忽视。这也可以理解,毕竟手动更新繁琐又费时,您不得不停下手头的其他重要任务。但如果不及时为应用程序、设备打补丁,数据遭到网络攻击的风险会更高。
自动化流程可以解决这个烦恼。您不必花时间进行手动更新和打补丁这样的无聊工作,让自动化流程帮您完成。不过建议您明智地运用此选项,因为在某些情况下,手动更新可以避免出现其他问题。
保护企业远离勒索软件攻击的方法不一而足。但最常用,也是最有效的方法当属安装全面的防病毒软件。此类解决方案可扫描您的设备和网络,查找恶意软件,删除找到的一切恶意代码。
除了防病毒软件,您还应考虑安装防火墙。防火墙有硬件和软件两种形式,均可帮助您过滤网络中传输的数据,第一时间阻止勒索软件(和其他恶意软件)侵入您的设备。
温馨提示:警惕虚假的病毒检测警报。网络犯罪分子有时会制造假警报,试图恐吓您单击带病毒的链接或附件。如果您不确定,务必在采取任何操作前先咨询 IT 部门。
要降低被勒索软件病毒感染的风险,限制用户访问和设置权限是一项高效的措施。此举可限制恶意软件传播范围,就算攻击者非法入侵了您的网络,攻击面也在有限的范围内。
确保只有需要访问特定数据和系统的人才拥有对它们的访问权限。同时还要注意用户的帐户活动情况。如果您发现任何可疑活动,请立即着手调查。
保护企业远离勒索软件和其他网络威胁的最好办法之一是开展安全培训,向员工传授安全风险意识,确保他们对勒索软件及其原理有所了解。另外,还要广泛宣传不要轻易点击未知发件人的邮件链接和附件,以及不共享密码。
您还应制定网络安全政策,以公司政策形式列出员工为保护网络安全应采取的措施。最后,通过定期培训让所有员工了解最新的威胁情况和最佳应对方案。
应用程序白名单这项安全措施,通过仅允许经批准的应用程序在设备或网络上运行,拦截一切未知代码或恶意代码,从而阻挡勒索软件的攻击。
当然,应用程序白名单并不十全十美,总会有一种或几种新型恶意软件成为漏网之鱼。不过若结合其他安全措施多管齐下,也可以有效保护企业远离勒索软件攻击。
即使拥有最完善的安全措施,企业也可能遭到勒索软件攻击。因此制定业务连续性和应急响应计划是企业的当务之急。
这些计划应详细列出系统出现故障时如何保证业务继续运行,以及遭遇勒索软件攻击后应采取什么措施化解危机。制定这些计划有助于您将损失降到最低,并尽快恢复业务的运行。
网络责任险可使企业避免因数据泄露或网络攻击而蒙受经济损失。这类保险为您恢复数据的费用以及可能发生的法律诉讼费用承保。
当然,网络责任险不能取代完备的保护措施,但它至少可以给您一份安全保障。如果企业遭到勒索软件攻击,它有助于减轻您的经济损失。
定期进行安全测试,可确保您的安全措施在关键时刻发挥作用。测试的方法有多种,如入侵测试和漏洞扫描。
除了测试外,您还应定期进行安全审计。这些审计有助于您提早发现系统漏洞,及时弥补漏洞以免被犯罪分子利用。
最理想的状况是将勒索软件攻击拒之门外。不过,即使是最牢固的保护措施,也不一定每次都能阻挡住锲而不舍的攻击者。一旦企业遭到勒索软件攻击,应采取以下几个步骤:
您要做的第一件事就是隔离感染的系统。此举可有效阻止勒索软件传播到网络的其他部分。
如果您有系统备份,现在就是它派上用场的时候了。备份可将丢失的数据量控制在最低水平。
隔离感染的系统后,您应立即找到攻击源头。这可帮助您避免未来再次遭受同样的攻击。
另外,还要向执法部门报告攻击事件。执法部门将跟踪犯罪分子,帮助您追回支付的赎金。
如果勒索软件攻击威胁到个人数据的安全,您应通知相关部门。在美国,相关部门包括联邦贸易委员会和联邦调查局。您还应通知客户,便于他们采取措施保护自己的信息。
这个问题不好回答,它取决于多种具体因素,例如赎金的金额、加密的数据类型以及您是否存有备份等。
一般来说,如果您别无选择,那就只有支付赎金一条路了。但是,即使支付了赎金也不一定能拿回数据。事实上,拿不回数据的可能性更大。
此外,还有一些道德方面的考虑因素。支付赎金就相当于认可犯罪分子的违法行为,这会助长他们的气焰。
应对勒索软件攻击是一项艰巨的任务,但您不必孤军奋战。Veritas 的专家可帮助您在遭到攻击后迅速恢复业务正常运行。
我们的服务包括但不限于:
如果您正在处理勒索软件攻击事件,或希望优化安全措施以阻挡此类攻击,请立即联系我们。我们可帮助您度过这个难关,或保护您远离未来可能发生的威胁。
无论企业规模大小,勒索软件攻击都是需要面对的一个严峻问题。它们会造成数据丢失、服务中断并损害企业声誉,还会引发监管合规的问题。
要保护企业,您应实施强有力的安全措施,还应制定应对计划。
一旦发现遭到勒索软件攻击,最好的办法是立即向执法部门报告,并寻求专业帮助。Veritas 可帮助您优化安全措施,确保您的业务在攻击中快速恢复。立即联系我们,了解更多信息。
Veritas 客户包括 95% 的财富 100 强企业,而 NetBackup™ 被列为保护企业海量数据的首选。