勒索软件需知二三点

勒索软件的历史

有关勒索软件的历史,前一段时间河南数安科技的谷总在他的“大兵说安全”中以《勒索病毒演义》已经说的很清楚了,在这里我只是做个剪影,作为提示。想要了解勒索软件发展史,请参阅谷总写的大作!

勒索软件类型

  • 加密勒索软件

使个人文件和文件夹(文档、电子表格、图片和视频)被加密。
受感染的文件被加密后会被删除,用户通常会在当下无法使用的文件的文件夹中看到一个包含付款说明的文本文件。
当尝试打开其中一个加密文件时,才可能会发现问题。
某些(但非所有)类型的加密软件会显示“锁屏”:
  • 锁屏勒索软件 - WinLocker

WinLocker会锁定电脑屏幕并要求付款。
会呈现一个阻止所有其它视窗开启的全屏图像。
没有个人文件被加密。
  • 主引导记录(MBR)勒索软件

主引导记录(MBR)是电脑硬盘驱动器的一部分,影响操作系统的启动功能。
主引导记录勒索软件会更改电脑的主引导记录,中断电脑的正常启动。
屏幕上反而会显示要求赎金的内容。
  • 网络服务器加密勒索软件

专门对网络服务器上的文件进行加密。
通常使用内容管理系统中的已知漏洞在网络服务上部署勒索软件。
  • 移动设备勒索软件(安卓)

移动设备(主要为安卓)可通过“路过式下载”受感染,同时也可通过伪装成类似Adobe Flash或防病毒产品等受欢迎服务的假冒应用程序被感染。
发生勒索软件攻击时可行性建议步骤:

1)保持头脑冷静

如果组织成为勒索软件攻击的受害者,不要惊慌!立即联系安全团队并拍摄赎金票据的照片以供执法和进一步调查。

2) 隔离感染系统

立即断开受感染系统与网络其余部分的连接,防止进一步损坏。同时,确定感染源。勒索软件攻击通常是从另一个威胁开始的,黑客可能已经在系统中长期存在,逐渐掩盖了他们的踪迹,因此检测“零号病人”是大多数公司利用自身技术力量很难办到的,此时建议引入第三方专业的安全服务商。

3)注意备份

攻击者知道组织会尝试从备份中恢复数据,减少经济损失拒绝支付赎金,往往在攻击的一个阶段尝试定位和加密或删除备份。此外,切勿将外部设备连接到受感染的设备。恢复加密数据可能会导致损坏,例如,由于密钥错误。因此,制作加密数据的副本显得很有用。如果确认备份文件未被加密,在进行数据的完整性检查后,可以尝试恢复系统。

4) 不要重启系统

关闭受感染系统上的自动更新和其他维护任务。删除临时文件或进行其他更改可能会不必要地使调查和修复复杂化。同时,不要重新启动系统,某些威胁可能会开始删除文件。

5) 合作

在打击网络犯罪,尤其是勒索软件的斗争中,协作是关键。因此,联系网络安全监管部门,与知名网络安全公司的专门事件响应团队合作。将事件通知员工,包括在发生任何可疑行为时如何处理的说明。这些也非常重要!

6) 识别勒索软件的类型

如果来自攻击者的消息没有直接说明什么类型的勒索软件,那么可以使用其中一种免费工具并访问No More Ransom Project网站,可能会在那里找到专门针对您的勒索软件的解密工具。

7) 付还是不付?

如果勒索软件攻击成功,组织将面临是否支付赎金的选择。无论哪种方式,公司都必须从头开始,找出事件发生的原因。无论是人为因素还是技术因素,重新审视所有流程并重新考虑整个策略,以确保类似事件不再发生。无论组织是否支付赎金,都必须采取这一步骤。永远不要对以某种方式完成数据恢复就认为事件已解决。
那么付还是不付呢?
答案并不像乍看起来那么简单。虽然赎金金额有时达到数十万或数百万美元,但关键系统的中断带来的经济损失往往远远超过赎金金额。但是,企业必须记住,即使支付了赎金,也不意味着数据勒索者会兑现承诺,赎金会被解密。甚至,勒索软件开发过程中,或许存在Bug也将直接影响组织是否能够恢复数据。
如何将风险降至最低?
  • 周末和节假日要格外警惕。过去一年中的大多数勒索软件攻击都发生在周末或假期,此时组织更有可能对威胁做出较慢的响应。

  • 定期安装更新和补丁。WannaCry于 2017 年 5 月严重打击了世界各地的组织,三天内感染超过 200,000 台计算机。然而,被利用的永恒之蓝漏洞的补丁在攻击前一个月就已经可用了,更新和补丁需要立即安装并具有自动设置。

  • 安装反勒索软件。反勒索软件保护监视任何异常活动,例如打开和加密大量文件,如果检测到任何可疑行为,可以立即做出反应并防止大规模损坏。

  • 培训是保护的重要组成部分。许多网络攻击始于不包含恶意软件的有针对性的电子邮件,使用社交工程试图引诱用户点击危险链接。因此,用户教育培训是保护中最重要的部分之一。

  • 勒索软件攻击并非始于勒索软件。因此请注意其他恶意代码,例如 Trickbot 或 Dridex,会渗入组织并为后续勒索软件攻击奠定基础。

  • 备份和归档数据至关重要。如果出现问题,应该可以轻松快速地恢复。必须始终如一地备份,包括在员工设备上自动备份、而不依赖手动备份。

  • 限制信息访问权限。为最大限度地减少潜在成功攻击的影响,确保用户只能访问为完成工作需要的信息和资源。分段将勒索软件在网络中不受控制地传播的风险降至最低。处理对一个系统的勒索软件攻击的后果可能很困难,但在网络范围的攻击之后修复损坏更具挑战性。

破坏一扇门,一把斧子或许就够了。但是,做或修理同样一扇门,则斧子、凿子、刨子、锯子、原木、钢铁等缺一不可啊!再进一步,破坏一扇门可以刀砍斧劈,也可以现代式的爆破,但是防则需要从材料学、工艺、工程学、人员管理等等方面出发,所以攻防从来不是对等的,所谓“不知攻焉知防”,在此思考则有待商榷了。如在陆宝华老师的书中也提到如果对信息系统的安全实质没有一个很好的认识,没有一个科学的方法和合理的过程,再好的技术也是没有用的,甚至会有害。防火墙就可能成为了'放火墙’,一个攻击破坏者,真不一定能够建设好一个安全的系统。但是,一个建设者,随便在建设过程中哪个环节出错或者遗漏,都极有可能埋下安全隐患。
参考来源:

《勒索病毒演义

《勒索病毒演义》,作者:谷燕兵参考文献:

(0)

相关推荐