如果您在過去幾周一直對安全方面的新聞有所關注,應該聽說多家公司受到勒索軟件,特別是“Locky”的影響,其中不乏國內知名公司。這款勒索軟件于今年二月露面并迅速成長為全球第二大勒索軟件系列,排名僅次于CryptoWall,位于TeslaCrypt之前。雖然美國、法國與日本是受Locky影響最嚴重的三個國家,但是勒索軟件同樣肆虐其他亞太地區,尤其是中國。
最近發生的這波網絡攻擊浪潮使許多機構與用戶深表擔憂,您應該也不例外。勒索軟件是很齷齪的事物,但是經過細心準備,您可以顯著降低感染風險,并且減少感染之后對您或您的機構造成的影響。
什么是勒索軟件?
勒索軟件是一種惡意軟件,可以感染設備、網絡與數據中心并使其癱瘓,直至用戶或機構支付贖金使系統解鎖。勒索軟件至少從1989年起就已經存在,當時的“PC Cyborg”木馬對硬盤上的文件名進行加密并要求用戶支付189美元才能解鎖。在此期間,勒索軟件攻擊變得更加復雜、更有針對性,也更有利可圖。
勒索軟件的影響難以估算,因為很多機構選擇了支付贖金解鎖文件——這種方法并不總是管用。由Fortinet和其他幾家知名安全公司組成的網絡威脅聯盟于2015年10月發布了關于Cryptowall v3勒索軟件的報告,報告預計此勒索軟件已經給受害者帶來至少3億2500萬美元的損失了。(您可以在此處閱讀完整的報告:http://cyberthreatalliance.org/cryptowall-report.pdf),Fortinet的FortiGuard威脅研究與響應實驗室持續跟進有關勒索軟件的技術。
勒索軟件通常采取以下幾種方式中的一種。Crypto 勒索軟件可以感染操作系統,使設備無法啟動。其他勒索軟件可以加密驅動器或一組文件或文件名。一些惡意版本使用定時器開始刪除文件,直至支付贖金。所有勒索軟件都要求支付贖金以解鎖或釋放被鎖定或加密的系統、文件、或數據。
2016年03月31日,美國網絡應急反應團隊與加拿大網絡事件響應中心發布了勒索軟件高調感染醫院系統的聯合警報。(參閱 https://www.us-cert.gov/ncas/alerts/TA16-091A)
該警報稱,受感染用戶的設備屏幕上通常會顯示類似的信息:
·“您的計算機已經感染病毒。點擊此處可以解決問題。”
·“您的計算機被用于訪問有非法內容的網站。您必須支付100美元罰金才能使計算機解鎖。”
·“您計算機上的所有文件已被加密。您必須在72小時之內支付贖金才能恢復數據訪問。”
在某些情況下,這種警告顯示時伴有令人尷尬或色情的圖片,目的是刺激用戶盡快將其從系統中甩掉。但是在所有情況下,系統脫機、關鍵數據不可用、生產停頓、企業經營活動受損。
我是如何被感染的?
勒索軟件有多種傳輸方式,但是最常見的是電子郵件中附帶的已感染文件。例如,今天我收到一份自稱來自銀行的電子郵件。郵件中有正確的銀行標識、真實的銀行網址鏈接、以及我的名字。信息的正文聲稱檢測到我的賬戶存在可疑活動,并且我需要安裝附帶的文件來驗證我的證書。這看起來像合法的問題。其實不是,這是一個釣魚攻擊。
當然,對于我們來說真相就是銀行不會發送文件并要求安裝——當然不會驗證您的證書。而是附帶的文件已受到勒索軟件的感染,如果我點擊了該文件,勒索軟件就會加載到我的系統中。
但是電子郵件附件不是唯一的感染渠道。路過式下載是另一種感染方式:用戶訪問受感染的網頁并在用戶不知情的情況下下載并安裝了惡意軟件。勒索軟件同樣通過社交媒體擴散,比如網頁式即時通訊應用程序。而且最近,脆弱的網頁服務器被用作進入點來訪問機構內部網絡。
怎樣才能阻止勒索軟件?
這10件事情可以保護您以及您的機構免受勒索軟件傷害。
1. 制定備份與恢復計劃。經常備份您的系統,并且將備份文件離線存儲到獨立設備。
2. 使用專業的電子郵件與網絡安全工具,可以分析電子郵件附件、網頁、或文件是否包含惡意軟件,可以隔離沒有業務相關性的潛在破壞性廣告與社交媒體網站。這些工具應該具有沙盒功能,使新的或無法識別的文件可以安全環境中執行和分析。
3. 不斷對操作系統、設備、以及軟件進行補丁和更新。
4. 確保您的設備與網絡上的反病毒、入侵防護系統、以及反惡意軟件工具已經升級到最新版本。
5. 在可能的情況下,使用應用程序白名單,以防止非法應用程序下載或運行。
6. 將您的網絡隔離到安全區,確保某個區域的感染不會輕易擴散到其他區域。
7. 建立并實施權限與特權制度,使極少數用戶才有可能感染關鍵應用程序、數據、或服務。
8. 建立并實施自帶設備安全策略,檢查并隔離不符合安全標準(沒有安裝客戶端或反惡意軟件、反病毒文件過期、操作系統需要關鍵性補丁等)的設備。
9. 部署鑒定分析工具,可以在攻擊過后確認:a)感染來自何處;b)感染已經在您的環境中潛伏多長時間;c)您已經從所有設備移除了感染文件;d)您可以確保感染文件不會重返。
10. 關鍵的是:不要指望您的員工來保證您安全。同樣重要的是加強用戶意識培訓,告誡員工不要下載文件、點擊電子郵件附件、或點擊電子郵件中來路不明的網頁鏈接;人是安全鏈中最薄弱的一環,需要圍繞他們制定計劃。
這就是為什么:因為對于您的很多員工來說,點擊附件并進行網絡搜索就是他們工作的一部分。難以保持適度水平的懷疑精神。第二,釣魚式攻擊非常有效。定向的釣魚式攻擊使用類似在線數據與社交媒體文件之類的事物定制攻擊方式。第三,點擊來自銀行的意外發票或重要信息只是人類本性。最后,很多調查表明用戶認為安全是其他人的職責,與自己無關。
結論
網絡犯罪是一樁以盈利為主導的生意,可以產生數十億的收入。與大多數生意一樣,網絡罪犯有很高的積極性來尋找生財之道。他們使用詭計、勒索、攻擊、威脅、以及誘惑等手段來訪問您的關鍵數據與資源。
勒索軟件并不是新鮮事物。但是其最近手段更加老練、傳播方式更加隱蔽,表明其越發傾向于以意想不到的全新方式盤剝在線運行的個人與單位。
相比以往任何時候,安全不是為您的業務添加的某種工作。安全與業務經營是一個整體。確保您的合作伙伴是安全專家,懂得安全不僅僅是設備。安全是高度融合與協同的技術體系,結合了有效的策略與貫穿生命周期的準備、防護、檢測、響應、以及學習方法。
安全解決方案需要共享威脅情報,以便在您的分布式環境中有效地檢測威脅并作出響應。安全措施需要融入您的網絡結構才能為您網絡環境的演進和擴展提供無縫保護。安全措施必須能夠動態適應新發現的威脅。而且安全措施絕不能妨礙您的經營活動和經營方式。
京公網安備 11010502049343號