“勒索”一詞往往令人想到這樣的場(chǎng)景:綁架者在光天化日之下綁架受害者,然后,通過電話向受害者的家屬索要“贖金”。在世界各國,這種犯罪都經(jīng)常發(fā)生。但是,在“勒索軟件”這個(gè)詞出現(xiàn)之前,企業(yè)安全領(lǐng)域與“勒索”或“贖金”的關(guān)系簡(jiǎn)直是“風(fēng)馬牛不相及”。
勒索軟件是一種黑客滲透公司系統(tǒng)的網(wǎng)絡(luò)攻擊,它可以加密某些文件或者阻止用戶對(duì)整個(gè)系統(tǒng)的訪問,然后要求公司付費(fèi)或支付“贖金”,才能訪問這些資產(chǎn)。多數(shù)勒索軟件的例子都包括一個(gè)由郵件、鏈接或其它方法傳播的特洛伊木馬,黑客可用于加密系統(tǒng)上的文件,然后阻止用戶的訪問。這種攻擊的早期例子就是CryptLocker,這是一個(gè)由電子郵件附件傳播的專門針對(duì)Windows系統(tǒng)的惡意軟件。惡意軟件會(huì)加密本地文件,然后提示用戶,要求其支付“比特幣”,或者是另一種形式的付款,在收錢后,才向用戶發(fā)送解密密鑰。
有在過去的幾年中,CryptoLocker已經(jīng)讓位于更有威脅和更危險(xiǎn)的惡意軟件形式,從而使得防御難度日益增加。例如,在2016年2月開始作惡的勒索軟件Locky可以在很短的時(shí)間發(fā)送大量的垃圾郵件消息。另一個(gè)惡意軟件成員CryptoWall使用匿名網(wǎng)絡(luò),使得很難跟蹤惡意軟件的制作者。CryptoWall還使用多層和深度加密,從而使得如果不訪問解密密鑰就無法解密文件。甚至還出現(xiàn)了基于安卓系統(tǒng)的勒索軟件,如Flocker,可以完全 鎖定手機(jī)甚至是智能電視。
勒索軟件最有意思的一個(gè)方面就是在2013年開始出現(xiàn)后的快速發(fā)展。雖然勒索軟件的主要目的是個(gè)人,但也在向企業(yè)進(jìn)軍,因?yàn)槠髽I(yè)能夠花更多錢。對(duì)于惡意黑客來說,向企業(yè)勒索有利有弊。攻擊者需要針對(duì)大量用戶才能得到更多錢財(cái)。但是,針對(duì)個(gè)人用戶的勒索風(fēng)險(xiǎn)較小,而公司卻擁有律師以及更專業(yè)的人員為其工作。
勒索軟件的一個(gè)問題是,如果它足夠復(fù)雜,任何律師或安全專家都不能阻止企業(yè)或個(gè)人遭受攻擊,必須支付贖金才可以使用戶訪問文件。所以,勒索軟件很危險(xiǎn),企業(yè)應(yīng)當(dāng)更好地理解,因?yàn)槿绻脩艋蚱髽I(yè)并沒有為這種攻擊做好準(zhǔn)備,而重要的系統(tǒng)或文件被加了密,用戶或企業(yè)將不得不支付贖金。
勒索軟件攻擊解析
如前所述,勒索軟件的問題在于,如果企業(yè)或個(gè)人的數(shù)據(jù)被加密,用戶能夠拿回?cái)?shù)據(jù)的唯一方法就是擁有密鑰或者可以破解加密,但是,由于現(xiàn)代加密算法的強(qiáng)度非常之高,解密加密對(duì)一般的公司來說幾乎是不可能的。即使用戶確實(shí)擁有資源和專業(yè)技術(shù)破解加密,也有可能花費(fèi)數(shù)天、數(shù)月,甚至是數(shù)年才能完成。對(duì)于公司來說,解密過程帶來的影響可能要比從一開始就支付贖金產(chǎn)生的成本更大。
一般的勒索軟件攻擊都是從垃圾郵件開始的,它與我們以前見到過的任何其它的惡意軟件的傳播方式?jīng)]有什么不同。這種垃圾郵件看起來像是來自一個(gè)同事或合法機(jī)構(gòu),往往還帶著有令人信服的logo、簽名及其它信息。換言之,黑客們會(huì)設(shè)法使此郵件看起來合法,目的是為了誘使用戶點(diǎn)擊其中的鏈接或是打開一個(gè)附件,從而使惡意軟件感染用戶的系統(tǒng)。
一旦惡意軟件在用戶的系統(tǒng)中駐扎,它就會(huì)針對(duì)特定文件進(jìn)行加密,或者在有些情況下,惡意軟件直接控制整個(gè)系統(tǒng)。更為常見的是,惡意軟件會(huì)搜索那些看起來最為重要的文件并進(jìn)行加密。然后,在用戶試圖訪問這些文件時(shí),會(huì)發(fā)現(xiàn)這些文件已經(jīng)被完全鎖定,并要求支付贖金。如果你花了錢并收到了解密密鑰,就可以再次訪問這些文件。
關(guān)于勒索軟件,我們需要記住的最重要的問題就是,不能讓事情發(fā)展到文件被加密或者已經(jīng)丟失了文件。不隨便單擊下載郵件中的附件也許是大家的共識(shí)了,但是,用戶不經(jīng)過思考就單擊也是很簡(jiǎn)單的事情。為此,個(gè)人和公司需要不斷地思考如何保護(hù)數(shù)據(jù),以備不時(shí)之需。
預(yù)防
預(yù)謀的首要一步是備份,其原因在于:如果企業(yè)信息已被惡意加密,再想取回簡(jiǎn)直是難上加難,企業(yè)只能通過保存安全的備份并且將其放到一個(gè)完全獨(dú)立的地方才能真正地保護(hù)自己。有些安全公司擁有某些勒索軟件的密鑰,而且還有密鑰被公之于眾,但是勒索軟件的變種太多,上述密鑰對(duì)于公司來說簡(jiǎn)直就是杯水車薪。其實(shí),即使數(shù)據(jù)備份也會(huì)發(fā)生損失:很多人擔(dān)心會(huì)造成數(shù)據(jù)泄露。
筆者建議企業(yè)調(diào)查備份的頻率,確保按照可行的時(shí)間表來備份,對(duì)于關(guān)鍵任務(wù)數(shù)據(jù),尤其需要如此。很明顯,用戶備份越頻繁,在成為勒索軟件受害者后,丟失的數(shù)據(jù)就會(huì)越少。如果你每隔一小時(shí)進(jìn)行一次備份,就不會(huì)丟失太多數(shù)據(jù)。如果你每隔一星期或一個(gè)月備份一次,在被勒索后,就有可能丟失一星期或一個(gè)月的數(shù)據(jù)。對(duì)于小型企業(yè)和個(gè)人來說,有很多基于云的備份服務(wù),而且還有很多外部的備份驅(qū)動(dòng)器可供使用,其中的很多產(chǎn)品或服務(wù)都可設(shè)置為連續(xù)備份。
除了備份,確保反惡意軟件的最新也非常重要,這可以在惡意軟件造成危害之前就能夠被檢測(cè)到。安全廠商們都在不斷地更新其產(chǎn)品,以防御新發(fā)現(xiàn)的威脅,并且在用戶的系統(tǒng)存在漏洞被利用的風(fēng)險(xiǎn)時(shí),在沒有為軟件或應(yīng)用打補(bǔ)丁時(shí),及時(shí)向用戶發(fā)出警告,從而防止勒索軟件的危害。
即使企業(yè)確保所有的安全措施都保持最新并且備份了文件,惡意黑客也不會(huì)停止探索新的攻擊方法。事實(shí)上,加密最主要文件的新勒索軟件形式已經(jīng)在滋長,而且,攻擊者還在試圖找到副本、備份以及同一個(gè)文件的以前版本,并全部加密。為防止數(shù)據(jù)和系統(tǒng)成為犧牲品,你需要保持警惕,并且采用最佳的安全方法來應(yīng)對(duì)勒索軟件的威脅。
京公網(wǎng)安備 11010502049343號(hào)