如果您在過去幾周一直對安全方面的新聞有所關(guān)注��,應(yīng)該聽說多家公司受到勒索軟件��,特別是“Locky”的影響�,其中不乏國內(nèi)知名公司。這款勒索軟件于今年二月露面并迅速成長為全球第二大勒索軟件系列���,排名僅次于CryptoWall�����,位于TeslaCrypt之前�����。雖然美國��、法國與日本是受Locky影響最嚴(yán)重的三個(gè)國家��,但是勒索軟件同樣肆虐其他亞太地區(qū)��,尤其是中國�。
最近發(fā)生的這波網(wǎng)絡(luò)攻擊浪潮使許多機(jī)構(gòu)與用戶深表擔(dān)憂,您應(yīng)該也不例外����。勒索軟件是很齷齪的事物,但是經(jīng)過細(xì)心準(zhǔn)備����,您可以顯著降低感染風(fēng)險(xiǎn),并且減少感染之后對您或您的機(jī)構(gòu)造成的影響��。
什么是勒索軟件?
勒索軟件是一種惡意軟件��,可以感染設(shè)備����、網(wǎng)絡(luò)與數(shù)據(jù)中心并使其癱瘓,直至用戶或機(jī)構(gòu)支付贖金使系統(tǒng)解鎖�����。勒索軟件至少從1989年起就已經(jīng)存在����,當(dāng)時(shí)的“PC Cyborg”木馬對硬盤上的文件名進(jìn)行加密并要求用戶支付189美元才能解鎖����。在此期間�,勒索軟件攻擊變得更加復(fù)雜��、更有針對性���,也更有利可圖����。
勒索軟件的影響難以估算���,因?yàn)楹芏鄼C(jī)構(gòu)選擇了支付贖金解鎖文件——這種方法并不總是管用���。由Fortinet和其他幾家知名安全公司組成的網(wǎng)絡(luò)威脅聯(lián)盟于2015年10月發(fā)布了關(guān)于Cryptowall v3勒索軟件的報(bào)告,報(bào)告預(yù)計(jì)此勒索軟件已經(jīng)給受害者帶來至少3億2500萬美元的損失了���。(您可以在此處閱讀完整的報(bào)告:http://cyberthreatalliance.org/cryptowall-report.pdf),Fortinet的FortiGuard威脅研究與響應(yīng)實(shí)驗(yàn)室持續(xù)跟進(jìn)有關(guān)勒索軟件的技術(shù)����。
勒索軟件通常采取以下幾種方式中的一種���。Crypto 勒索軟件可以感染操作系統(tǒng)����,使設(shè)備無法啟動。其他勒索軟件可以加密驅(qū)動器或一組文件或文件名����。一些惡意版本使用定時(shí)器開始刪除文件,直至支付贖金���。所有勒索軟件都要求支付贖金以解鎖或釋放被鎖定或加密的系統(tǒng)�、文件�、或數(shù)據(jù)。
2016年03月31日����,美國網(wǎng)絡(luò)應(yīng)急反應(yīng)團(tuán)隊(duì)與加拿大網(wǎng)絡(luò)事件響應(yīng)中心發(fā)布了勒索軟件高調(diào)感染醫(yī)院系統(tǒng)的聯(lián)合警報(bào)。(參閱 https://www.us-cert.gov/ncas/alerts/TA16-091A)
該警報(bào)稱����,受感染用戶的設(shè)備屏幕上通常會顯示類似的信息:
· “您的計(jì)算機(jī)已經(jīng)感染病毒。點(diǎn)擊此處可以解決問題����?!?
· “您的計(jì)算機(jī)被用于訪問有非法內(nèi)容的網(wǎng)站���。您必須支付100美元罰金才能使計(jì)算機(jī)解鎖���。”
· “您計(jì)算機(jī)上的所有文件已被加密����。您必須在72小時(shí)之內(nèi)支付贖金才能恢復(fù)數(shù)據(jù)訪問��?!?
在某些情況下,這種警告顯示時(shí)伴有令人尷尬或色情的圖片����,目的是刺激用戶盡快將其從系統(tǒng)中甩掉。但是在所有情況下�����,系統(tǒng)脫機(jī)�����、關(guān)鍵數(shù)據(jù)不可用、生產(chǎn)停頓��、企業(yè)經(jīng)營活動受損���。
我是如何被感染的?
勒索軟件有多種傳輸方式����,但是最常見的是電子郵件中附帶的已感染文件����。例如,今天我收到一份自稱來自銀行的電子郵件��。郵件中有正確的銀行標(biāo)識��、真實(shí)的銀行網(wǎng)址鏈接�、以及我的名字。信息的正文聲稱檢測到我的賬戶存在可疑活動����,并且我需要安裝附帶的文件來驗(yàn)證我的證書。這看起來像合法的問題�����。其實(shí)不是,這是一個(gè)釣魚攻擊��。
當(dāng)然��,對于我們來說真相就是銀行不會發(fā)送文件并要求安裝——當(dāng)然不會驗(yàn)證您的證書��。而是附帶的文件已受到勒索軟件的感染�����,如果我點(diǎn)擊了該文件��,勒索軟件就會加載到我的系統(tǒng)中�����。
但是電子郵件附件不是唯一的感染渠道��。路過式下載是另一種感染方式:用戶訪問受感染的網(wǎng)頁并在用戶不知情的情況下下載并安裝了惡意軟件�����。勒索軟件同樣通過社交媒體擴(kuò)散��,比如網(wǎng)頁式即時(shí)通訊應(yīng)用程序���。而且最近�,脆弱的網(wǎng)頁服務(wù)器被用作進(jìn)入點(diǎn)來訪問機(jī)構(gòu)內(nèi)部網(wǎng)絡(luò)��。
怎樣才能阻止勒索軟件?
這10件事情可以保護(hù)您以及您的機(jī)構(gòu)免受勒索軟件傷害��。
1. 制定備份與恢復(fù)計(jì)劃�����。經(jīng)常備份您的系統(tǒng)���,并且將備份文件離線存儲到獨(dú)立設(shè)備�。
2. 使用專業(yè)的電子郵件與網(wǎng)絡(luò)安全工具�����,可以分析電子郵件附件�����、網(wǎng)頁���、或文件是否包含惡意軟件����,可以隔離沒有業(yè)務(wù)相關(guān)性的潛在破壞性廣告與社交媒體網(wǎng)站。這些工具應(yīng)該具有沙盒功能�,使新的或無法識別的文件可以安全環(huán)境中執(zhí)行和分析。
3. 不斷對操作系統(tǒng)���、設(shè)備��、以及軟件進(jìn)行補(bǔ)丁和更新��。
4. 確保您的設(shè)備與網(wǎng)絡(luò)上的反病毒���、入侵防護(hù)系統(tǒng)、以及反惡意軟件工具已經(jīng)升級到最新版本��。
5. 在可能的情況下���,使用應(yīng)用程序白名單,以防止非法應(yīng)用程序下載或運(yùn)行��。
6. 將您的網(wǎng)絡(luò)隔離到安全區(qū)�,確保某個(gè)區(qū)域的感染不會輕易擴(kuò)散到其他區(qū)域。
7. 建立并實(shí)施權(quán)限與特權(quán)制度,使極少數(shù)用戶才有可能感染關(guān)鍵應(yīng)用程序��、數(shù)據(jù)�、或服務(wù)。
8. 建立并實(shí)施自帶設(shè)備安全策略���,檢查并隔離不符合安全標(biāo)準(zhǔn)(沒有安裝客戶端或反惡意軟件�����、反病毒文件過期��、操作系統(tǒng)需要關(guān)鍵性補(bǔ)丁等)的設(shè)備�。
9. 部署鑒定分析工具���,可以在攻擊過后確認(rèn):a)感染來自何處;b)感染已經(jīng)在您的環(huán)境中潛伏多長時(shí)間;c)您已經(jīng)從所有設(shè)備移除了感染文件;d)您可以確保感染文件不會重返��。
10. 關(guān)鍵的是:不要指望您的員工來保證您安全�。同樣重要的是加強(qiáng)用戶意識培訓(xùn)���,告誡員工不要下載文件��、點(diǎn)擊電子郵件附件���、或點(diǎn)擊電子郵件中來路不明的網(wǎng)頁鏈接;人是安全鏈中最薄弱的一環(huán)���,需要圍繞他們制定計(jì)劃。
這就是為什么:因?yàn)閷τ谀暮芏鄦T工來說��,點(diǎn)擊附件并進(jìn)行網(wǎng)絡(luò)搜索就是他們工作的一部分�。難以保持適度水平的懷疑精神。第二�,釣魚式攻擊非常有效。定向的釣魚式攻擊使用類似在線數(shù)據(jù)與社交媒體文件之類的事物定制攻擊方式����。第三,點(diǎn)擊來自銀行的意外發(fā)票或重要信息只是人類本性��。最后�����,很多調(diào)查表明用戶認(rèn)為安全是其他人的職責(zé)�����,與自己無關(guān)���。
結(jié)論
網(wǎng)絡(luò)犯罪是一樁以盈利為主導(dǎo)的生意��,可以產(chǎn)生數(shù)十億的收入���。與大多數(shù)生意一樣,網(wǎng)絡(luò)罪犯有很高的積極性來尋找生財(cái)之道�����。他們使用詭計(jì)���、勒索��、攻擊����、威脅��、以及誘惑等手段來訪問您的關(guān)鍵數(shù)據(jù)與資源���。
勒索軟件并不是新鮮事物�����。但是其最近手段更加老練�、傳播方式更加隱蔽,表明其越發(fā)傾向于以意想不到的全新方式盤剝在線運(yùn)行的個(gè)人與單位����。
相比以往任何時(shí)候,安全不是為您的業(yè)務(wù)添加的某種工作�。安全與業(yè)務(wù)經(jīng)營是一個(gè)整體。確保您的合作伙伴是安全專家���,懂得安全不僅僅是設(shè)備�。安全是高度融合與協(xié)同的技術(shù)體系�,結(jié)合了有效的策略與貫穿生命周期的準(zhǔn)備、防護(hù)����、檢測、響應(yīng)���、以及學(xué)習(xí)方法��。
安全解決方案需要共享威脅情報(bào)�����,以便在您的分布式環(huán)境中有效地檢測威脅并作出響應(yīng)��。安全措施需要融入您的網(wǎng)絡(luò)結(jié)構(gòu)才能為您網(wǎng)絡(luò)環(huán)境的演進(jìn)和擴(kuò)展提供無縫保護(hù)��。安全措施必須能夠動態(tài)適應(yīng)新發(fā)現(xiàn)的威脅�����。而且安全措施絕不能妨礙您的經(jīng)營活動和經(jīng)營方式�����。
