原文:How To Survive A Ransomware Attack -- And Not Get Hit Again
作者:Kate O'Flaherty
2017年,WannaCry(蠕蟲病毒)因為攻陷了NHS(英國國家醫療服務體系)從而一舉成名,並且自此之後,類似的勒索軟件還在繼續攻擊企業裡面的系統。根據權威安全研究機構Symantec(賽門鐵克)的相關報道稱,從2013年以後,病毒感染率每年都在穩步上升,2017年達到創紀錄水平。
在剛剛過去的這幾個月的時間裡,勒索軟件嚴重影響了多個組織,這其中就包括美國的PGA[1](全球通用證書項目)組織以及位於阿拉斯加地區的Matanuska-Susitna學院[2],迫使政府工作人員只能使用打字機來完成日常工作。
迫於這樣的情勢下,政府開始關注勒索軟件的影響也就不足奇怪了,因為勒索軟件一旦鎖定用戶的設備或者數據,最終的解決方案只能是支付贖金。英國的國家網絡安全中心(NCSC)甚至還發布瞭如何降低被勒索軟件攻擊的相關建議[3]。與此同時,英國政府為了應對勒索軟件,還在網絡安全方面做出了重大調整,政府宣稱這些簡單的措施可以使得線上網絡更加安全。
據安全研究人員稱,與其它威脅相比,勒索軟件的數量的確有所下降。然而勒索軟件仍然是一個非常現實的威脅:攻擊數量的確在下降,但是攻擊的目標卻更具有針對性了。 “現在來看,2017年和2018年的主要差異是勒索軟件更具針對性的趨勢加強,”Glasswall Solutions的戰略總監Matt Shabat說到, “與其通過相對呆板的方法去尋找大規模的攻擊目標,這些病毒的製作者們似乎正在尋找一種更為精確的感染渠道,更有目標性,並且最終會讓感染者們妥協從而交贖金。”
識別勒索軟件
勒索軟件的攻擊有兩種方式。第一種就是對電腦或者網絡中的某個文件進行加密;第二種就是鎖定用戶的屏幕。“像WannaCry這種類似於蠕蟲式的勒索軟件,一旦進入網絡,就會橫向擴散到其它機器而不會受到攻擊者或受感染用戶的干擾,”NCSC發言人說。
有時,惡意軟件會以勒索的形式出現,但在支付贖金後,文件不會被解密。 這種惡意軟件就被稱為“wiper”惡意軟件。
勒索軟件通常會要求將比特幣這種加密貨幣作為“贖金”。在很多情況下,勒索的金額不會很大,都是適度的,從而讓整個支付過程以最快最廉價的方式完成。
勒索軟件攻擊的規模範圍和自動化性質使其不斷獲利。“他們是有選擇性的攻擊,通常不針對特定的個體或系統,因此任何部門或組織都可能受到感染。” NCS發言人說。
一般來說,如果某家公司遭遇到勒索軟件的攻擊,他們根本就察覺不到。受感染的計算機將無法訪問,因為密鑰文件已經被他們加密了,同時屏幕上還會顯示出關於贖金的說明。
Sophos的高級技術專家Paul Ducklin表示,大多數勒索軟件會在文本編輯器或瀏覽器中彈出付費頁面,“但也有很多會將電腦的桌面壁紙更改為付費頁面的圖案。”
令人遺憾的是,被感染者們剛想妥協時卻已經晚了,特別是如果勒索軟件在全網範圍內已經傳播,所有桌面都被劫持以後更為如此,Malwarebytes的惡意軟件分析師Chris Boyd說。 “主要原因基礎社會工程不完善,還有就是針對人力資源部門的虛假電子郵件,其中包含可疑的附件。”
辨別警告標誌:勒索軟件和電子郵件網絡釣魚
“目前為止電子郵件仍然是惡意病毒傳播的最佳渠道”,作為EMEA的網絡安全策略師Adenike Cosgrove說。她說對於網絡犯罪分子來說,最簡單的方法就是“通過簡單而複雜的社會工程策略”從而利用人類的脆弱性。她解釋說:“網絡犯罪分子已經找到了新的方法來利用人類的本能,這種本能就是好奇心和信任,最終會導致善意的人們落入到攻擊者的手中。其出現形式可能是一個偽裝的URL或看似沒有病毒的附件,但只需點擊一下即可,勒索軟件就會立即得手。
賽門鐵克的威脅研究員Dick O'Brien表示,大多數勒索軟件都是通過大量的垃圾郵件進行傳播的,其中就包含每天發送的數十萬封電子郵件。
勒索軟件也可能通過網站傳播,這些網站實際上已經被攻陷,然後以託管所謂的漏洞利用工具包為名。“實際上這是一種可以掃描訪問者計算機的工具,這種工具可以檢查電腦是否正在運行具有已知漏洞的軟件,”O'Brien說。“只要發現漏洞,它將利用其中任意一個從而在受害者的計算機上下載並安裝勒索軟件。”
在少數情況下,有些團伙試圖侵入公司網絡並且儘可能多的感染計算機,企業會成為他們的首選目標。
如何抵禦勒索軟件
如果你被勒索軟件襲擊了,你會怎麼做?
“許多勒索軟件的代碼質量很差,有些軟件甚至連主密鑰都被洩露了,因此在線查看一下是否已經有人建立了解密工具這種做法很值得嘗試,”博伊德說。他的公司Malwarebytes針對某些版本的Petya和Chimera發佈了獨立版本,“當然還有更多的版本”。
無論做什麼努力,最後同意支付贖金是一個錯誤的做法。事實上,國家犯罪署鼓勵工業界和公眾不要支付贖金。
“我們強烈建議不要支付贖金,因為一旦同意的話就是鼓勵詐騙者繼續他們有利可圖的商業模式,” Boyd表示贊同。
ESET的網絡安全專家Jake Moore說他的觀點就是建議不要付錢。“但當我看到那些CEO們雙手抱著頭略顯無奈的樣子問我,‘我們還能做什麼呢’,這時他們已經意識到自己必須要妥協了。”
然而,即使付完錢你也沒辦法確保數據就能要的回來,某些情況下如果完成付款,這些數據還有可能被“撕票”。“同意給網絡犯罪分子支付贖金也就相當於給更大規模的網絡攻擊提供了資金,因此必須在此重申支付贖金並不是最終的解決之道,” Moore說。
解決方案遠不止支付贖金這麼簡單。據Cybereason的內容與安全研究副總裁Lital Asher-Dotan說,某些組織將會設置一個比特幣錢包用來支付贖金,這個過程可能需要幾天時間。
未來如何避免勒索軟件的攻擊
未來如果想避免被勒索軟件攻擊,那麼就需要提前做一些預防準備,例如事件響應計劃和對員工的風險培訓。
但是Boyd表示大多數企業或者組織並不會就安全基礎知識對員工進行培訓。 “很少會有企業給員工發送關於一些常見的詐騙方法的郵件,也很少會有企業告知員工有哪些已有的安全工具可以用來阻止勒索軟件的攻擊”
事實上企業應該培訓員工如何識別出勒索軟件的攻擊。這會降低企業成為受害者的概率,員工一旦發現被攻擊也可以立即發出警報,埃森哲安全公司總經理Rick Hemsley說。 “其實員工是企業抵擋勒索軟件攻擊的最強防線。攻擊者只需要點擊一下就可能攻陷所有員工的電腦,因此讓所有人時刻處於警備狀態可能會將一次風險轉危為安。”
Gowling WLG的主管Helen Davenport表示,能夠及時發現隱藏的攻擊這點很重要。 “將攻擊扼殺在搖籃裡這點非常可取。如果在源頭上能夠立馬處理掉那些被破壞或加密的文件提示,攻擊的範圍將會減少很多。“
及時備份,這個做法可能人人都知道,但往往也最容易被忽略。Boyd說,即使沒有其它 措施,但是如果企業做好了充分的的備份流程,那麼只需要將文件覆蓋回原來的版本就可以,這種做法也最簡單。
RYAZAN,俄羅斯 - 2017年6月28日:一個年輕人的剪影反對紅色背景的與投射的消息與Pety
Moore說,測試恢復時間是其中非常關鍵的一部分。“我給很多公司提過建議,做一次'勒索軟件襲擊'模擬。因為有的公司聲稱只需要一個小時就可以在線恢復文件,但經過測試發現想要恢復文件實際上需要三天或更長時間。這可能會造成另一個問題,將惡意軟件帶來的危害進一步擴大。”
閱讀更多 TMT主題曲 的文章
