【脉搏译文系列】如何高效的应对勒索软件

2017-09-25 7,857

近年来勒索病毒的危害逐渐体现,比普通病毒更难防御和解决,常常会给企业造成巨额的损失或者使得企业因为资产被加密而破产,了解勒索软件及如何有效的应对就显得非常重要,是企业全员的必修课。安识科技在多次应急响应中也积累了大量勒索病毒软件后处理方法和缓解方案,新型的勒索病毒变种的抑制是全球性的挑战,值得学习和研讨。

本文<如何高效的应对勒索软件>属于【脉搏译文系列】文章之一,由 安全脉搏编辑w2n1ck 翻译,原文:Fireeye-effective-ransomware-response-2017  转载请注明来源"安全脉搏”。

了解勒索软件及如何有效的应对

目录

  • 如何高效的应对勒索软件.... 0

  • 了解勒索软件及如何有效的应对.... 0

  • 前言.... 2

  • 相比于用于高级攻击中的隐形的恶意软件,勒索软件的影响是即时性的.... 2

  • 关于勒索软件.... 2

  • 勒索软件的严重性.... 2

  • 加密公司和个人的文件和数据.... 3

  • 多级攻击.... 3

  • 尝试恢复期间披露机密或私有信息.... 3

  • 勒索软件的严重性.... 4

  • 勒索软件的应急策略1:.... 4

  • 识别攻击机制.... 4

  • 通过电子邮件感染.... 5

  • 勒索软件的应急策略2. 5

  • 实施高级安全解决方案.... 5

  • 电子邮件安全是第一道防线.... 6

 

前言

在2017年年度威胁趋势报告中,研究员Mandiant观察到关于勒索软件的相关媒体的报道明显增多。

有一个比较特殊、高级的案例,一个蠕虫性质的勒索软件,又名为WannaCrypt和Wcry,该勒索软件在74个国家中爆发。全球各国和各国的公司都遭受到了攻击,比如英国的National Health Service 部门(NHS),西班牙的Telefonica,FedEx及Deutsche Bahn等。

大多数的勒索软件攻击的目标都是资料的可靠性或可用性。一些目标组织会受到公开发布一些敏感数据或信息等针对性威胁,于此同时目标组织一般很有可能会被勒索软件感染,比如Cerber,Locky。

勒索软件操纵者使用其母语感染了全世界的受害者。这种类型的恶意软件主要是在Windows操作系统,但是近年来,勒索软件已经发展到其他的操作系统了,比如Android (Simplocker)和Mac OS X (KeRanger),正是由于恶意攻击者的扩张和范围不断的增加,所以对于勒索软件的应对及赎金需要一个迫切的解决办法。

ransomware

相比于用于高级攻击中的隐形的恶意软件,勒索软件的影响是即时性的

关于勒索软件

勒索软件是一种恶意软件,用于使受害者的计算机或者特定的文件不可用或者不可读。并要求受害者支付赎金以换取可用于恢复计算机或者解密加密的文件的加密密钥。

一旦感染了目标系统,现在的勒索软件会加密一组目标群体,使用户不可用。然后显示需要付款的说明,以恢复对文件的访问。在线虚拟货币比如PayPal和Bitcoin是首选的付款方式,因为他们不易追踪。

allfiles

与隐形的恶意软件相比,勒索软件的影响是即时性的。对于组织勒索软件的影响也越来越被关注,比如资金损失和业务停机。

勒索软件的严重性

目前,勒索软件主要有三种主要的危害类型。

图片 1

加密公司和个人的文件和数据

勒索软件加密系统上的重要文档和数据,使组织或者个人无法访问。

由于加密的文件无法使用现成的安全解决方案进行恢复,因此受害者必须向攻击者支付赎金或使用预先存在的备份来恢复这些文件

在有条件的情况下,还可以识别并使用勒索软件的加密算法来恢复数据。

然而,许多流行的勒索软件只有在接收到攻击者的命令和控制服务器的响应或者公共的RSA密钥之后才加密文件。这种趋势意味着阻止控制服务器传输有可能将会阻止被加密。

许多情况下,如果没有攻击者的解密密钥,完全恢复几乎是不可能的。一旦计算机被勒索软件感染,几乎都是瞬间损坏而且无法避免,因为被感染的计算机上的数据和文件至少暂时是不可用的了。

 二次攻击

勒索软件可能会通过文件服务器或者网络共享等设备造成二次或三次的攻击行为。如果出事受害者的计算机连接到这样的设备,那么勒索软件将会再次加密整个共享域内的所有资源。

勒索软件在运行时,恶意攻击者可以将勒索软件传播到受感染组织内部的新的受害者。用于下载勒索软件指定的工具,同时也会窃取电子邮件凭证,攻击者使用受损的电子邮件账户进一步部署勒索软件。

通过上述这两种扩展机制,单个受感染的PC可以向整个企业及内部引入勒索软件,引起更大的攻击损坏。

 尝试恢复期间披露机密或私有信息

恶意攻击者可能会尝试窃取(或滥用)勒索软件所产生的系统数据。在多数情况下,已经观察到恶意攻击者会根据窃取到的的数据来衡量需要的赎金。感染了具有欺诈性的恶意软件通常可以作为攻击者执行各种获利行为的立足点。

勒索软件的严重性

勒索软件的数量和种类不断增加,造成范围更大的危害。如果受害者没有在指定时间内支付赎金,攻击者也将变得越来越恶意,直接将数据卖给他人或者在网络上发布。

FireEye经常会发布一些已经发现并识别的新的勒索软件变种。FileEye威胁情报部门跟踪了影响到全球的WanaCry勒索软件病毒。2016年的CryptXXX是勒索软件中危害最大的变种之一。Cerber 和Locky勒索软件通过电子邮件进行传播感染,大多数的勒索软件都是通过电子邮件进行传播的。

CryptoWall勒索软件在2015年的短短6个月时间内获得了100万美元的非法收益。FireEye估计,黑客TeslaCrypt在2015年2月7日至4月28日期间共获取了76522美元的收益。

使用勒索软件来获取非法赎金的攻击预计在未来的数年将会日益增多。即使对于计算机新手来说,在全球范围内部署也是相当简单的。

勒索软件的应急策略1:

识别攻击机制

面对勒索软件的日益扩大的威胁,没有一个单一的解决方案。受害者通常支付赎金,直接解决面对的问题,或者冒着重大的中断风险进行企业自我恢复。

向攻击者支付赎金来解密并不是一个真正的解决方案。支付赎金不仅给受害者组织造成资金财务的负担,而且还直接助长了攻击者继续进行攻击并勒索赎金的气焰。此外,支付赎金并不能保证攻击者能够提供恢复计算机所需的密钥或者解密加密的文件。执法机构在对向攻击者支付赎金方面也并不赞同。相反,他们强烈建议做好预防和应急计划等措施。

一般来说,将操作系统和应用程序更新到最新的版本,并在访问新闻,广告和其他可能存在安全漏洞的网站时小心谨慎就可以防止被勒索软件感染。

增强电子邮件的安全性可以有效的阻止钓鱼邮件等许多攻击。如果发现被感染,需要定期备份来帮助减轻损坏同时需要加快恢复时间。

相关组织、部门应加强电子邮件相关机制,以确定是否被勒索软件侵入,并采取先进的入侵防御系统来防护电子邮件的安全性,从而保护企业关键信息、数据免受勒索软件的攻击。

一个健全的安全策略必须要能够彻底分析出攻击者的攻击机制,并评估可以减轻因勒索软件而带来的损失的相关安全措施。

通过电子邮件感染

勒索软件通过电子邮件感染。事实上,大多数报告的感染勒索软件是通过电子邮件引入的。根据网络威胁联盟(CTA)的报道,在全球范围内造成了3.25亿美元的损失的CryptoWall 3.0,是通过电子邮件(67.3%)和漏洞利用工具(30.7%)通过网络钓鱼邮件攻击传播的。

当通过电子邮件引入时,勒索软件通过附件(如压缩文件,文本文件和HTML文件),或通过电子邮件或附件文档中的链接传递。 攻击者通常会通过社会工程学技术而不是系统漏洞来使用户执行或点击链接。

基于行为的分析对针对由电子邮件发送的勒索软件很有效果。行为分析可以主动阻止攻击途径,来尽量减少损害或感染。

图片 2

勒索软件的应急策略2:

实施高级安全解决方案

安全公司正在迅速推出旨在对付由日益增长的勒索软件造成影响的解决方案。然而,许多“最好的”解决方案只是专注于文件备份或检测勒索软件的特定变种。 他们通常不提供关于攻击者如何找到目标计算机的方式的清楚信息,或者如何有效地阻止被攻击。

电子邮件安全是第一道防线

电子邮件安全解决方案可以检测并阻止通过电子邮件附件和嵌入式恶意链接分发的勒索软件。

大部分的勒索软件都是以电子邮件方式进入企业的,通常采用矛刺网的形式。 矛刺式攻击是首选的攻击策略之一,因为它是不可检测的。由于依赖于社会工程学所以使其能够获得极高的成功率-甚至可以愚弄安全专业人员和高级技术经理。 这种方式需要一个电子邮件来激活勒索软件并锁定公司及企业宝贵的资产等。

图片 3

【本文由 安全脉搏编辑w2n1ck 翻译,原文:Fireeye-effective-ransomware-response-2017 。转载请注明来源"安全脉搏”,并附上链接。】

Tags:

评论  (0)
快来写下你的想法吧!

w2n1ck

文章数:8 积分: 20

重要的不在于很多事,在于把一件事做到极致。

关注我们

合作伙伴