本文讲的是 十个步骤使您免受勒索软件伤害,如果您在过去几周一直对安全方面的新闻有所关注,应该听说多家公司受到勒索软件,特别是“Locky”的影响,其中不乏国内知名公司。这款勒索软件于今年二月露面并迅速成长为全球第二大勒索软件系列,排名仅次于CryptoWall,位于TeslaCrypt之前。虽然美国、法国与日本是受Locky影响最严重的三个国家,但是勒索软件同样肆虐其他亚太地区,尤其是中国。
最近发生的这波网络攻击浪潮使许多机构与用户深表担忧,您应该也不例外。勒索软件是很龌龊的事物,但是经过细心准备,您可以显著降低感染风险,并且减少感染之后对您或您的机构造成的影响。
什么是勒索软件?
勒索软件是一种恶意软件,可以感染设备、网络与数据中心并使其瘫痪,直至用户或机构支付赎金使系统解锁。勒索软件至少从1989年起就已经存在,当时的“PC Cyborg”木马对硬盘上的文件名进行加密并要求用户支付189美元才能解锁。在此期间,勒索软件攻击变得更加复杂、更有针对性,也更有利可图。
勒索软件的影响难以估算,因为很多机构选择了支付赎金解锁文件——这种方法并不总是管用。由Fortinet和其他几家知名安全公司组成的网络威胁联盟于2015年10月发布了关于Cryptowall v3勒索软件的报告,报告预计此勒索软件已经给受害者带来至少3亿2500万美元的损失了。(您可以在此处阅读完整的报告:http://cyberthreatalliance.org/cryptowall-report.pdf),Fortinet的FortiGuard威胁研究与响应实验室持续跟进有关勒索软件的技术。
勒索软件通常采取以下几种方式中的一种。Crypto 勒索软件可以感染操作系统,使设备无法启动。其他勒索软件可以加密驱动器或一组文件或文件名。一些恶意版本使用定时器开始删除文件,直至支付赎金。所有勒索软件都要求支付赎金以解锁或释放被锁定或加密的系统、文件、或数据。
2016年03月31日,美国网络应急反应团队与加拿大网络事件响应中心发布了勒索软件高调感染医院系统的联合警报。(参阅 https://www.us-cert.gov/ncas/alerts/TA16-091A)
该警报称,受感染用户的设备屏幕上通常会显示类似的信息:
“您的计算机已经感染病毒。点击此处可以解决问题。”
“您的计算机被用于访问有非法内容的网站。您必须支付100美元罚金才能使计算机解锁。”
“您计算机上的所有文件已被加密。您必须在72小时之内支付赎金才能恢复数据访问。”
在某些情况下,这种警告显示时伴有令人尴尬或色情的图片,目的是刺激用户尽快将其从系统中甩掉。但是在所有情况下,系统脱机、关键数据不可用、生产停顿、企业经营活动受损。
我是如何被感染的?
勒索软件有多种传输方式,但是最常见的是电子邮件中附带的已感染文件。例如,今天我收到一份自称来自银行的电子邮件。邮件中有正确的银行标识、真实的银行网址链接、以及我的名字。信息的正文声称检测到我的账户存在可疑活动,并且我需要安装附带的文件来验证我的证书。这看起来像合法的问题。其实不是,这是一个钓鱼攻击。
当然,对于我们来说真相就是银行不会发送文件并要求安装——当然不会验证您的证书。而是附带的文件已受到勒索软件的感染,如果我点击了该文件,勒索软件就会加载到我的系统中。
但是电子邮件附件不是唯一的感染渠道。路过式下载是另一种感染方式:用户访问受感染的网页并在用户不知情的情况下下载并安装了恶意软件。勒索软件同样通过社交媒体扩散,比如网页式即时通讯应用程序。而且最近,脆弱的网页服务器被用作进入点来访问机构内部网络。
怎样才能阻止勒索软件?
这10件事情可以保护您以及您的机构免受勒索软件伤害。
- 制定备份与恢复计划。经常备份您的系统,并且将备份文件离线存储到独立设备。
- 使用专业的电子邮件与网络安全工具,可以分析电子邮件附件、网页、或文件是否包含恶意软件,可以隔离没有业务相关性的潜在破坏性广告与社交媒体网站。这些工具应该具有沙盒功能,使新的或无法识别的文件可以安全环境中执行和分析。
- 不断对操作系统、设备、以及软件进行补丁和更新。
- 确保您的设备与网络上的反病毒、入侵防护系统、以及反恶意软件工具已经升级到最新版本。
- 在可能的情况下,使用应用程序白名单,以防止非法应用程序下载或运行。
- 将您的网络隔离到安全区,确保某个区域的感染不会轻易扩散到其他区域。
- 建立并实施权限与特权制度,使极少数用户才有可能感染关键应用程序、数据、或服务。
- 建立并实施自带设备安全策略,检查并隔离不符合安全标准(没有安装客户端或反恶意软件、反病毒文件过期、操作系统需要关键性补丁等)的设备。
- 部署鉴定分析工具,可以在攻击过后确认:
a)感染来自何处;
b)感染已经在您的环境中潜伏多长时间;
c)您已经从所有设备移除了感染文件;
d)您可以确保感染文件不会重返。 - 关键的是:不要指望您的员工来保证您安全。同样重要的是加强用户意识培训,告诫员工不要下载文件、点击电子邮件附件、或点击电子邮件中来路不明的网页链接;人是安全链中最薄弱的一环,需要围绕他们制定计划。
这就是为什么:因为对于您的很多员工来说,点击附件并进行网络搜索就是他们工作的一部分。难以保持适度水平的怀疑精神。第二,钓鱼式攻击非常有效。定向的钓鱼式攻击使用类似在线数据与社交媒体文件之类的事物定制攻击方式。第三,点击来自银行的意外发票或重要信息只是人类本性。最后,很多调查表明用户认为安全是其他人的职责,与自己无关。
结论
网络犯罪是一桩以盈利为主导的生意,可以产生数十亿的收入。与大多数生意一样,网络罪犯有很高的积极性来寻找生财之道。他们使用诡计、勒索、攻击、威胁、以及诱惑等手段来访问您的关键数据与资源。
勒索软件并不是新鲜事物。但是其最近手段更加老练、传播方式更加隐蔽,表明其越发倾向于以意想不到的全新方式盘剥在线运行的个人与单位。
相比以往任何时候,安全不是为您的业务添加的某种工作。安全与业务经营是一个整体。确保您的合作伙伴是安全专家,懂得安全不仅仅是设备。安全是高度融合与协同的技术体系,结合了有效的策略与贯穿生命周期的准备、防护、检测、响应、以及学习方法。
安全解决方案需要共享威胁情报,以便在您的分布式环境中有效地检测威胁并作出响应。安全措施需要融入您的网络结构才能为您网络环境的演进和扩展提供无缝保护。安全措施必须能够动态适应新发现的威胁。而且安全措施绝不能妨碍您的经营活动和经营方式。