谈谈勒索病毒和应急防御

 

序言

勒索软件越来越成为对所有企业、高校的持续威胁。当我们努力加强防御并制定应对网络攻击的防御计划时，恶意攻击者会发起更复杂的攻击，从而增加防御的难度。勒索软件通常旨在通过在整个网络中扩展来瘫痪一些企业和高校。

虽然有许多原因会增加勒索软件攻击的可能性，但在这个新冠疫情的流行无疑在导致勒索软件攻击显着增加方面发挥了重要作用。它迫使个人、企业和公共部门机构迅速工作方式以远程办公模式继续其业务运营。即使没有新冠病毒引入的漏洞，勒索软件也已成为日益严重的威胁。

 

基础原理

勒索软件是一种恶意软件，它对个人、企业或机构的关键数据、文件和操作系统进行加密，并要求支付一定的赎金才能对其进行解密。这是一种网络操纵形式，恶意行为者会发现易受攻击的表面并将其用于攻击组织，从而使他们无法访问其计算机、数据库、服务器、应用程序和文件。

勒索软件通过多种方式控制系统，例如网络钓鱼电子邮件或有针对性的攻击。一旦它获得攻击向量并在端点上建立控制权，它将一直留在那里直到其任务完成。

勒索软件在系统内部建立据点后，会将恶意二进制文件放入系统中，进而发现并加密数据文件，如文档、PDF、多媒体文件和数据库存储。勒索软件还可能利用网络或服务器漏洞在其它系统中传播，并可能试图感染整个组织。

当攻击者控制公司的数据任其摆布时，他们试图勒索公司支付赎金以解密文件，否则将面临数据和潜在系统丢失的严重后果。如果企业中没有可靠及时的数据备份，拒绝支付赎金，他们唯一的选择就是承担失去的时间、资源以及对客户关系的潜在损害、品牌侵蚀、股东诉讼和监管罚款。

 

防御方案

1、数据备份

定期备份关键数据是防御勒索软件犯罪者的第一步。为了确保公司永远不会被锁定在他们的系统和数据文件之外，企业应该始终并且经常将数据备份副本存储在外部硬盘驱动器或云存储中。在勒索软件感染的情况下，虽然可能需要很长时间，但可以将计算机格式化，并通过备份将数据文件完整上传。这样，可以避免因赎金要求而造成的损失。虽然备份数据不会阻止这些攻击，但它可以保障业务能够正常运转。

2、保护备份

网络犯罪分子也在设计破坏、加密或删除备份系统的策略。因此，仅依靠备份是不充分的防御。许多组织使用特权访问解决方案来保护他们的备份，因此只有特定的授权人员才能访问或修改它。

3、安装和维护病毒查杀软件

较旧的杀毒软件版本为攻击者提供了易受攻击的访问点来控制系统。这就是为什么在整个组织中配置全面的杀毒安全软件以保护所有系统和软件至关重要的原因。所以，尽早并经常更新所有设备和软件。

4、安全上网

这种做法意味着用户不会点击不必要的链接，而只会回复合法的电子邮件。大多数情况下，勒索软件通过网络钓鱼进入，诱使用户打开包含恶意软件或其他病毒的危险文件。

5、安全网络

不安全的公共 Wi-Fi 网络也构成威胁，因为每个人都可以访问它们，包括恶意行为者。无论用户身在何处，安装虚拟专用网络 (VPN) 都可以提供安全的 Internet 连接。但是，VPN无法抵御设法进入内部网络的黑客。

6、保持警惕

随时了解最新的勒索软件威胁并保持警惕，以便企业可以警惕潜在的攻击。此外，了解市场上可用的解密工具，如果组织成为勒索软件的受害者，这将有所帮助。

7、网络安全意识培训

许多员工可能不完全理解网络安全的概念以及他们的一些活动如何增加攻击风险。因此，公司定期进行演习、模拟活动和培训员工是有益的，这样他们就可以警惕网络钓鱼和其他社会工程攻击。

 

应急响应

 

在发生勒索病毒攻击时，快速行动对于限制影响至关重要。有一些缓解措施方案：

1、隔离受攻击的设备以阻止传播

当勒索软件感染一个系统时，它可能会构成中等威胁。然而，当它蔓延到整个组织时，破坏就开始了。事件响应时间决定了造成的损害程度。因此，迅速做出反应以隔离受感染的设备并将它们与网络、服务器和其他设备断开连接是至关重要的。应立即关闭无线连接（例如蓝牙、WiFi、热点等）以限制感染。

2、评估损害

由于勒索软件可能已经存在于其他设备中，因此建议评估所有数据文件和任何可疑活动。例如，最近使用奇怪扩展名加密的文件、具有奇怪文件名的报告或用户无法打开的文件。一旦发现受感染的项目，请断开它们与网络的连接以控制感染。

目标是对所有潜在的攻击媒介、端点设备、存储等进行综合报告，以便采取适当的保护措施。锁定所有文件共享将停止正在进行的加密，以防止其进一步传播。

3、识别勒索软件病毒源头

零号的勒索软件是传染源。它是网络犯罪分子首先瞄准的设备或系统，勒索软件感染通过它进入环境。在找到零号病人之前，控制感染的工作将继续进行。要获得可见性，请检查反恶意软件和其他监控平台发出的任何警报。

由于网络钓鱼电子邮件和恶意附件通常会发起攻击，因此请向员工询问他们可能收到并打开的任何可疑电子邮件。仔细查看文件属性，这将提供有关入口点的线索。

4、识别勒索软件变种

在深入防御之前，了解可能攻击系统的勒索软件变种会有所帮助。有几种工具可以扫描加密文件并提供对所涉及变体的洞察。进行研究以更好地了解它，并提醒所有员工注意其行为和迹象，以识别他们是否已成为目标。

5、恢复数据备份

现在已经采取了所有预防措施，是时候继续响应过程了。正确快速地执行上述步骤，将提供完整且无感染的备份。下一步是使用反恶意软件来消除勒索软件，以防止进一步传播。消除勒索软件的所有痕迹后，使用备份恢复系统数据。

6、考虑其它解密选项

许多组织发现自己没有可行的备份，要么是因为它已被勒索软件破坏，要么是他们未能及时备份数据。无论哪种情况，即使没有备份，使用解密工具重新获得对数据的访问权限的机会也很小。有几个可用的密钥和应用程序可以解密被勒索软件锁定的数据。但是，这是一个漫长的过程，如果运气好的话，数据可能会在几天内恢复。

阅读结束，欢迎关注点赞

原文始发于微信公众号（安全架构）：谈谈勒索病毒和应急防御