• 主頁
  • 文章
  • 軟件
  • 勒索軟件的威脅:如果您想再次查看您的文件,請支付費用

勒索軟件的威脅:如果您想再次查看您的文件,請支付費用

已發表: 2017-06-07

您必須生活在岩石之下才能不知道今年早些時候發生的 WannaCry 勒索軟件攻擊。 但是,另一方面,你還必須生活在一塊岩石下,WannaCry 才能在你的腦海中浮現。

我們生活在一個信息不斷流動的世界,全球的新發展在幾分鐘內就會被聽到。 因此,對於大多數人來說,忘記這次大規模攻擊是完全正常的。 然而,忘記所有關於 WannaCry 和勒索軟件的概念也是不明智的,因為這肯定不是第一次攻擊,也不會是最後一次。

由於網絡犯罪分子能夠瞄準使用最廣泛的操作系統之一,並使 230,000 台計算機和相關企業陷入癱瘓,勒索軟件是一個非常現實的威脅,不應被遺忘。

什麼是勒索軟件?

好吧,現在大多數人都知道勒索軟件是什麼。 但如果你不是,這是學習的好時機。 這個概念本身是相當基本的,幾乎是不言自明的,名字中就有“贖金”這個詞。 基本上,勒索軟件就像將您計算機上的文件和信息作為人質,然後要求贖金以釋放人質。 但是,為了更清楚起見,讓我們先來個技術定義。

勒索軟件是“計算機漏洞家族”或惡意攻擊軟件,它基本上通過加密所有文件並需要特定的“加密密鑰”來解鎖受感染的設備。 現在,這不僅會影響您的舊台式電腦,它甚至可能會影響您的手機、平板電腦或服務器。

勒索軟件截圖

一旦端點設備被加密,設備的所有者或用戶就無法訪問該設備上的任何文件或功能。 要重新獲得對該設備的訪問權限,用戶必須支付“贖金”,即一些費用金額,才能再次獲得對其文件和設備的訪問權限。

因此,毫無疑問,理解這個概念的最簡單方法是有人將您的文件或整個設備作為人質。 如果你不付錢,你就再也看不到你孩子的那些照片了——或者更重要的是,那些極其敏感的商業相關文件。

威脅有多大?

就在大規模 WannaCry 攻擊前幾個月,IBM Security 發布了一份報告,仔細研究了勒索軟件攻擊的狀態和未來。 在報告“勒索軟件:消費者和企業如何評估他們的數據”中,IBM Security 強調了一些關於勒索軟件威脅的可怕信息。

馬上,最大的發現是勒索軟件正在上升。 雖然最初的概念可以追溯到 1989 年,當時一張包含“鎖定代碼”的軟盤被郵寄給受害者,但 IBM Security 指出,自 2014 年以來,勒索軟件攻擊越來越猖獗。

事實上,他們指出,“隨著網絡犯罪分子利用改進的加密能力以及越來越多地使用比特幣等加密貨幣或底層區塊鏈技術,這一概念已經獲得了‘巨大的動力’。” 但一步“勒索軟件攻擊在 2016 年翻了兩番,平均每天有 4,000 次攻擊。”

FBI 甚至早在 2016 年就報告稱,僅在 2016 年的前 3 個月內,美國就支付了超過 2.09美元的勒索軟件款項。” 事實上,這比 2015 年全年報告的 2400 萬美元增加了 771%。

勒索軟件報價

FBI 估計,勒索軟件目前正以正確的速度在 2016 年為網絡犯罪分子帶來約 10 億美元的收入來源。正如我們在 2017 年 5 月看到的那樣,FBI 離我們不遠了。 所以,是的,威脅絕對是巨大的。 我們不是在談論 20 美元的付款:IBM Security 指出,據報導,贖金低至 500 美元,但在某些情況下甚至高達數百萬美元。 當然,根據您的業務,贖金可能會有所不同——但它總是會受到傷害。

它是如何工作的?

既然我們對什麼是勒索軟件攻擊有了基本的了解,並且我們知道威脅是一個非常真實的威脅,那麼下一個難題將是了解這種攻擊是如何進行的。 畢竟,你必須了解你的敵人才能打敗你的敵人,而僅僅了解勒索軟件攻擊的根本原因就足以幫助預防它們。

正如我之前在網絡安全指南中所寫,常識是最佳實踐。 如果網絡上的某個人只是敞開大門讓攻擊者進入,那麼再多的安全、防火牆或會話邊界控制器都無法阻止入侵者進入。這就是“社會工程”概念的用武之地,其中涉及欺騙和操縱個人共享機密信息,甚至允許訪問其他受限系統。

與大多數惡意軟件攻擊一樣,勒索軟件有點像吸血鬼——他們必須被邀請才能獲得訪問權限。 雖然這不是一個完美的類比,但它有助於理解這一點。 計算機病毒不能在未經您同意的情況下自行下載到您的計算機上——通常需要有一個聯繫點——其中最常見的是帶有附件的垃圾郵件,IBM Security 也注意到這種情況有所增加。 帶有勒索軟件的垃圾郵件百分比

你知道你從那個地址收到的可疑電子郵件,看起來有點像貝基的,但有一個奇怪的附件? 不要打開它,不要下載附件,甚至不要看它。 根據 IBM 的說法,不請自來的電子郵件和垃圾郵件是勒索軟件進入您的網絡的主要原因。

打開一封電子郵件,或下載一個附件,勒索軟件就可以訪問您的機器。 從那裡,這個惡意軟件可以掃描端點上的文件系統,“並找到受害者保存文件的所有位置,包括卷影副本和備份文件以及網絡存儲庫,甚至連接到端點的外部驅動器。”

一旦找到所有內容,惡意軟件就可以從一台設備跳轉到網絡上的每一台設備,加密接管並鎖定您的整個系統或有價值的信息,您現在必須付費才能將其取回。 但是,這並不能完全說明整個故事。 事實上,根據 Malwarebytes Labs 的說法,WannaCry 甚至不是從一個粗略的電子郵件附件開始的。

WannaCry 是如何傳播至今的?

畢竟,並不是有 230,000 個人打開了允許 WannaCry 進入他們計算機的同一封電子郵件。 同樣,根據 Malwarebytes 的說法,這個想法是一些棘手的 NSA 軟件和做法被用來發現網絡中的弱點。

“這種令人討厭的蠕蟲是通過追踪易受攻擊的面向公眾的 SMB 端口的操作傳播的,然後使用所謂的 NSA 洩露的 EternalBlue 漏洞進入網絡,並使用(也是 NSA 所謂的)DoublePulsar 漏洞來建立持久性並允許安裝的 WannaCry 勒索軟件。”

現在,這有點技術性,如果您想更深入地了解細節,Malwarebytes 可以很好地分解所有內容。 然而,需要注意的重要一點是,WannaCry 並不是從電子郵件開始的——因此,雖然它是一個主要來源,但它並不是唯一的來源,也不是最令人恐懼的來源。 WannaCry 是一種“吸血鬼”,它進化為找到自己獨特的方式進入房子,而不是需要被邀請。哦,WannaCry 使用了來自 NSA 的“武器化”漏洞(EternalBlue 和 DoublePulsar 的東西)——這也很重要。 .

統一通信和勒索軟件

因此,您可能會認為勒索軟件只能用於鎖定您的計算機,以防止訪問文件和設備本身。 嗯,這是最大的擔憂之一,但在雲解決方案不斷連接的世界中,這並不是唯一的擔憂。 事實上,VoIP 和統一通信特別具有獨特的勒索軟件威脅。

僅在 WannaCry 期間,醫院就報告說不僅計算機受到影響,而且醫院的電話系統也受到影響。 這種類型的軟件幾乎可以傳播到任何連接的設備或系統,包括我們日常在業務中使用的統一通信解決方案。 VoIP 攻擊呈上升趨勢,您連接到網絡但未得到適當保護的每部桌面電話都允許額外的接入點進入您的網絡。 還有 Skype 和 Type 攻擊,呼叫者可以找出您在電話上輸入的內容,從而允許他們未經授權訪問網絡。

Malwarebytes 還指出,WannaCry 攻擊利用了特定協議,特別是“SMB 協議”。 他們解釋說,SMB 用於在計算機之間傳輸文件,並且是默認情況下在設備上最常啟用的設置,儘管不需要該協議。 Malwarebytes 特別建議用戶禁用 SMB,“以及其他不使用的通信協議”。

降低風險,保護您的業務

因此,正如任何安全專家都會告訴您的那樣,第一道防線也許是最堅固的防線就是教育。 如果我們知道有哪些潛在威脅潛伏在拐角處,我們就會知道這些威脅如何進入我們的網絡,以及如何防止這些威脅感染我們的設備。

但是,僅僅告訴您的團隊不要打開任何粗略的電子郵件是不夠的。 我們都會犯錯誤,歸根結底,這可能是一個誠實的錯誤,導致大規模感染。 另一方面,正如我們在 WannaCry 中看到的那樣,這些勒索軟件攻擊甚至在計算機上找到了自己的方式。 那麼,我們如何防範如此巨大的威脅呢? 我們可以考慮一些基本實踐。

  • 更新一切

我一次又一次地看到人們忽略了他們手機和計算機上的那些更新警告,我一次又一次地看到這些最新更新解決的問題彈出。 這可能很煩人,可能需要一些時間離開你的一天,但你需要更新你的設備。 儘管微軟強制更新 Windows 10 計算機很煩人,但他們有道理。 如果存在安全漏洞,則必須對其進行修復,而這些修復程序包含在那些無聊的計算機更新中。 見鬼,就在 WannaCry 之後,微軟繼續為 Windows XP 打了補丁——一個幾乎被廢棄的操作系統。 保持。 一切。 向上。 到。 日期。

  • 備份一切

有兩種類型的人:備份數據的人,以及沒有經歷過丟失數據的痛苦經歷的人。 當您的企業依賴這些系統中的一些關鍵信息來維持日常業務運營時,您必須備份所有內容。 如果勒索軟件攻擊並且您無法使主系統聯機,那麼如果您的備份是最新且安全的,那麼您至少有一個安全網可以依靠。 由於勒索軟件可以從一個設備跳轉到同一網絡上的所有其他設備,因此備份應保存在與主網絡基礎設施無關的安全網絡上的唯一、安全位置。 哦,除非數據保存在三個位置,否則不會備份數據。 冗餘是關鍵。

  • 實施和維護安全軟件

雖然我之前已經談到過安全軟件,但還是值得一提。 使用安裝在所有員工端點上的最新防病毒和惡意軟件檢測軟件(IBM Security 直接推薦)是最好的開始方式。 IBM 還建議您更進一步,為所有防病毒軟件設置定期掃描和自動更新。 除了防病毒和檢測軟件之外,像前面提到的硬件或軟件防火牆和會話邊界控制器這樣的網絡看門人將有助於防止不必要的眼睛。 也可以考慮為移動和遠程用戶使用 VPN。

  • 創建和維護事件響應計劃

這一點與教育培訓人員並存,在安全方面應納入總體規劃。 即使採取了所有措施來防止攻擊,仍有可能發生攻擊。 制定事件響應計劃,以便關鍵團隊知道如何快速做出反應以盡可能防止造成更大的損害。 最重要的是,如果發生攻擊,請停止傳播。 斷開所有設備,遠離網絡,使用移動或個人設備。 一台保持連接的受感染機器可能會在幾分鐘內導致整個網絡被感染——這加劇了僅 BYoD 工作場所的安全噩夢。

  • 停止囤積漏洞

當然,這根本不適用於所有企業,甚至很多企業。 但歸根結底,我們需要停止囤積潛在的漏洞利用和已知的惡意軟件,以試圖“武器化”這些工具。 這是微軟總裁布拉德史密斯提出的一個強項,值得附和。 據稱 NSA 武器化漏洞被用於 WannaCry,當然可以一次又一次地使用。

不會消失的真正威脅

我們可以清楚地看到,勒索軟件無疑是一個巨大的威脅。 而且,我們也可以清楚地看到,勒索軟件不會很快消失。 事實上,我們更有可能期望在未來幾年內看到勒索軟件攻擊的增加,正如我們自 2014 年以來已經看到的那樣。不幸的是,沒有完美的防禦措施,但以任何方式為災難做好準備總比等待首先要發生的事情。

如果 WannaCry 不是您的企業需要認真對待安全的警鐘,那麼希望一旦發生另一次大規模攻擊就不會太晚。 我們已經看到一次攻擊覆蓋了全球 230,000 台計算機——誰知道下一次攻擊的規模和危害有多大?