东京1.5分彩全天计划 > IT网站 >

IT团队避免中招的“神技能”让勒索软件见鬼去吧!

  【创稿件】在过去几年里,勒索软件无疑让那些恶意软件的开发者们赚得盆满钵满。勒索软件的各种典型代表包括:2013 年的 CryptoLocker、2017 年 5 月的 WannaCry 和 2017 年 6 月的 NotPetya。

  它们的受害者包括各大电话公司、英国国家医疗服务(NHS)、以 FedEx 为首的快递公司、本田和雷诺之类的汽车制造商、以及乌克兰国家机构。

  这些攻击目标往往是并无针对性,而且如果不加以防范的话,大多数企业在未来的某个时候还可能面临同类的威胁。

  勒索软件是一种快速传播的恶意软件,它可以加密计算机上的各种文件以换取赎金。

  它通过锁定屏幕、键盘或文件,攻击者能够阻止或限制用户访问自己的系统,并通常以索取付款(一般是比特币之类的电子货币)的方式,换取文件或系统的解锁密钥。

  在少数情况下,就算赎金已支付,勒索软件也无法解锁文件,或者文件内容在加密时就已被混乱,导致其永远无法再被访问。

  同时,还有另一种风险存在:勒索软件在收到付款之后,可能在影响过的系统上留下痕迹,以便未来再次发起加密攻击。

  众所周知,比特币是一种全球性的加密货币。由于它能够提供匿名性,因此常被作为赎金支付的首选方式。

  鉴于系统中没有中间方(如银行或信用卡公司)的介入,因此交易直接发生在两个用户之间。

  与现实生活中的赎金条或勒索信类似,这种电子提示是给受害者或第三方留下的,告知他们攻击者已劫持了某些文件。

  因此,在恶意软件体系中,它通常能明确地指示受害者如何通过转账(一般是比特币),以换取对被加密文件的破解或继续访问。

  当然不!因为如果支付了赎金,您最终将助长该恶意软件产业,给他们去攻击更多的无辜受害者提供资助。

  同时,如果您被识别为愿意支付赎金的人,您可能在未来再次成为受害者。就算您付清了赎金,实际上也不能保证一定收到恢复数据的解密密钥。

  此外,一些“假的”勒索软件变体,甚至都无法有效地真正加密数据,何况它们中的一些可能已经被破解,并且市面上已有了解密工具。

  在过去的几年里,勒索软件已经成为了大多数企业与个人系统的重大威胁,一些不那么举足轻重的电脑也可能会中招。

  而且,因为家庭用户不一定有到位的备份策略,所以针对个人电脑的攻击会更为常见。

  勒索攻击的后果一般是非常严重的,除了感染可能导致业务的中断之外,勒索软件攻击所造成的经济损失还会导致:

  最重要的是,企业可能遭受到严重的声誉损失、失去现有或潜在客户、并长期削弱其品牌形象。

  此外,勒索软件的目的也并不总是靠赎金牟利。在最近的一些案例中,人们发现某些勒索软件只是某些其他恶意目的的“面纱”。

  它们给传统的网络攻击和数据盗窃提供了掩护,通过使得 IT 团队忙于应对显著的勒索软件感染事故,而限制或破坏了系统的整体效率。

  勒索软件最常见的感染媒介是网络钓鱼,即通过诱惑用户去点击电子邮件中的恶意链接、附件或社交网站上的信息,电脑和移动设备就会被感染。

  虽然用户看到赎金条是最为明显的被感染迹象,但是勒索软件攻击在早期阶段并不那么明显。

  恶意软件作者经常将勒索软件构造为:等到加密完成之后,再让受害者知道,这消耗了受害者及时限制攻击影响的宝贵时间。

  在多数情况下,一旦业务环境受到了感染,勒索软件就可以通过网络共享的途径,在后台有条不紊地加密它有所有权访问的各种文件。

  勒索软件的直观识别,通常始于用户报告 IT 团队某个文件已被损坏,或被创建了未知的文件扩展名。然后 IT 团队接手查找感染源,以控制正在进行的攻击,并遏制其影响。

  以下部分旨在为 IT 团队提供指导,以应对正在进行的勒索软件感染、并标注出那些是被最终用户发现的感染源。

  无论感染是正在继续还是已经停止,这些任务都可以被并行执行,同时也能通过组合判断来消除误报。

  请善用已经部署到环境的现有安全工具,包括查看防病毒软件(AV)的日志,入向电子邮件和代理设备上的日志警报。

  虽然您会碰到大量的数据,但是这些可以与后面提到的其他任务相关联,以提高结果判断的准确性。

  我们时常会忽略通过咨询 IT 支持人员或用户来确定事故的根源,因为他们对于日常工作中出现的异常现象会更敏锐、更具体。

  您最好能提供一个单独的联系点,如某个邮件地址组或支持电话号码,以便用户直接报告问题,从而避免出现各自去频繁地呼叫 IT 支持人员,而耽误了他们实施调查的宝贵时间。

  虽然这会产生许多“噪音”,但是这些不但是事故的第一手资料,同时也能培养用户观察与报告问题的基本意识。

  单从无法访问的角度来看,我们无法准确定位自己的文件共享服务器或主机是否已被感染。

  为了加密,勒索软件必须打开并写入文件,这就意味着文件的所有权会被更改成受感染的用户。

  另外,赎金条也同样需要有受感染帐户的权限。识别所有者的最快方法就是打开被加密文件的属性,在“详细信息”选项卡中查看其所有者。

  我们可以通过手头的用户名来直接联系相关用户,然后通过查询活动目录,以获知用户登录的计算机名称。

  虽然活动目录本身本地并不提供此项操作,但是我们可以使用以下的脚本来实现。当然,根据域的大小不同,该脚本的运行时间也有所差异。

  那些具有多个连接的文件集会特别可疑,它们应该正在创建未知文件类型的文件。

  要想显示当前会话,请打开“计算机管理”,用“系统工具→共享文件夹→会线)和“系统工具→共享文件夹→打开文件”(如图 7)来查看当前的各种文件共享和远程连接。

  同时,如果有多个受影响的共享路径,那么确定哪个用户组同时有多个访问权限是至关重要的。

  定义更新通常需要设置警报日志,而不是删除或隔离文件,否则在能够解密时,您的重要文件就已经丢失了。

  描述当前针对感染所采取的措施,包括是否已将主机与网络连接断开,或已确定了所涉及到的用户。

  通过检查自己系统中这些服务的最近登录情况,您可以确定那些频繁使用网络连接的帐户,并限制感染的横向传播。

  名为 CAPE(Configuration and Payload Extraction,配置和有效负载提取)的开源工具会专门构建出上下文环境、并快速地分析输入样本是否为恶意。

  针对企业内部 C 级别的人员,给出一般性的建议和采纳的步骤,最大限度地减轻攻击的后果。

  要知道,在您之前许多组织都遇到过,所以请深吸一口气,这并不意味着您明天会上头条。

  不要草率为了面子而支付赎金,在很多情况下,赎金条上的链接很可能会构造出另一个网络钓鱼的机制。

  您也可以考虑打电话给外部专家。在很多情况下,具有网络事件响应经验的专业安全公司会比内部 IT 团队更擅长处理此类事件。他们将能够调查问题的严重程度,并确定下一步需要采取的措施。

  与网络进行物理隔离,并关闭已识别的主机:这是一个关键性的步骤,应该尽快完成。鉴于最近蠕虫类勒索软件的流行(如 WannaCry 利用了 Windows 核心组件中的漏洞),如果缺少此步,企业将“如临大敌”。

  识别勒索软件家族:用沙箱进行分析,识别勒索软件的变种与类型会是一个复杂的过程,因此我们需要用到各种工具和信息。

  采取切实可行的预防措施,持续保护 IT 基础架构及其持有的数据,例如:我们可以模拟运行各种攻击的场景,以测试和评估自身的安全性。

  采用“深度防御(defence-in-depth)”的策略,以减少风险的暴露、并阻止恶意软件在内网中的传播。

  实施严格的备份制度、持续备份数据、并将其存储到受感染的系统所无法访问到的多个位置(包括脱机),以确保在发生攻击时不会造成数据的丢失。同时,我们还应定期测试这些系统的访问性,而且最重要的是定期测试备份的完整性和恢复流程的可行性。

  通过定期更新系统的补丁程序、并消减漏洞被利用的可能性,来保障自己网络与系统的安全态势。

  通过考虑如何增强技术系统与流程的恢复能力,来为最糟糕情况的发生做好准备,进而保证您的关键系统在被勒索软件锁定时,仍能继续运作。

  制定事件的响应计划,并定期进行测试,以不断寻求改进。当然,如果您没有此项内部技能的话,可以外包或寻求外部电脑取证专家的服务。

  同时,对于违规所可能引起的公众利益受损,您应当确保有适当的沟通计划,以及具有及时通知媒体的能力。

  开展员工意识培训。确保您的员工充分了解自己可能面临的威胁,和常见的攻击方式(如:钓鱼邮件等)。