近年来,勒索软件成为全球范围内增长最快的威胁之一,并且被认为是全球网络攻击的领导者,因为它能导致许多组织和个人面临一些安全问题和巨大损失。勒索软件攻击的成本仅在一年内就超过了 10 亿美元,而且勒索软件攻击数量仍持续增加。
对一些犯罪分子来说,勒索软件就是一个用赎金来换取钥匙的恶意游戏。随着受害者的赎金持续增长,勒索软件发展成一个数十亿美元的产业。所以,想要把它连根拔起,没那么容易。本文,我们将看到针对复杂勒索软件攻击的响应及处理方法。
勒索软件的共同点
勒索软件的一个共同点是:所有的勒索软件变种,都使用了非常强大的加密算法(2048 RSA 密钥)。另外,据专业人士估计,需要大约 6.4 万亿年才能破解一台普通台式计算机的 RSA 2048 密钥。
正是由于包括 RSA 和 AES 密码在内的高级加密算法的广泛应用,使得勒索软件变得更加强大。
勒索软件使用无法追踪的比特币支付,并且每个勒索软件变种都要求支付不同金额的比特币来获得解密密钥。
有时攻击者可能会提供解密密钥,有时他们甚至还会帮你付钱,不过前提是,他们会强迫受害者感染另外几个人以获得解密密钥。
为了保持匿名性,攻击者都是使用“Tor”与受害者建立通信,这有助于攻击者隐藏他们的 IP 地址,因为 Tor 网络是由不同国家的数千个节点创建的,无法使用常规的互联网浏览器来浏览 Tor 站点。
感染后症状
1、一个包含勒索软件程序和指令的窗口已经打开,就无法关闭。这时,警告倒计时程序会提示,如何支付解锁文件和设备的费用。
2、如果长时间未支付赎金,倒计时程序会提醒您请在截止日期前支付费用,否则你将永远不能再解密该文件,或赎金金额将会增加。
3、突然文件无法打开,文件错误或者已损坏。
4、这时你可以看到一个目录,说明如何解密 FILES.TXT 或一些相关的指令。
感染媒介
1、网络钓鱼电子邮件
用户收到在正文内容中带有恶意链接的电子邮件。一旦用户单击链接,就会下载包含勒索软件的文件。 而这封电子邮件有可能看起来仅仅像是某个主流品牌、社交网站或 Seeking 应用,表面上看让人毫无戒备。
2、电子邮件附件
用户将收到带有附加文件的电子邮件。一旦用户打开文件,勒索软件就会在受害者计算机中被触发。 例如:紧急要求、工作 Offer、普通 Zip 文件,这让你有一种紧迫感去打开它。
3、嵌入式超链接
指包含嵌入式超链接的恶意文档。当用户点击超链接时,将会链接到互联网,并下载包含复制变量的恶意文件。 例如:很普通的 Look Document、Innocent Looking Hyperlink,都能和勒索软件相关联。
4、网站和下载
用户浏览受感染的网站并下载软件,用户误以为这是一个真正的软件,但它实际上包含一个变种的勒索软件。 例如:一般的浏览网站、色情网站、从 Bit Torrent 下载文件、PC 下载、Play 商店。
5、感染驱动
如果一个用户使用了含有旧浏览器、恶意插件或者未打补丁的第三方应用程序的浏览器,这将会通过组织中的文件共享平台(如 IRC,Skype 和其他社交媒体)中的受感染用户进行传播。
受感染的站点会将用户重定向到漏洞利用工具包中,并且他会关注勒索软件漏洞,随后下载并利用勒索软件。
事件响应和处理
一旦您感觉自己被感染或者发现网络中出现了一些异常活动,那么请采取以下步骤来减轻感染所带来的影响。
如何找到感染信号
1、文件扩展名
在加密过程中,文件扩展名将被更改为你之前从未见过的新类型的扩展名。
所以收集已知的勒索软件文件扩展名并监视扩展名,会帮助你在事件发生前识别勒索软件。 在这种情况下,现有文件扩展名保持不变,但在加密过程中将创建一个新的文件扩展名,新的扩展名将添加到受感染文件的正常文件扩展名旁边。
点击此处可以查看所有不正常的勒索软件相关的文件扩展类型- 勒索软件文件扩展。
2、批量文件已重命名
监控大量正在使用网络或计算机重命名的文件,这样我们能看出勒索软件的危害。 检查是否有大容量的文件名会随着你的资产改变而改变。
与正常使用相比,使用行为分析有助于识别您在网络中查找正在更改或突然使用的文件。
3、安全工具
例如端点保护、防病毒软件、Web 内容过滤等安全工具,允许过滤你在互联网上访问的内容,分析网络和计算机的行为,监视用户的正常行为,如果发生一些不正常的事情,它会提醒你去查看一下。
你已在网络中设置的入侵检测和防御系统,将阻止回拨异常文件并加密文件。
此外,它还可以防止从命令和控制服务器下载加密密钥,并停止对系统中的文件进行加密。
4、勒索软件笔记
勒索软件笔记会在屏幕上弹出,并告诉你支付赎金金额。 这是勒索软件攻击的第一个指标之一,大家应该特别注意这一点。
5、用户报告
用户向帮助台报告他们无法打开文件或找不到文件,而且 PC 运行缓慢。 确保你组织的服务台专业人员经过全面的培训,以面对勒索软件的影响并采取适当的缓解措施。
发现感染怎么办?
一旦你发现并确认计算机或网络已被感染后,请立即执行以下操作。
断开网络!!!
· 完全断开受感染计算机与任何网络的连接,记住:完全断开。
· 移除所有存储设备,如外部硬盘、USB 和其他存储设备。
· 关闭所有无线设备,例如路由器、WiFi、蓝牙等其他无线设备。
· 拔掉电脑连接网络的所有插头。
· 不要删除任何东西,例如清理缓存、格式化等,因为这对于调查过程非常重要。
确定感染范围
在这种情况下,你需要评估组织基础架构受到危害或加密的程度。 找到第一台被感染的机器并确认受感染的存储介质。这个操作任何人都可以做。
· 一些有重要信息的 U 盘
· 共享或非共享驱动器或文件夹
· 外置硬盘
· 云的存储(DropBox、Google Drive、Microsoft OneDrive / Skydrive 等…)
· 网络存储
检查上述资产并确认加密的标志。如果它将是云存储,那么尝试还原文件的最新未加密版本。 如果你的备份可用于加密存储,则可以识别受感染或加密的文件部分,以及需要还原的文件或可能无法备份的文件。
最后,如果您没有选择继续执行上述操作,请重新连接内存驱动器并检查其他解密方法。
了解勒索软件的版本或类型
首先,勒索软件需要知道如果你支付了勒索金额,它需要解密哪些文件。 要确定感染的范围,需要检查是否存在已被感染的注册表或文件列表。
每个勒索软件都有不同的版本和类型。建议你在谷歌上搜索一下,以确定你遇到的勒索软件版本,并根据勒索软件的正确版本进行研究。
确定勒索软件的应变方法
在应变方面,每种勒索软件都有不同的方法和功能。所以你必须确定你处理的是哪种类型的勒索软件,以及你应该选择哪种处理方式。
如果你认为自己是第一个感染了勒索软件的人,那么你需要咨询一些安全专家,通过提供有关各种文件和系统的信息来确定你遇到的勒索软件类型。
除非你直接与受感染的计算机共享信息,否则大多数勒索软件都没有自我扩展功能。
一般来说,勒索软件仅感染单个计算机或相关的共享网络文件,如果无法直接控制相关网络或系统,勒索软件就不会对这些文件进行加密。
因此,请确保你已按上述内容检查过受感染勒索软件的设备。
快速应急响应
勒索软件不需要任何用户交互来执行其任务。因此,必须立刻采取快速的应急响应。
· 立即呼叫帮助台和内部各方,让他们知道发生了勒索软件攻击。
· 通知贵公司的行政人员、其他法律和应急响应团队。
· 通知你组织的监管机构,并咨询执法部门,并尽快实施沟通计划。
· 你还可以联系 行业信息共享和分析中心(ISAC)站点了解类似的攻击。
支付赎金的优缺点
优势:付钱
· 与从备份中恢复数据相比,它提供了更快的解决方案。
· 就恢复总成本而言,这是最便宜的解决方案。
· 它有助于最大限度地减少对业务和用户的干扰。
优势:不付钱
· 不支付赎金,反对网络犯罪。
· 可以通过某些数据恢复来维护数据的完整性。
· 可以保护自己免受再次成为目标,降低再次被攻击的风险。
缺点:付钱
· 支持赎金,鼓励犯罪。
· 会使你成为高风险用户,你可能会再次成为受害者。
· 不能 100%保证会数据会恢复。
缺点:不付钱
· 恢复数据将耗费大量时间。
· 如果没有适当的备份,情况将会很严重。
· 扰乱了后续的业务和用户,并且具有成本效益。
准备比特币
在向犯罪分子支付赎金之前,必须准备好比特币钱包。 准备比特币需要一定的时间,必须将比特币存入钱包。
即使你支付了赎金,也不意味着文件已经解密并立即可以用。 有些时候,犯罪分子可能会对转账的赎金进行人工验证。
获取解密密钥需要超过 1 天的时间,不过有时罪犯也会对你置之不理。
如何防御勒索软件攻击
1.定期备份数据,并测试备份数据是否完全可用于任何时间的恢复。
2.勒索软件其中一个主要的感染媒介是 Microsoft Office 文档,因此请确保默认情况下禁用 Microsoft Office 宏。
3.使用强防火墙阻止命令和控制服务器回调,有助于防止恶意软件从回调 C&C 服务器访问加密密钥。
4.扫描所有电子邮件中的恶意链接、内容和附件。隔离物理和逻辑连接以最小化感染媒介。
5.始终使用反恶意软件和防病毒保护。大多数当前的反病毒软件使用基于行为的分析,有助于最大限度地减少网络中发生的未知勒索软件威胁。
6.请做默认设置:不要向任何用户提供本地管理员权限,避免使用高权限。
7.为相关用户强制实施访问控制权限,并允许他们访问与其工作的文件。 适当为员工提供有关勒索软件攻击及处理的常用功能的培训。 阻止添加不必要的 Web 内容,否则它将可能下载勒索软件和其他恶意内容。(本文转自嘶吼)
相关文章:
https://www.4hou.com/typ/20147.html
https://gbhackers.com/ransomware-checklist-mitigation/
评论