当前位置:首页 > 新媒体推广 > 正文

什么是勒索软件以及如何准备

什么是勒索软件以及如何准备

#Ransomware #HowToBePreparedForRansomware #Cleverism...

IT 已经在我们生活的中心站稳脚跟,并且多年来像野火一样蔓延。 软件越来越实用,但也越来越复杂。 我们提到日常解决方案的复杂性是为了更加强调安全性。

这背后的原因是,设备拥有的组件越多,攻击面就越大。

想象一个有 1 个聚焦门的城堡,与一个有 10 个门遍布四周和多个其他隐藏入口的城堡形成对比。 是的,后者可能看起来更宏伟,更实用,但是对于想要闯入的人,您可以提供更多替代方法来允许他们这样做。

软件也不例外,它越大,它包含的组件和各种技术越多,它就越容易受到攻击。 黑客利用这一点,闯入本应高度安全的场所。

另一方面,也有专门为恶意目的而构建的软件。

一种这样的软件是勒索软件。

在本文中,我们将讨论勒索软件(一种专门用于劫持计算机的软件)如何利用众所周知的漏洞在我们的系统中传播。

什么是勒索软件?

勒索软件是一种故意感染、加密并进而有效劫持我们的计算机的恶意软件。 它之所以被称为勒索软件,是因为犯罪者不久之后要求赎金,以释放他们加密的任何东西。

勒索软件的官方声明是:

“一种恶意软件,旨在阻止对计算机系统的访问,直到支付一笔钱为止。”

它的工作方式如下:

  • 用户被感染
  • 计算机被加密并锁定
  • 屏幕上唯一的东西是您应该汇款的地址

基本上,用户无法从他们的计算机中检索任何东西,因为它位于某种加密的墙后面。

他们面临着 3 种可能的解决方案:

  • 支付要求的金额
  • 接受风险并格式化您的计算机
  • 尝试找到删除它的方法

出于所有意图和目的,这是您数据的人质情况。

我们如何感染勒索软件?

通常,攻击者试图让您下载/安装他们的恶意软件的途径有很多,但其中一些途径比其他途径更为普遍。

通过大量恶意电子邮件附件的路径发送恶意软件来攻击目标是一种行之有效的方法来感染某人。 大多数人甚至没有接受过最一般的安全意识培训,以防止此类谬误。

在用户下载他们认为是虚假附件后,他们就会被感染。

现在这是我们将讨论基础设施中预先存在的漏洞的部分。

通常有两种类型的勒索软件:

  • 专注
  • 传染性

Focused Ransomware 就是这样,它专注于它已感染的目标,并在整个过程中与它保持联系。

另一方面,具有传染性的是一种更智能的勒索软件,它具有内置的方法来嗅探整个网络中的漏洞,它也可以用来在其他系统上传播自己。 有效地自我传播并感染越来越多的系统。

反过来,这比 Focused Ransomware 造成的破坏要大得多。

提到这一点的原因如下:

“即使你已经受到攻击,攻击仍在继续。”

让我们看看大多数的交付方式:

电子邮件

如前所述,电子邮件是传播勒索软件的最佳方式之一,因为它对公众非常有效。

网站和漏洞利用工具包

当用户通过自己的选择或通过重定向访问恶意网站时,他们面临着接触漏洞利用工具包的危险。 这些工具包专门用于扫描和定位访问者的漏洞并静默安装恶意软件,在这种情况下很可能是勒索软件。

过时的软件

如果您有面向公众的服务器,这意味着您处于暴露状态,并且如果您的大部分设备没有定期更新,您可能会面临服务器上运行的过时服务的危险。 通过利用这些服务,攻击者可以轻松地在您的实例上安装勒索软件。

勒索软件如何工作?

如前所述,它的主要作用是加密它感染的实例,从而使所有内容都无法恢复,除非您拥有攻击者的密钥来解密您的文件。

为了更深入,我们还应该提到密码病毒学领域。 基本上,它是一个研究密码学如何用于日益强大的恶意软件的领域。

攻击者使用该字段开发具有两个密钥(公共密钥和私有密钥)的恶意软件。

加密文件只能使用攻击者拥有的密钥解密。 这就是你付出的代价。

获得此密钥后,您可以自由地解密您的系统并检索您的文件。 通常使用重算法,例如 AES-256 + RSA-2048。 使日常用户无法解密。

为了最好地解释正当程序是如何进行的,我们将虚构一个故事,讲述一家公司感染了一种更危险的勒索软件攻击:WannaCry。

世界各地的公司都抱怨他们的服务器受到左右攻击,其中大多数已经成功感染和加密。 攻击者要求巨额付款以释放他们。 一位系统管理员注意到所有这些渗透都是在基于 Windows 的服务器上完成的。

经过仔细的网络分析,他们发现勒索软件不是 Focused,而是一种通过漏洞利用传播的感染类型。 此漏洞被标记为 MS17-010 或更通常称为 EternalBlue。

我们在这里看到的是一种恶意软件,在本例中为勒索软件,它通过影响 Microsoft 机器的一个非常大的漏洞在整个网络中传播。 通过攻击大部分旧的或未打补丁的系统,公司遇到了真正的麻烦。

后果是一个空白屏幕,其中有一个字段可以将区块链技术支持的加密货币发送给攻击者,以释放您的数据。

故事的道德启示? 修补您的系统。 他们中的大多数要么是旧的停止服务的 Windows 2003 服务器,要么是未定期更新的更高版本的 Windows 2008 服务器。 这使得勒索软件可以自由移动并毫不费力地感染所有这些服务器。

在受到威胁后,这些公司开始寻找摆脱这种感染的方法。 最容易下车的是那些备份了所有东西的人,而其他人则没有那么多。

这使我们想到以下几点。

如何避免勒索软件感染?

首先想到的是良好的安全实践。 事先控制好一切可以更轻松地应对此类威胁。

让我们看看我们假设的公司是如何避免这种混乱的。

过时的软件

他们的基础设施充斥着过时的停止服务软件,例如 Windows 2003。这是一个大问题,也是基础设施中普遍存在的问题。 通常与缺乏迁移资金、贡献资源或最常被忽视的情况有关,直到发生这样的严重事件。

安全监控

适当的安全软件,如 IDS/IPS(入侵检测和入侵防御系统),如果配置得当,可能会捕获整个网络中出现问题的签名。 即使感染开始发生,尽早捕获它们对于避免更大的损失也至关重要。

正确的备份

在完全感染且无路可走的最终情况下,备份会派上用场。

通过将一切恢复到以前的状态,公司可以避免向犯罪分子支付巨额罚款以取回明确的敏感信息。 通常采用每月备份。 丢失一个月的数据总比完全丢失要好。

信誉良好的国防

通过使用高质量的防病毒和防火墙软件,您可以确保至少阻止最常见的恶意软件。 通常勒索软件像散弹枪一样散布开来,发起的常见攻击是数量而不是质量。 这意味着数字签名很有可能之前已在某处被捕获,因此 AV 数据库将快速识别并阻止它。 确保使用最好的反间谍软件来保护您的数据。

员工培训

安全的第一道防线应该是人们自己。 通过至少接受一般安全方面的培训,可以避免这些事情。 例如,网络钓鱼在很大程度上依赖于人为因素,有人相信攻击者并提供个人信息或下载一个不起眼的危险附件。

通过采用分层安全概念而不是个人保护,企业在所有情况下都受益匪浅,勒索软件也不例外。

谁能用勒索软件攻击你?他们是如何做到的?

有不同类型的攻击者,每个人都有自己的游戏计划和技术。

通常,攻击者想要访问机密数据、控制服务器或各种类型的知识产权,并且他们与三类人有关:

黑帽黑客

这些类型的攻击者只会进行恶意攻击,而且主要是为了自己的利益,通常是经济利益。

灰帽黑客

灰帽黑客在事物的灰色区域中运作。 他们从无意识地攻击目标转变为有意识地报告调查结果。

白帽黑客

白帽黑客也被称为道德黑客或渗透测试员,他们受雇侵入公司只是为了披露他们的发现。

这个故事的另一个关键点是威胁演员。 该术语仅指黑帽黑客。

威胁参与者可以是:

  • 脚本小子
  • 漏洞经纪人
  • 黑客行动主义者
  • 网络犯罪分子
  • 国家资助的黑客

让我们来看看它们:

  • 脚本小子通常是没有大量技术知识的人,使用其他人的工具进行他们并不真正理解的破坏。
  • 漏洞经纪人是向出价最高的人买卖漏洞的人。
  • 黑客行动主义者通常有一些政治议程来支持他们的攻击。
  • 网络犯罪分子通常只是为了钱,他们的攻击者大多是出于经济动机。
  • 国家资助的黑客是受外国雇佣和资助以攻击复杂目标(例如政府)的人。

由于勒索软件主要是出于经济动机,通常只有黑帽/灰帽黑客才会发起攻击。 要么完全妥协并造成伤害,要么只是为了证明他们可以。

当然,除非手头有非常具体的议程,否则可以是前面提到的任何人。

现在,让我们解释一个想要感染公司的黑帽黑客将如何在整个网络中传播勒索软件。

通过攻击面向公众的过时服务器来考虑这种情况。

为了获得访问权限,攻击者必须经历多个攻击阶段。

侦察阶段:

在这里,攻击者基本上会探测目标基础设施,以找出是否有任何可以利用的松散端。

如果他们攻击您的公司,他们通常会执行以下操作:

首先,找出他们保留的 IP 块很重要,以便找到与其公司关联的所有服务器。 这将涉及将诸如 www.target-company.com 之类的域转换为有形 IP,然后在公共注册商中搜索网络块预留的任何迹象。

这将为攻击者提供一个全面的探测表面。

假设您的公司拥有某个网络块,他们想知道在这些位置运行哪些服务。

端口扫描是找出是否有任何服务泄露任何类型的信息(例如软件版本等)的好方法。

如果他们发现某些东西并且该服务恰好因已知的公开漏洞而过时,他们可以通过修改公共代码以满足自己的需求来开始漏洞利用阶段。

但是,如果他们想要更彻底,他们可以通过 Nessus、Qualys、Burp Pro、OpenVAS 等漏洞扫描程序对该端口进行完整的漏洞扫描。

一旦漏洞被多次确认,就可以利用服务器了。 如前所述,他们会从漏洞数据库下载公共代码。

一旦他们成功修改了代码以满足他们的需求并利用了其中一项服务,他们就可以访问您的整个基础架构。

现在他们可以做两件事,要么用勒索软件感染当前主机并冒着让 IT 人员比预期更快发现的风险,要么尝试在整个网络中传播得更远,然后才在多台主机上实施勒索软件,造成最大的损害。

这不仅会导致财务问题,而且在某些公司中,可能会发生合规甚至法律后果。

在这样的环境中,安全管理是重要的,但被这样感染,你就突破了它,证明它是无法开始的。

为了在公司中成功倡导实施安全管理,每个人都必须熟悉其背后的原因。

为了详细解释这一点,大多数人会熟悉三个概念:

  • 保密
  • 正直
  • 可用性

或中央情报局三合会。

让我们看看您的公司如何从中受益。

让我们从保密开始。

保密只是意味着公司持有的任何私人信息都应该保密。 不应故意泄露给第三方,并应采取有效的安全措施以防止其不由自主地泄露。

成功感染勒索软件后,您的公司没有正确保护他们的数据。 这意味着您没有采取适当的安全措施。

进入下一个,可用性。

如果您考虑关闭公共服务器以免造成更多损害并尝试减轻安全问题,那么您将不会维护客户的可用性权利。

通常,公司会宣称以下内容:

“24/7 可用性”

“没有停机时间”

“高冗余”

这给客户一种错误的感觉,即他们将从这家公司获得持续的可用性。 当发生这样的攻击时,如果没有合适的工具或措施来减轻损害,客户基本上是被骗了。

这通常也会引发法律诉讼。

最后,诚信。

勒索软件或与此相关的任何其他恶意软件,一旦感染了系统,它就会确保 IT 人员无法再确认那里保存的信息的有效性。 基本上,没有人可以说他们 100% 确定数据没有被篡改。

既然我们已经建立了这些概念,就更容易说明如何考虑不能完全保护公司免受此类损害的安全管理。

当受到勒索软件攻击时,您应该付费吗?

这场大辩论最终落到了财务规模上。

您应该付款并取回您的文件还是只是简单地接受您的损失?

在做出决定之前,有一些事情需要考虑。 首先,即使您已经付款,您也无法确定攻击者是否真的会给您钥匙。

要运行成功的操作,例如勒索软件,需要在后台运行的安全且私有的基础设施。

通常,让一切都自动化是非常复杂的。 一般来说,只有一小部分高度有组织的攻击者有这个,他们中的大多数只是试图通过试图让你汇款然后消失来快速赚钱。

这仅仅是因为,他们甚至没有合适的设备来为您提供钥匙并同时保护他们的隐私。

最好的行动方案如下:

  • 尝试现有的解决方案,例如 Avast Decryption Tools
  • 如果您负担得起,请根据情况获得取证和事件响应团队。
  • 接受您的部分损失并从备份中恢复您所能做的。
  • 接受您没有采取足够安全措施的事实,并冒着重新开始的风险。

通常选择归结为这样的失败,因为大多数时候,面临这种情况的人或公司不具备与此类加密作斗争所需的资源。

还有支付的情况,这使得攻击者在未来更多地追求这种攻击向量,如果没有别的,它只会鼓励他们。

勒索软件的解密工具

一些防病毒供应商非常慷慨地为人们提供免费的勒索软件解密器。

这可能值得一看。 Avast & Kaspersky 似乎在这一领域处于领先地位。

其中一些解密器包括以下勒索软件:

  • AES_NI
  • 恶魔储物柜
  • 启示录
  • 坏块
  • 特斯拉地穴
  • 比特币
  • 地穴888
  • CryptoMix(离线)
  • 孤岛危机
  • 加密图块
  • 查找压缩包
  • 螃蟹
  • 隐藏的眼泪
  • 地球
  • 拼图
  • LambdaLocker
  • 巴特
  • 军团
  • NoobCrypt
  • 斯坦帕多
  • SZFLockerXData
  • 数据
  • 拉赫尼
  • 兰诺
  • 阴影
  • 金库
  • 野火
  • 赛利士

无论如何,它总是值得在整个互联网上查看,也许您会很幸运并找到治愈方法,而无需深入研究以取回您的数据。

通常付钱给成熟的团队来尝试为您恢复东西可能会非常昂贵。

结论

勒索软件是一个日益严重的问题。

世界各地成千上万的公司正受到威胁和感染,通常是因为不遵循简单的安全最佳实践。 如果制定了良好的安全管理策略并且大多数事情都按预期完成,所有这些都可以避免。

正如我们所讨论的,感染途径大部分时间都已完成,因为安全性没有被认真对待,并且已成为事后的想法。

我们相信,通过接受此类文章的教育,您的资产的未来可能会更加光明,尤其是如果认真对待的话。

,

最新文章