近幾年來,勒索軟件相關的安全事件在全球頻繁爆發,引起了大眾的重視。勒索軟件影響的客戶包括中小企業的業務信息系統,甚至包括個人終端,移動設備。又因為它不像一般攻擊事件,其發起者只想訪問數據或者獲取資源,勒索者有時既想要數據,更要錢。所以近年來,勒索軟件越來越得到人們的重視。
勒索軟件的由來
其實,早在1996年美國的Young等人就第一次提出了加密病毒的概念,並命名為Cryptovirology,進而提出通過結合加密算法和計算機病毒可以實現訪問用戶關鍵數據,加密用戶文件來勒索錢財的目的,這就是勒索軟件的雛形。
勒索軟件的本質是感染計算機並限制用戶對計算機及其文件訪問的惡意軟件。勒索軟件是通過網絡勒索金錢的常用方法,它是一種網絡攻擊行為,可以立即鎖定目標用戶的文件、應用程序、數據庫信息和業務系統相關的重要信息,直到受害者支付贖金才能通過攻擊者提供的祕鑰恢復訪問。
隨著網絡技術的發展,這類加密病毒不斷髮展,傳播方式日益多樣,影響範圍迅速擴大,攻擊能力逐漸增強。勒索形式主要是要求被感染用戶支付贖金以解除限制,贖金形式包括真實貨幣、比特幣或其它虛擬貨幣。同時,很多勒索軟件的交易是通過暗網進行的,這種網絡對於傳遞的信息全程加密,匿名傳遞,追溯難度非常大。
勒索軟件的感染途徑
勒索軟件的常見感染方式包括:垃圾郵件附件、開發套件、釣魚網站、惡意廣告等。勒索軟件的攻擊對象不僅是缺乏系統防護的個人用戶,還包括警察局、消防隊、醫院、學校、大壩、電網等重要的公共基礎設施。
勒索軟件的攻擊方式
勒索軟件的攻擊手段多樣,根據是否運用加密算法來加密用戶文件,可以分為非加密型勒索軟件和加密型勒索軟件。非加密型勒索軟件不對用戶文件進行加密。典型的非加密型勒索軟件只是對用戶主機進行鎖屏,或者修改分區表和主引導記錄。加密型勒索軟件運用加密算法對用戶文件進行加密。根據加密文件所用的加密算法類型可以分為對稱加密勒索軟件、公鑰加密勒索軟件和混合加密勒索軟件。
勒索病毒文件一旦進入本地,就會自動運行,同時刪除勒索軟件樣本,以躲避查殺和分析。勒索軟件專門以用戶文件為攻擊目標,一般通過某種嵌入式文件擴展名列表來識別用戶文件和數據。勒索軟件還會通過編程避免影響某些系統目錄,以確保負載運行結束後,系統仍然保持穩定,以使客戶能夠支付贖金。勒索病毒利用本地的互聯網訪問權限連接至黑客的C&C服務器,進而上傳本機信息並下載加密私鑰與公鑰,利用私鑰和公鑰對文件進行加密。
除了病毒開發者本人,其他人是幾乎不可能解密。加密完成後,此類惡意軟件通常會自我刪除,通過修改壁紙或留下某種形式的文檔指示受害者如何支付贖金,以重新獲得對加密文件的訪問權限。勒索軟件變種類型非常快,對常規的殺毒軟件都具有免疫性。攻擊的樣本以exe、js、wsf、vbe等類型為主,對常規依靠特徵檢測的安全產品是一個極大的挑戰。
勒索軟件防禦方法
第一,培養自身安全意識,無論是關於什麼樣的安全防範,從自身的防範意識做起都有一定的作用的,而對員工和廣大計算機用戶進行持續的安全教育培訓是十分必要的。計算機用戶們需要去了解勒索軟件的傳播方式,比如社交媒體、社會工程學、不可信網站、不可信下載源、垃圾郵件和釣魚郵件等。從案例分析教育入手可以使用戶具備一定的風險識別能力和意識。
第二,保證電子郵件安全,如今的釣魚網站層出不窮,網絡犯罪分子們可不會放過這個機會,因此他們會使用釣魚郵件來作為他們的勒索軟件傳播主要方式,如果經濟允許的話,企業和用戶應該為自己的電子郵件部署防護產品,要對所有的電子郵件附件進行病毒掃描。
第三,網絡隔離,網絡隔離一直都是不錯的一種保護網絡安全的技術,對待勒索軟件也可以用網絡隔離來防禦。有效地網絡隔離措施可以防止能通過局域網傳播的勒索軟件的擴散,它可以將關鍵的業務服務程序、數據和設備隔離到獨立的網絡中,防止來自網絡的感染。
第四,在恢復方面,選擇可以滿足RTO指標的數據恢復手段和恢復策略,定期進行備份數據的驗證和恢復演練。並把數據恢復相應的應急預案作為企業災難恢復計劃的一部分進行制定、管理和執行。
第五,為企業網站部署SSL證書,保障網站安全的最佳方法之一是讓網站從HTTP升級為HTTPS加密,確保企業網站是HTTPS加密傳輸。很大程度上可以防禦勒索軟件。不過建議採取支持SSL監測的防護手段,檢測SSL加密會話中存在的威脅。
“勒索軟件”是近年數量增加最快的電腦網絡威脅之一,如此猖獗的行為我們不得不去做好對它的防範,不然我們不得利益就會因此而有所損失,想必這也是大家不樂意看到的吧?上面的這五種防範建議大家可以根據自身實際的情況來選擇哦。要學習更多關於勒索軟件防禦的知識,大家可以諮詢客服哦。