【脉搏译文系列】如何高效的应对勒索软件
近年来勒索病毒的危害逐渐体现,比普通病毒更难防御和解决,常常会给企业造成巨额的损失或者使得企业因为资产被加密而破产,了解勒索软件及如何有效的应对就显得非常重要,是企业全员的必修课。安识科技在多次应急响…
近年来,勒索软件的危害逐渐显现出来。捍卫和解决比普通病毒更难。它经常给企业造成巨大损失,或者导致企业破产,因为他们的资产是加密的。了解勒索软件以及如何有效应对非常重要。公司所有员工的必修课程。安智科技在许多应急响应中积累了大量的勒索软件后处理方法和缓解解决方案。抑制新的勒索软件变种是一项全球挑战,值得学习和讨论。
本文<如何有效地处理勒索软件>属于[Pulse Translation Series]文章之一,由 安全脉冲编辑w2n1ck 原文:Fireeye-effective-ransomware-response-2017 转载请注明出处'安全脉冲'。
了解勒索软件以及如何有效应对
目录
如何有效地处理勒索软件. 0
了解勒索软件以及如何有效回应. 0
前言.. 2
与高级攻击中使用的隐形恶意软件相比,勒索软件的影响是即时的
关于勒索软件.. 2
勒索软件的严重程度.. 2
加密公司和个人文件和数据. 3
多级攻击.. 3
在试图恢复期间披露机密或私人信息. 3
勒索软件的严重程度. 4
勒索软件的紧急策略1:. 4
确定攻击机制. 4
被电子邮件感染. 5
勒索软件的应急策略2. 5
实施高级安全解决方案. 5
电子邮件安全是第一道防线. 6
前言
在2017年年度威胁趋势报告中,研究人员Mandiant观察到有关勒索软件相关媒体的报道显着增加。
有一个特殊的,先进的案例,蠕虫般的勒索软件,也被称为WannaCrypt和Wcry,在74个国家爆发。世界各国和国家的公司遭到袭击,如英国的国民健康服务(NHS),西班牙的Telefonica,FedEx和Deutsche Bahn。
大多数勒索软件攻击的目标是数据的可靠性或可用性。一些目标组织将面临针对性的威胁,如敏感数据或信息,而目标组织通常可能会感染勒索软件,如Cerber,Locky。
勒索软件运营商使用他们的母语感染世界各地的受害者。这类恶意软件主要在Windows操作系统中,但近年来,由于恶意攻击者和范围的扩大,勒索软件已经发展到其他操作系统,如Android(Simplocker)和Mac OS X(KeRanger)。继续增加,因此迫切需要勒索软件响应和赎金。
与高级攻击中使用的隐形恶意软件相比,勒索软件的影响是即时的。
关于勒索软件
勒索软件是一种恶意软件,用于使受害者的计算机或特定文件不可用或不可读。受害者需要支付赎金以换取可用于恢复计算机或解密加密文件的加密密钥。
一旦感染了目标系统,当前的勒索软件会加密一组目标组,使用户不可用。然后显示付款说明以恢复对文件的访问权限。 PayPal和比特币等在线虚拟货币是首选付款方式,因为它们不易跟踪。
与隐形恶意软件相比,勒索软件的影响是即时的。对勒索软件组织的影响也越来越受到关注,例如财务损失和业务停机。
勒索软件的严重性
目前,勒索软件有三种主要类型的危害。
加密公司和个人文件和数据
勒索软件加密组织或个人无法访问的系统上的重要文档和数据。
由于无法使用现成的安全解决方案恢复加密文件,因此受害者必须向攻击者支付赎金或使用预先存在的备份来恢复它们。
如果条件允许,还可以识别勒索软件加密算法并用于恢复数据。
但是,许多流行的勒索软件只在接收到攻击者的命令和控制服务器响应或公共RSA密钥后才加密文件。此趋势意味着阻止控制服务器传输可能会阻止加密加密。
在许多情况下,如果没有攻击者的解密密钥,几乎不可能完全恢复。一旦计算机感染了勒索软件,它几乎立即被损坏,无法避免,因为受感染计算机上的数据和文件至少暂时不可用。
二次攻击
勒索软件可能会通过文件服务器或网络共享等设备导致二次或三次攻击。如果受害者的计算机连接到此类设备,则勒索软件将再次加密整个共享域中的所有资源。
勒索软件在运行时,恶意攻击者可以将勒索软件传播给受感染组织内的新受害者。用于下载勒索软件指定的工具,并窃取电子邮件凭据,攻击者使用受感染的电子邮件帐户进一步部署勒索软件。
通过这两种扩展机制,单个受感染的PC可以将勒索软件引入整个企业和内部,从而造成更大的攻击破坏。
在尝试恢复期间披露机密或私人信息
恶意攻击者可能试图窃取(或滥用)勒索软件生成的系统数据。在大多数情况下,已经观察到恶意攻击者将根据被盗数据测量所需的赎金。被欺诈性恶意软件感染通常可以作为攻击者进行各种营利行为的基础。
勒索软件的严重性
勒索软件的数量和种类不断增加,造成更大范围的危害。如果受害者未在指定时间内支付赎金,攻击者将变得越来越恶意,将数据直接出售给他人或将其发布到网络上。
FireEye经常发布已发现和识别的新勒索软件变种。 FileEye Threat Intelligence已经跟踪了影响世界的WanaCry勒索软件病毒。 2016年的CryptXXX是勒索软件中最有害的变种之一。 Cerber和Locky勒索软件通过电子邮件传播感染,大多数勒索软件通过电子邮件传播。
CryptoWall勒索软件在2015年的短短六个月内获得了100万美元的非法收益.FireEye估计,黑客TeslaCrypt在2015年2月7日至4月28日期间收到的总收入为76522美元。
使用勒索软件获取非法赎金的攻击预计将在未来几年内增加。即使对于计算机的新手来说,在全球范围内部署也相当简单。
勒索软件的紧急策略1:
识别攻击机制
面对越来越多的勒索软件威胁,没有单一的解决方案。受害者通常会支付赎金,直接解决他们面临的问题,或者面临自我恢复的重大中断。
向攻击者支付赎金以解密并不是一个真正的解决方案。支付赎金不仅给受害者组织带来了经济负担,而且还直接助长了攻击者的嚣张气焰继续袭击并勒索赎金。此外,支付赎金并不能保证攻击者能够提供恢复计算机或解密加密文件所需的密钥。执法机构也不同意向袭击者支付赎金。相反,他们强烈建议采取预防和应急计划等措施。
通常,将操作系统和应用程序更新到最新版本,并在访问可能存在安全漏洞的新闻,广告和其他网站时要小心,这样可以防止勒索软件感染。
增强电子邮件的安全性可以有效地阻止许多攻击,例如网络钓鱼电子邮件。如果您发现它已被感染,您需要定期备份以帮助减轻损害并加快恢复时间。
相关组织和部门应加强与电子邮件相关的机制,以确定它们是否被勒索软件入侵,并采用��进的入侵防御系统来保护电子邮件的安全性,从而保护企业关键信息和数据免受勒索软件攻击。
健全的安全策略必须能够彻底分析攻击者的攻击机制,并评估可以减轻勒索软件造成的损害的安全措施。
通过电子邮件感染
勒索软件被电子邮件感染。事实上,大多数报告的勒索软件都是通过电子邮件引入的。根据网络威胁联盟(CTA),CryptoWall 3.0在全球范围内造成了3.25亿美元的损失,通过电子邮件(67.3%)和通过网络钓鱼电子邮件攻击利用工具(30.7%)进行传播。
通过电子邮件引入时,勒索软件通过附件(如压缩文件,文本文件和HTML文件)或通过电子邮件或附件文档中的链接提供。攻击者通常使用社交工程技术而不是系统漏洞来使用户能够执行或点击链接。
基于行为的分析对于通过电子邮件发送的勒索软件非常有效。行为分析可以主动阻止攻击路径,以最大限度地减少损害或感染。
勒索软件的紧急策略2:
实施高级安全解决方案
安全公司正在迅速推出旨在应对不断增长的勒索软件影响的解决方案。但是,许多“最佳”解决方案只关注文件备份或检测勒索软件的特定变体。它们通常不提供有关攻击者如何找到目标计算机或如何有效防止攻击的明确信息。
电子邮件安全是第一道防线
电子邮件安全解决方案可检测并阻止通过电子邮件附件和嵌入式恶意链接分发的勒索软件。
大多数勒索软件都通过电子邮件发送到企业,通常采用长矛网络的形式。长矛攻击是首选的攻击策略之一,因为它是不可检测的。由于社会工程,它能够取得很高的成功率 - 甚至是愚弄安全专业人员和高级技术经理。这种方法需要一封电子邮件来激活勒索软件并锁定公司和业务的宝贵资产。
[本文由 安全脉冲w2n1ck 翻译,原文:Fireeye-effective-ransomware-response-2017。请指明来源'安全脉冲'并附上链接。]
与高级攻击中使用的隐形恶意软件相比,勒索软件的影响是即时的。
关于勒索软件
勒索软件是一种恶意软件,用于使受害者的计算机或特定文件不可用或不可读。受害者需要支付赎金以换取可用于恢复计算机或解密加密文件的加密密钥。
一旦感染了目标系统,当前的勒索软件会加密一组目标组,使用户不可用。然后显示付款说明以恢复对文件的访问权限。 PayPal和比特币等在线虚拟货币是首选付款方式,因为它们不易跟踪。
与隐形恶意软件相比,勒索软件的影响是即时的。对勒索软件组织的影响也越来越受到关注,例如财务损失和业务停机。
勒索软件的严重性
目前,勒索软件有三种主要类型的危害。
加密公司和个人文件和数据
勒索软件加密组织或个人无法访问的系统上的重要文档和数据。
由于无法使用现成的安全解决方案恢复加密文件,因此受害者必须向攻击者支付赎金或使用预先存在的备份来恢复它们。
如果条件允许,还可以识别勒索软件加密算法并用于恢复数据。
但是,许多流行的勒索软件只在接收到攻击者的命令和控制服务器响应或公共RSA密钥后才加密文件。此趋势意味着阻止控制服务器传输可能会阻止加密加密。
在许多情况下,如果没有攻击者的解密密钥,几乎不可能完全恢复。一旦计算机感染了勒索软件,它几乎立即被损坏,无法避免,因为受感染计算机上的数据和文件至少暂时不可用。
二次攻击
勒索软件可能会通过文件服务器或网络共享等设备导致二次或三次攻击。如果受害者的计算机连接到此类设备,则勒索软件将再次加密整个共享域中的所有资源。
勒索软件在运行时,恶意攻击者可以将勒索软件传播给受感染组织内的新受害者。用于下载勒索软件指定的工具,并窃取电子邮件凭据,攻击者使用受感染的电子邮件帐户进一步部署勒索软件。
通过这两种扩展机制,单个受感染的PC可以将勒索软件引入整个企业和内部,从而造成更大的攻击破坏。
在尝试恢复期间披露机密或私人信息
恶意攻击者可能试图窃取(或滥用)勒索软件生成的系统数据。在大多数情况下,已经观察到恶意攻击者将根据被盗数据测量所需的赎金。被欺诈性恶意软件感染通常可以作为攻击者进行各种营利行为的基础。
勒索软件的严重性
勒索软件的数量和种类不断增加,造成更大范围的危害。如果受害者未在指定时间内支付赎金,攻击者将变得越来越恶意,将数据直接出售给他人或将其发布到网络上。
FireEye经常发布已发现和识别的新勒索软件变种。 FileEye Threat Intelligence已经跟踪了影响世界的WanaCry勒索软件病毒。 2016年的CryptXXX是勒索软件中最有害的变种之一。 Cerber和Locky勒索软件通过电子邮件传播感染,大多数勒索软件通过电子邮件传播。
CryptoWall勒索软件在2015年的短短六个月内获得了100万美元的非法收益.FireEye估计,黑客TeslaCrypt在2015年2月7日至4月28日期间收到的总收入为76522美元。
使用勒索软件获取非法赎金的攻击预计将在未来几年内增加。即使对于计算机的新手来说,在全球范围内部署也相当简单。
勒索软件的紧急策略1:
识别攻击机制
面对越来越多的勒索软件威胁,没有单一的解决方案。受害者通常会支付赎金,直接解决他们面临的问题,或者面临自我恢复的重大中断。
向攻击者支付赎金以解密并不是一个真正的解决方案。支付赎金不仅给受害者组织带来了经济负担,而且还直接助长了攻击者的嚣张气焰继续袭击并勒索赎金。此外,支付赎金并不能保证攻击者能够提供恢复计算机或解密加密文件所需的密钥。执法机构也不同意向袭击者支付赎金。相反,他们强烈建议采取预防和应急计划等措施。
通常,将操作系统和应用程序更新到最新版本,并在访问可能存在安全漏洞的新闻,广告和其他网站时要小心,这样可以防止勒索软件感染。
增强电子邮件的安全性可以有效地阻止许多攻击,例如网络钓鱼电子邮件。如果您发现它已被感染,您需要定期备份以帮助减轻损害并加快恢复时间。
相关组织和部门应加强与电子邮件相关的机制,以确定它们是否被勒索软件入侵,并采用��进的入侵防御系统来保护电子邮件的安全性,从而保护企业关键信息和数据免受勒索软件攻击。
健全的安全策略必须能够彻底分析攻击者的攻击机制,并评估可以减轻勒索软件造成的损害的安全措施。
通过电子邮件感染
勒索软件被电子邮件感染。事实上,大多数报告的勒索软件都是通过电子邮件引入的。根据网络威胁联盟(CTA),CryptoWall 3.0在全球范围内造成了3.25亿美元的损失,通过电子邮件(67.3%)和通过网络钓鱼电子邮件攻击利用工具(30.7%)进行传播。
通过电子邮件引入时,勒索软件通过附件(如压缩文件,文本文件和HTML文件)或通过电子邮件或附件文档中的链接提供。攻击者通常使用社交工程技术而不是系统漏洞来使用户能够执行或点击链接。
基于行为的分析对于通过电子邮件发送的勒索软件非常有效。行为分析可以主动阻止攻击路径,以最大限度地减少损害或感染。
勒索软件的紧急策略2:
实施高级安全解决方案
安全公司正在迅速推出旨在应对不断增长的勒索软件影响的解决方案。但是,许多“最佳”解决方案只关注文件备份或检测勒索软件的特定变体。它们通常不提供有关攻击者如何找到目标计算机或如何有效防止攻击的明确信息。
电子邮件安全是第一道防线
电子邮件安全解决方案可检测并阻止通过电子邮件附件和嵌入式恶意链接分发的勒索软件。
大多数勒索软件都通过电子邮件发送到企业,通常采用长矛网络的形式。长矛攻击是首选的攻击策略之一,因为它是不可检测的。由于社会工程,它能够取得很高的成功率 - 甚至是愚弄安全专业人员和高级技术经理。这种方法需要一封电子邮件来激活勒索软件并锁定公司和业务的宝贵资产。
[本文由 安全脉冲w2n1ck 翻译,原文:Fireeye-effective-ransomware-response-2017。请指明来源'安全脉冲'并附上链接。]
- 发表于 2017-09-25 08:00
- 阅读 ( 667 )
- 分类:黑客技术
