Trellix logo
Trellix CEO
10bet体育的首席执行官 Security

Trellix的首席执行官布莱恩·帕尔马解释了对安全性的迫切需求 learning.

高德纳市场指南(XDR)
Gartner®报告: XDR市场指南

根据Gartner的说法,“XDR是一种可以提供改进的新兴技术 threat 预防、检测和应对."

Trellix推出高级威胁研究中心
Trellix推出高级研究 Center

Trellix宣布成立Trellix高级研究中心 推进全球威胁情报.

威胁报告- 2022年秋季
Latest Report

Trellix高级研究中心分析了2022年第三季度勒索软件威胁数据, nation-states, sectors, vectors, LotL, MITRE ATT&CK技术和电子邮件.

Trellix CEO
Our CEO on Living Security

Trellix首席执行官Bryan Palma解释了对安全性的迫切需求 that’s always learning.

什么是勒索软件?

勒索软件是一种恶意软件,它使用加密技术来持有受害者的信息,以获取赎金. 用户或组织的关键数据被加密,因此他们无法访问文件, databases, 或应用程序. 然后要求赎金以提供访问权限. 勒索软件通常被设计成在网络中传播,并以数据库和文件服务器为目标, 并因此迅速使整个组织瘫痪. 这是一个日益增长的威胁 数十亿美元 支付给网络犯罪分子,给企业和政府机构造成重大损失和支出.

勒索软件是如何工作的?


勒索软件使用非对称加密. 这是一种使用一对密钥对文件进行加密和解密的密码学. 公私钥对是由攻击者为受害者惟一生成的, 用私钥解密存储在攻击者服务器上的文件. 只有在支付赎金后,攻击者才会将私钥提供给受害者, 尽管从最近的勒索软件活动中可以看出, 但情况并非总是如此. 无法访问私钥, 要解密那些被勒索的文件几乎是不可能的.

勒索软件有很多变种. 通常勒索软件(和其他恶意软件)是通过电子邮件垃圾邮件活动或有针对性的攻击传播的. 恶意软件需要一个攻击向量来建立它在端点上的存在. 在存在建立之后,恶意软件就会停留在系统中,直到它的任务完成.

在一次成功的攻击之后,勒索软件会在受感染的系统上抛出并执行一个恶意二进制文件. 然后,这个二进制文件搜索并加密有价值的文件, 比如微软的Word文档, images, databases, and so on. 勒索软件还可能利用系统和网络漏洞传播到其他系统,甚至可能跨越整个组织.

一旦文件被加密, 勒索软件会提示用户在24到48小时内支付赎金,以解密文件, 否则他们将永远消失. 如果数据备份不可用或那些备份本身被加密, 受害者面临着支付赎金以找回个人档案的问题.

为什么勒索软件会蔓延?


勒索软件攻击及其变体正迅速演变为对抗预防技术,原因如下:

  • 易于获得的恶意软件套件,可用于根据需要创建新的恶意软件样本
  • 使用已知的良好通用解释器创建跨平台勒索软件(例如, Ransom32使用Node.js带有JavaScript有效负载)
  • 使用新技术,例如加密整个磁盘而不是所选文件

今天的小偷甚至不需要精通科技. 勒索软件市场在网上如雨后春笋般涌现, 为任何潜在的网络骗子提供恶意软件菌株,并为恶意软件作者创造额外利润, 谁经常要求从赎金收益中分一杯羹.

为什么找到勒索软件的肇事者如此困难?


使用匿名加密货币进行支付, 比如比特币, 这样就很难追踪资金流向和追捕罪犯. 越来越多的网络犯罪集团正在设计勒索软件计划,以便快速获利. 容易获得的开源代码和拖放平台开发勒索软件加速了新的勒索软件变种的创建,并帮助脚本新手创建他们自己的勒索软件. Typically, 像勒索软件这样的尖端恶意软件在设计上是多态的, 这使得网络罪犯能够轻松绕过基于文件哈希的传统基于签名的安全.

什么是勒索软件即服务(RaaS)?


勒索软件即服务(Ransomware-as-a-service)是一种网络犯罪的经济模式,它允许恶意软件开发者通过他们的创作赚钱,而不需要分发他们的威胁. 非技术犯罪分子购买他们的商品并传播病毒, 同时向开发者支付一定比例的收益. 开发人员承担的风险相对较少,而他们的客户承担大部分工作. 有些勒索软件即服务的实例使用订阅,而另一些则需要注册才能访问勒索软件.

如何抵御勒索软件


为了避免勒索软件和减轻损失,如果你被攻击,遵循以下提示:

  • 备份数据. 避免关键文件被锁定的威胁的最好方法是确保你总是有它们的备份副本, 最好是在云端和外置硬盘上. This way, 如果你真的感染了勒索软件, 你可以清空你的电脑或设备,从备份中重新安装你的文件. 这可以保护你的数据,你不会被引诱去奖励恶意软件作者支付赎金. 备份不能防止勒索软件,但可以降低风险.

  • 保护备份. 确保备份数据无法从数据所在的系统中进行修改或删除. 勒索软件会寻找数据备份,并加密或删除它们,使它们无法恢复, 因此,请使用不允许直接访问备份文件的备份系统.

  • 使用安全软件并保持更新. 确保你所有的电脑和设备都安装了全面的安全软件,并保持所有的软件都是最新的. 确保尽早、经常更新你的设备软件, 因为缺陷补丁通常包含在每次更新中.

  • 练习安全冲浪. 小心你点击的地方. 不要回复陌生人的邮件和短信, 并且只从可信的来源下载应用程序. 这一点很重要,因为恶意软件作者经常使用社会工程来试图让你安装危险的文件.

  • 只使用安全网络. 避免使用公共无线网络, 因为很多都不安全, 网络罪犯可以窥探你的互联网使用情况. Instead, 考虑安装VPN, 无论你去哪里,它都能为你提供一个安全的互联网连接.

  • Stay informed. 随时了解最新的勒索软件威胁,这样你就知道要提防什么了. 如果你确实感染了勒索软件,并且没有备份所有的文件, know that some 解密工具 是科技公司用来帮助受害者的吗.

  • 实施安全意识计划. 为组织的每个成员提供定期的安全意识培训,这样他们就可以避免网络钓鱼和其他社会工程攻击. 定期进行训练和测试,以确保训练得到了观察.

应对勒索软件攻击的9个步骤


如果您怀疑自己受到了勒索软件攻击,那么迅速采取行动是非常重要的. Fortunately, 你可以采取以下几个步骤,尽可能减少损失,并迅速恢复正常工作.

  1. 隔离受感染的设备:影响一台设备的勒索软件是中等程度的不便. 允许感染企业所有设备的勒索软件是一场大灾难, 可能会让你永远破产. 两者之间的差异通常取决于反应时间. 确保您的网络安全, 共享驱动器和其他设备, 必须断开受影响的设备与网络的连接, 互联网和其他设备尽可能快. 越早这样做,其他设备被感染的可能性就越小.

  2. 阻止传播: 因为勒索软件移动很快——而且带有勒索软件的设备不一定是零号病人——立即隔离受感染的设备并不能保证勒索软件不存在于网络的其他地方. 有效地限制其范围, 您需要断开所有行为可疑的设备的网络连接, 包括那些在外面操作的,如果他们连上了网络, 他们无论在哪里都是危险的. 关闭无线连接(Wi-Fi,蓝牙等.)在这一点上也是一个好主意.

  3. 评估损害: 以确定哪些设备已被感染, 检查最近加密的文件是否具有奇怪的文件扩展名, 并查找文件名称奇怪或用户打开文件时遇到问题的报告. 如果你发现任何没有完全加密的设备, 它们应该被隔离和关闭,以帮助遏制攻击,防止进一步的破坏和数据丢失. 您的目标是创建所有受影响系统的全面列表, 包括网络存储设备, cloud storage, 外置硬盘存储器(包括USB u盘), laptops, smartphones, 以及其他可能的向量. 在这一点上,锁定股票是谨慎的做法. All of them should be restricted if possible; if not, restrict as many as you can. 这样做将停止任何正在进行的加密过程,还将在进行补救时防止其他共享受到感染. 但在你这么做之前,你会想看看加密的股票. 这样做可以提供一条有用的信息:如果一台设备打开的文件数量比平时多得多, 你可能已经找到了你的零号病人. Otherwise…

  4. 找到零号病人:一旦你确定了感染源,跟踪感染变得相当容易. To do so, 检查可能来自您的防病毒/防恶意软件的任何警报, EDR, 或者任何主动监控平台. 因为大多数勒索软件通过恶意的电子邮件链接和附件进入网络, 哪些需要最终用户操作, 询问人们的活动(比如打开可疑的电子邮件)以及他们注意到了什么也会很有用. Finally, 查看文件本身的属性也可以提供线索——作为所有者列出的人很可能是入口点. (但请记住,零号患者可能不止一个!)

  5. 识别勒索软件在你继续说下去之前, 弄清你要对付的是哪种勒索软件变体很重要. 一种方法是访问No More Ransom,这是Trellix参与的一个全球倡议. 这个网站有一套工具来帮助你释放你的数据, 包括加密警长工具:只需上传一个加密文件,它就会扫描找到匹配的文件. 你也可以使用赎金通知中包含的信息:如果它没有直接说明勒索软件的变体, 使用搜索引擎查询邮件地址或便条本身会有帮助. 一旦你确定了勒索软件并对其行为做了一些快速的研究, 你应该尽快提醒所有未受影响的员工,这样他们就会知道如何发现自己被感染的迹象.

  6. 向当局报告勒索软件:一旦勒索软件被控制, 你得联系执法部门, 有几个原因. First of all, 勒索软件是违法的——就像其他犯罪一样, 应该向有关当局报告. Secondly, 根据美国联邦调查局的数据, “执法部门可能能够使用大多数组织无法使用的法律权力和工具.“可以利用与国际执法部门的伙伴关系,帮助找到被盗或加密的数据,并将犯罪者绳之以法. Finally, 攻击可能会影响合规:根据GDPR的条款, 如果你没有在涉及欧盟公民数据的泄露72小时内通知ICO, 你的生意可能会招致巨额罚款.

  7. 评估你的备份: 现在是开始响应过程的时候了. 最快最简单的方法是从备份中恢复系统. 理想情况下,您应该有一个最近创建的未受感染的完整备份. If so, 下一步是使用防病毒/防恶意软件解决方案,以确保所有受感染的系统和设备都被清除,否则它将继续锁定您的系统并加密您的文件, 可能破坏您的备份. 一旦所有恶意软件的痕迹被清除, 您将能够从此备份恢复您的系统——一旦您确认所有数据都已恢复,所有应用程序和流程都已恢复并正常运行——就可以恢复正常业务. Unfortunately, 许多组织直到需要备份时才意识到创建和维护备份的重要性. 因为现代勒索软件越来越复杂,适应性也越来越强, 一些创建了备份的用户很快就会发现,勒索软件已经损坏或加密了备份, too, 使它们完全无用.

  8. 研究你的解密选项: 如果你发现自己没有一个可行的备份,你仍然有机会拿回你的数据. 越来越多的免费解密密钥可以在 No More Ransom. 如果你正在处理的勒索软件变体有一个可用的(假设你现在已经从你的系统中删除了所有恶意软件的痕迹), 你可以使用解密密钥来解锁你的数据. 即使你很幸运能找到一个解密者, however, 您还没有完成—在进行补救时,您仍然可能需要几个小时或几天的停机时间.

  9. Move on: Unfortunately, 如果没有可用的备份且无法找到解密密钥, 你唯一的选择可能就是止损,从零开始. 重建不会是一个快速或廉价的过程, 但一旦你用尽了其他的选择, 这是你能做的最好的.

为什么我不直接付赎金?


当面对可能需要数周或数月的恢复时, 向赎金要求让步可能很诱人. 但有几个原因说明这不是一个好主意:

  • 你可能永远得不到解密密钥. 当你支付勒索软件的要求时,你应该得到一个解密密钥作为回报. 但当你进行勒索软件交易时,你依赖的是罪犯的诚信. 许多人和组织支付了赎金却没有得到任何回报——他们随后得到了数十、数百或数千美元, 他们还得从头开始重建系统.

  • 你可能会收到多次赎金要求. 一旦你支付了赎金,部署勒索软件的网络罪犯就知道你是他们的手下. 如果你愿意多花一点(或很多)钱,他们可能会给你一把工作钥匙.

  • 你可能会收到一个有用的解密密钥. The creators of ransomware aren’t in the file recovery business; they’re in the moneymaking business. In other words, 你收到的解密器可能足以让罪犯说他们履行了交易的承诺. 此外,加密过程本身对某些文件造成无法修复的损坏也不是没有听说过. 如果发生这种情况,即使是一个好的解密密钥也无法解锁你的文件——它们将永远消失.

  • 你可能会成为众矢之的. 一旦你付了赎金,罪犯就会知道你是个不错的投资对象. 一个有支付赎金历史的组织比一个可能支付或不支付赎金的新目标更有吸引力. 在一两年内,怎样才能阻止同样的犯罪团伙再次发动袭击呢, 或者登录某个论坛,向其他网络罪犯宣布你很容易上当?

  • 即使最后一切顺利,你仍然在资助犯罪活动. 假设你支付了赎金,得到了一个好的解密密钥,并使一切恢复正常运行. 这只是最好的最坏情况(不仅仅是因为你损失了很多钱). 当你支付赎金时,你就是在资助犯罪活动. 先不考虑明显的道德影响, 你在强化勒索软件是一种可行的商业模式的观点. (想想看,如果没有人支付赎金,你认为他们还会继续发布勒索软件吗?)由他们的成功和巨额收入所支撑, 这些犯罪分子将继续对毫无戒心的企业造成严重破坏, 并将继续投入时间和金钱开发更新的、甚至更邪恶的勒索软件变种——其中一种将来可能会进入你的设备.