什么是勒索软件?

勒索软件是一种恶意软件,它可以加密用户设备或网络存储设备上的文件。要恢复对加密文件的访问,用户必须向网络犯罪分子支付“赎金”,通常是通过很难跟踪的电子付款方法,比如比特币。虽然安全研究人员已确定如何绘制比特币交易流通路径,但仍然很难确定哪些人拥有比特币帐户。

勒索软件如何传播?

勒索软件通常通过垃圾电子邮件攻击的方式传播。垃圾电子邮件包含伪装成合法文件的附件,或在电子邮件正文中包含 URL 链接。如果使用前一种方法,则当用户打开附件时,将立即激活勒索软件,软件将在几秒钟内开始对设备上的文件加密。如果采用链接作为攻击向量,则用户单击链接时,用户会进入一个网页,在该网页上,勒索软件会在用户不知情的情况下传送至设备。恶意程序或网站经常使用漏洞攻击包来检测设备的操作系统或应用程序中是否存在可用于传送和激活勒索软件的安全漏洞。此外,网络犯罪分子可能会利用现有漏洞,比如最近的 WannaCry 攻击就利用了已经记录的 Windows 漏洞(名为 EternalBlue)。

勒索软件激增

在过去几年中,针对组织的成功大型勒索软件攻击的数量出现了显著增加。据 Cybersecurity Ventures 预测,全球勒索软件造成的代价将在 2017 年超过 50 亿美元,这是 2015 年的 15 倍1。同时,勒索软件变体的数量翻了三十倍2

Ransomware Stats

勒索软件攻击对组织造成的影响远远不止解锁赎金带来的成本。企业还要蒙受多方面的沉重代价,包括数据丢失、生产力降低或丧失、取证调查、数据和系统恢复、收入损失以及名誉损害。例如,一家全球健康和消费品公司报告称,由于最近的 Petya 勒索软件对其开具发票和向客户运送产品的能力造成了影响,它在该季度的收入增长幅度减少了 2%3

CryptoLocker 是第一批广泛使用的勒索软件系列之一,可以追溯到 2013 年。恶意软件通常伪装成迷惑性的电子邮件附件,或安装在以前被感染的设备上。在激活时,恶意软件加密了本地和网络驱动器上的特定数据文件。受害者必须在规定时间内支付 400 美元或同等价值的比特币赎金,否则解密密钥将被删除。毫无意外,即使支付了赎金,通常也不会提供解密密钥。行业、执法机构和政府机构在一次名为托瓦尔行动的合作中捣毁了用于传播勒索软件的 Gameover Zeus 僵尸网络。

毫无意外,即使支付了赎金,通常也不会提供解密密钥。

高调的勒索软件攻击

CryptoWall 是 CryptoLocker 的后续变体,它采用了相同的工作方式。最严重的攻击于 2014 年下半年发生在澳大利亚,此次攻击使用了包含恶意链接的网络钓鱼电子邮件(假装是由政府机构发送)来传播恶意软件。4 为了避免被安全产品阻止,恶意攻击者在恶意软件被下载之前使用了一种形式的验证码。

Locky 最初在 2016 年年初被观察到,它通常通过带有“发票”附件的电子邮件进行传播。打开 Word 或 Excel 文件后,系统将提示用户启用宏以查看发票。通过启用宏,该文件随后将运行一个可执行文件并下载真正的勒索软件。本地和网络文件被加密并重命名为带有 .locky 扩展名。要解锁文件,受害者必须访问网站以下载一个浏览器,随后可使用该浏览器访问恶意攻击者的付款网站。赎金通常是半个到一个比特币。Locky 是第一批获得广泛公共媒体关注的勒索软件攻击之一,因为一家美国医院的患者数据被加密,需要支付赎金才能恢复文件5

WannaCry 在 2017 年 5 月登上了新闻头条,据报道,它影响了全球 400,000 台计算机6。公共和私人组织都受到了显著影响,包括英国的全国医疗健康服务、一家西班牙电信公司和一家德国大型银行。幸运的是,由于安全研究人员发现了该恶意软件中的终止开关,攻击在几天内被阻止。攻击通过 Windows 中已知的安全漏洞 (EternalBlue) 发动并传播。虽然安全修补程序已推出数月,许多公司都尚未安装它。

WannaCry 在 2017 年 5 月登上了新闻头条,据报道,它影响了全球 400,000 台计算机。

NotPetya(Petya 勒索软件的变体)紧跟 WannaCry 的脚步,并于 2017 年 6 月在乌克兰首次出现。该恶意软件以 PDF 电子邮件附件的形式传播,它使用了与 WannaCry 相同的 EternalBlue 漏洞。全球公共和私人组织再次受到影响,其中包括一家美国大型制药公司、一家跨国法律公司和英国最大的广告公司。与其他勒索软件不同,Petya 会感染计算机的主文件表。据推测,此攻击更多的是为了导致乌克兰分裂,而非为了赚钱7

减少勒索软件对您的企业造成影响的风险

提升最薄弱的环节。大多数勒索软件要求某人采取行动来激活携带的攻击媒介。必须培训员工识别和防御网络攻击。很多攻击使用电子邮件和社会工程技术诱使员工下载恶意软件或泄漏用户名和密码。因此,培训应聚焦于这些常见的攻击向量。可在练习中向员工发送伪造的“网络钓鱼”电子邮件,此做法可有效指导用户区分真正的供应商通信和带有主题行“发票在附件中 - 请打开”的网络钓鱼电子邮件。

修补、修补、修补。然后再次修补。如最近的 WannaCry 和 Petya 攻击所示,如果未能实施严格的策略来修补已知的安全漏洞,企业可能会暴露在攻击之下。甚至在将 EternalBlue 漏洞用于 WannaCry 和 NotPetya 勒索软件攻击数月之后,据估计至少有 3800 万台电脑仍未应用修补程序8。网络犯罪分子可以相对简单地识别企业网络上未应用修补程序的设备和软件,在识别后,他们可以充分利用已知漏洞。

据估计至少有 3800 万台电脑仍未应用修补程序。

备份您的数据,然后备份您的备份。对于一些人而言,这似乎是显而易见的事,但勒索软件可以加密存储在网络服务器上的备份。因此,企业需要检查他们当前的备份策略。员工是否将重要文件备份到网络驱动器?来自这些设备和文件服务器的备份是否随后会备份到云备份服务?您是否进行了测试,保证备份确实可以正常恢复?这样一来,如果勒索软件加密了所有本地文件和备份,企业仍可以快速恢复它们,从而最大程度减少对业务的影响。

依靠单一安全层来应对这种不断发展的攻击并不是最佳的做法。

让坏人更难下手 - 设置多层防御。网络犯罪分子花费大量时间和金钱来开发形式更加复杂的高级恶意软件,旨在绕过公司的安全防御。依靠单一安全层来应对这种不断发展的攻击并不是最佳的做法。利用多个安全层意味着,如果一层无法拦截攻击,您的其他层仍可抵御威胁。那么,您的公司目前装备了哪些安全防御层?您是否有不同的安全解决方案,从而可在攻击的所有阶段帮助缓解风险?您的安全防御中目前是否存在恶意攻击者可以利用的漏洞?


1 http://cybersecurityventures.com/ransomware-damage-report-2017-5-billion/
2 https://www.proofpoint.com/sites/default/files/q4_threat-summary-final-cm-16217.pdf
3 http://www.zdnet.com/article/petya-ransomware-companies-count-the-cost-of-massive-cyber-attack/
4 https://www.communications.gov.au/what-we-do/internet/stay-smart-online/alert-service/fake-auspost-phishing-emails-lead-ransomware
5 http://www.bbc.com/news/technology-35880610
6 https://blog.barkly.com/wannacry-ransomware-statistics-2017
7 https://www.theverge.com/2017/6/28/15888632/petya-goldeneye-ransomware-cyberattack-ukraine-russia
8 http://www.ibtimes.com/eternalblue-exploit-thousands-machines-still-not-patched-against-wannacry-petya-2565606
9 https://securelist.com/kaspersky-security-bulletin-2016-story-of-the-year/76757/
10FBI,2016 年 6 月https://www.justice.gov/criminal-ccips/file/872771/download
11PhishMe 2016 年第 3 季度审查
12https://securelist.com/it-threat-evolution-q1-2017-statistics/78475/13https://blog.barkly.com/ransomware-statistics-2017