勒索软件是一种描述威胁行为体的恶意意图的恶意有效载荷。威胁行为体会通过控制受害者的数据或系统来向受害者勒索钱财,且一般要求受害者使用加密货币来支付。
恶意攻击者会使用多种攻击向量发起攻击,如果受害者拒绝付款,就可能面临相应后果。攻击者通常会发出以下威胁:
通常情况下,恶意攻击者会以破坏受害者的 IT 系统和正常运营为威胁,向受害者勒索钱财。勒索软件事件的主要攻击手段是恶意软件,不过现实中也发生了很多不使用恶意软件的勒索软件事件,例如威胁发起拒绝服务 (DoS) 攻击或网站篡改。最后,随着技术发展,勒索软件即服务 (RWaaS) 也应时而生,这是威胁行为体创建的一种付费业务模式:收取客户一定的费用,按照客户的要求有针对性地向个人或企业发起攻击。
勒索软件一般通过钓鱼邮件或偷渡式下载传播。钓鱼邮件通常看起来正当合法、可信赖,意在引诱受害者点击恶意链接或打开恶意附件。偷渡式下载则指在受害者不知情和未取得受害者同意的情况下,自动从互联网上下载恶意程序。受害者下载后,恶意代码可能无需用户操作就会开始运行。一旦恶意代码运行,用户的计算机就感染了勒索软件。
然后,勒索软件会识别被感染系统上的存储驱动器,然后加密每一个存储驱动器上的文件。这种加密一般会给被加密文件添加一个独特的扩展名,例如 .aaa、.micro、.encrypted、.ttt、.xyz、.zzz、.locky、.crypt、.cryptolocker、.vault 或 .petya。加密完成后,勒索软件会创建并向受害者展示一个或一组包含勒索软件攻击相关信息和说明的文件。而当受害者满足勒索软件的条件后,威胁行为体会提供一个秘钥,供受害者解锁被加密文件。
基本的安全卫生与健康操作实践可帮助企业防范勒索软件,避免财务损失、停机和中断。
在现实中,很多漏洞都可以归咎于企业内部用户。而通过为内部用户提供电子邮件和互联网浏览安全教育,企业可有效防范勒索软件。此外,社交媒体平台安全教育也十分重要,它可以让内部用户谨记恶意威胁行为体可能利用自己的公开信息,以自己或企业内其他用户作为突破口来发起攻击。
为增强安全实践,企业还可以对自己的各种系统实施技术控制,防止攻击者利用这些系统来传播恶意软件。技术控制一般包括:
除了运行最新的端点保护产品外,企业还应部署适当的 Identity and Access Management (IAM) 系统,实施零信任安全策略。凭借强有力的认证措施和最小权限原则,企业可以严格控制关键系统和敏感数据存储。
除了严格的访问控制外,企业应对协作工具、文件共享资源以及其他常见的被访问系统进行限制,甚至在必要和适当时,强制要求进行额外认证。通过消除匿名登录、通用账户和弱凭证,实施严格的特权账户(操作系统根账户和管理员账户或 DBA 账户)控制,企业可实现可靠、稳健的安全态势。
企业应定义和维护公认安全配置基准,按照安全配置指南来部署系统。由于恶意有效载荷常常以软件漏洞作为突破口,企业必须及时应用安全补丁。
最后,企业应单独在不同的 OS 上存储数据/信息备份,使其无法通过网络访问。这同样有助于消除勒索软件的影响。
一旦发现勒索软件,企业应通过以下方式,立即阻断恶意有效载荷的传播:
为降低勒索软件攻击的影响,企业的补救计划应包括频繁进行安全备份,并制定有效、经验证的恢复步骤。在恢复系统前,企业应合理、谨慎判断初次入侵将何时以及如何发生。而在遭到入侵后,如果不做尽职调查,企业在执行初次恢复时,可能会在无意间恢复安全威胁,再次被感染。因此,在决定恢复到更早但已知安全的状态,还是恢复到更新但可能被感染的状态前,企业必须进行成本收益分析,尽可能降低对业务的冲击。最后,由于很多恶意软件以备份文件和资源为目标,企业应对备份文件和资源实施有效控制。
注:为免疑义,本网页所用以下术语专指以下含义: