勒索软件保护101:你需要知道的一切
这份指南将解释什么是勒索软件以及你如何保护自己,避免成为勒索软件的受害者。
勒索软件是一种旨在加密计算机或移动系统中的文件,使合法用户无法访问的恶意软件。
如果被攻击,它会要求受害者支付赎金以解密文件,并恢复系统到原始状态。它会给受害者支付赎金的指示,通常是一大笔必须通过无法追踪的比特币交易支付的钱。
如果受害者不遵守规则,他们甚至可能被威胁泄露敏感数据给第三方以用于非法目的。
勒索软件遍布全球,经常出现新的变种。任何没有适当预防措施的计算机系统都容易受到勒索软件攻击。
发起攻击的网络犯罪分子随后要求支付赎金,以换取解密文件并恢复系统到正常状态。
为了执行攻击,勒索软件施行者首先识别并收集潜在目标的信息,审视他们的计算机和网络的安全弱点。
攻击者有多种方法渗透系统,包括钓鱼邮件、针对性的鱼叉式钓鱼活动、驱动下载、使用受感染的可移动媒体,以及利用远程桌面协议(RDP)端口的漏洞。
一旦进入系统,勒索软件开始其恶意活动,首先定位并禁用备份文件以阻碍数据恢复努力,接着是对系统文件的加密。
在加密文件后,它会通知受害者系统已被妥协,并要求赎金以获取解密密钥。
即使支付了赎金,一些受害者报告称,使用提供的解密密钥无法恢复他们的文件,导致他们的钱和数据都丢失了。
被盗数据通常最终被销售到暗网上。
勒索软件是如何工作的?
勒索软件攻击者通过识别潜在受害者、收集他们的信息、分析受害者的计算机和网络的安全漏洞来计划执行攻击。
通常,勒索软件会经过从感染到解密的5个阶段,我们将详细解释这些阶段。
1. 勒索软件传递
为了让勒索软件进入系统,攻击者必须操纵受害者执行某些操作。攻击者使用了几种入口路径来实现这一目的。
首先,攻击者计划如何将勒索软件传送到目标系统。
勒索软件是如何被送入系统的?
| 勒索软件的传送方式 | 这种方式如何传送勒索软件? |
| 钓鱼攻击 | 受害者会收到带有恶意链接或附件(比如看起来无害的PDF文档)的电子邮件或社交网络聊天信息。用户一旦点击链接或打开附件,勒索软件就会被传送到系统中。 |
| 定向钓鱼攻击 | 伪装成可信来源的攻击者向特定个人或企业发送恶意电子邮件。他们使用个性化消息巧妙地说服受害者执行操作并注入勒索软件。例如,发件人可能伪装成你的帮助台,要求你更改密码,否则你将失去访问权限。即使是最有知识的人也可能成为这类电子邮件的受害者。 |
| 随意下载 | 攻击者使用“利用工具包”入侵网页,并嵌入恶意代码。当受害者访问那个页面时,恶意代码会悄无声息地运行,并扫描访问设备以识别任何安全漏洞。如果发现漏洞,利用工具包就会启动利用程序并下载勒索软件。 |
| 可移动媒体 | USB闪存盘可能作为宣传礼品含有勒索软件。一旦插入设备,勒索软件就会部署到计算机中。 |
| 暴露的远程桌面协议(RDP)端口 | 一旦RDP端口对互联网开放,就容易受到网络攻击。攻击者扫描暴露的RDP端口,并使用被盗的凭证登录。一旦获得访问权限,就会禁用安全系统并传送勒索软件载荷。 |
2. 安装和执行
勒索软件被送入系统之后,就开始了安装和执行阶段。在这个阶段,它会识别系统中的备份文件,以防使用备份恢复数据。有些勒索软件在安装前会卸载系统中的安全软件。
3. 加密
私钥,也就是解密密钥,只有攻击者知道。私钥,也就是解密密钥,只有攻击者知道。
然后,它会对系统造成真正的破坏,加密系统文件。它使用像非对称加密这样的军用级加密方法,这是不可能破解的。有些勒索软件在这个阶段可以感染主引导记录(MBR),完全阻止访问系统。(不过,请记住,有些勒索软件不加密文件,我们会在勒索软件类型部分讨论。)
4. 勒索通知
完成加密程序后,它会向受害者显示一条消息,告知他们已被攻击,应该支付钱财以解密文件。
有时,它会要求受害者阅读一个文件,了解如何支付赎金。通常,攻击者要求以加密货币支付赎金,因为这样难以追踪。
支付赎金后的解密
支付赎金后,攻击者会提供解密密钥来解锁被加密的文件。然而,有些公司使用解密密钥后仍无法恢复数据,永久地丢失了金钱和数据。
最常见的是,被盗数据会在暗网上出售。
应该支付赎金吗?
支付或不支付勒索软件赎金的决定取决于数据的关键性和紧急程度。有时,支付赎金可能是最糟糕的主意,因为卡巴斯基的新闻揭露,超过一半的受害者支付了赎金,但只有四分之一的受害者能够取回他们的数据。
因此,支付赎金并不保证你能够取回你的数据。支付赎金还会鼓励网络犯罪分子继续进行这些攻击。
结果,你应该尽一切办法避免支付赎金,而是向负责任的部门报告攻击,并在他们的指导下采取行动。
谁对勒索软件攻击负责?
谁是勒索软件攻击的幕后黑手,他们的唯一动机只是金钱吗?如网络安全调查者所发现,有两种类型的行为者在勒索软件攻击背后。
他们对攻击的动机不同,通常都是专家在隐藏他们的真实身份。
有组织的网络犯罪团伙
有组织的网络犯罪分子配备了计划攻击和寻找潜在目标所需的所有工具和技术。
他们是一个网络犯罪分子的网络,使勒索软件成为一种职业。他们有自动化策略来进行攻击,处理赎金支付和解密过程。
他们设法在一次攻击中打击多个受害者,通常只向每个受害者索要较小的赎金。一些团伙甚至可能得到恐怖组织的支持,为恐怖活动洗钱。
由国家领导的网络犯罪分子
有报告称,像朝鲜、俄罗斯和伊朗这样的国家,它们被外国政府实施制裁,是勒索软件攻击的幕后黑手。他们的意图不仅仅是为了盗窃金钱,而是为了在国家内部制造混乱,作为对其敌对方的报复。例如:
- 2018年的SamSam勒索软件攻击据称是由两名伊朗黑客领导的。
- NotPetya是由俄罗斯军事情报部门领导的。
- Wannacry攻击是由一个名为“拉撒路”的朝鲜网络犯罪团伙领导的。有几个原因,如缺乏清晰的解密方法、仅使用三个支付地址以及缺乏与受害者的沟通,我们可以怀疑其真正动机并非财务收益。
勒索软件攻击目标
勒索软件攻击者针对的是存有关键和敏感数据的系统。他们既攻击大公司也不放过小企业。如果数据需要立即访问,则受害者可能会快速同意支付赎金。
他们还针对安全系统过时、存在漏洞且安全措施薄弱的组织。在本节中,我们将识别经常成为勒索软件受害者的前三大目标。
医疗保健
医疗机构存储对患者至关重要的医疗记录,需要立即访问这些记录,否则可能对患者生命构成威胁。例如,2017年,Wannacry勒索软件影响了英国国家卫生服务体系(NHS),迫使他们取消手术和预约,并重新安排急诊病人。
新闻报道称,由于这次攻击,NHS不得不取消19,000个预约,升级IT系统并进行清理,花费了9200万英镑。
教育
如大学、学校和学院等教育机构拥有敏感的研究数据、知识产权以及员工的个人和财务记录。
由于预算限制,他们通常缺乏强大的网络安全原则。大多数学生缺乏对网络攻击的正确知识,冒险地使用网络。
因此,他们特别容易受到网络攻击。例如,2016年,卡尔加里大学因其计算机系统遭到勒索软件攻击而支付了2万美元的比特币。特别是,随着在线学习的增加,教育部门见证了勒索软件攻击的激增。
政府机构
政府机构,特别是安全部门,处理着像军事和犯罪信息这样的敏感公共信息。
如果发生数据泄露,这些机构需要立即采取行动,并愿意支付赎金尽快恢复被攻击的系统。
此外,他们还将某些服务外包给私人公司。勒索软件可以针对这些第三方来渗透政府的关键基础设施。
除了上述类别的企业外,勒索软件还针对了以下行业。
- 零售和金融
- 公用事业公司
- 多媒体提供商
- 人力资源部门
- 移动设备
- 云计算提供商
- 律师事务所
- 石油和能源公司
如何避免勒索软件
从勒索软件攻击到恢复,损失可能会让人在财务上和情感上难以承受。因此,请首先将注意力集中在预防勒索软件上,因为预防是对抗勒索软件的最佳防御。在这一节中,我们将讨论10种防止勒索软件注入你的系统的方法。
勒索软件预防方法
- 避免点击可疑链接和打开不安全的附件 – 钓鱼攻击。避免点击可疑链接和打开不安全的附件 – 钓鱼邮件可能来自伪装成执法机构、会计事务所或你亲近的熟人的发送者。始终检查电子邮件地址和发送者信息。如果你收到来自不明人士或亲近的熟人包含链接的私人信息,始终与发送者核实其合法性。
- 避免泄露个人信息 – 勒索软件可能会收集您的信息以侵入您的系统。他们可能会浏览您的社交媒体个人资料,寻找关键信息。因此,除非必要,不要过度暴露您的个人信息。
- 保持操作系统和软件更新 – 确保操作系统(OS)和软件都更新到最新版本,并允许自动更新。操作系统更新不仅包含最新功能,还包含了对系统中任何安全漏洞的安全补丁。
- 定期维护备份 – 保留文件的备份副本,尤其是最重要的文件,并将它们存储在您的网络外的多个位置。因为如前所述,勒索软件会针对系统内的备份。云平台是保存备份的理想选择,因为它们配备了最先进的备份和恢复技术。
- 从可信网站下载 – 避免从不可信的网站下载软件。总是检查URL,并且只访问URL中有HTTPS或地址栏有锁标志的网站。下载免费软件和游戏时要格外小心。
- 提供必要的安全培训 – 让您系统的用户了解勒索软件的原因和行为。通过定期进行安全意识培训,教育您的用户遵守最佳实践和规则,以避免此类恶意软件攻击。这种培训应该包括勒索软件钓鱼模拟,以识别需要在网络安全上接受更多培训的用户。
- 配置电子邮件保护 – 设置垃圾邮件过滤,以识别最常见的勒索软件文件类型,如.exe、.vbs和.scr。使用安全电子邮件网关扫描和监控您系统中循环的电子邮件,这可以阻止钓鱼攻击。您还应该使用加密的电子邮件服务,例如ProtonMail。
- 使用反勒索软件 – 这类软件旨在识别包括勒索软件在内的恶意软件。它们具有轻量级的反勒索软件工具,可以定期扫描您的电脑,并在发现勒索软件时将其移除。对于个人电脑,有免费的反勒索软件可用。
- 使用端点保护 – 某些流量可能容易受到勒索软件的影响。端点安全解决方案为整个企业网络及其连接到该网络的所有端点提供安全保护。它可以防止此类容易受到勒索软件影响的流量进入您的电脑。
- 定义访问控制 – 使用最小权限原则,即系统用户被赋予最低级别的权限。只有拥有更高权限的用户才能访问和操作系统中的敏感数据。
不同类型的勒索软件
迄今为止,所有已经识别出的勒索软件可以分为两大类:加密勒索软件和锁定勒索软件。
加密勒索软件和锁定勒索软件
加密勒索软件
加密勒索软件通常会渗透受害者的计算机系统,并使用强加密方法加密文件。它通常不会锁定系统。受害者仍然可以访问未加密的部分。
锁定勒索软件
锁定勒索软件会锁定并关闭受害者的计算机。这种勒索软件通常不会渗透整个计算机系统或加密文件。有时用户甚至会发现他们的鼠标或键盘被冻结,只允许与勒索窗口进行交互。
流行的勒索软件类型
| 勒索软件类型 | 传播方式 | 特点 |
| 加密病毒 | 钓鱼邮件附件和通过点对点僵尸网络GameOver Zeus | 2013年创建,使用非对称加密加密文件。勒索信息警告受害者,除非付款否则密钥将被删除。受害者需要通过在线服务获取私钥来解密文件。在2014年被彻底关闭。 |
| 加密墙 | 恶意的PDF附件和感染的网站中的利用工具包 | 它加密文件并混淆文件名,使受害者更难以识别。加密墙有多个变种,包括加密墙3.0、加密墙3.0和加密比特。 |
| 拼图 | 垃圾邮件中的恶意附件 | 最具破坏性的勒索软件之一,逐渐删除加密文件以说服受害者尽快支付赎金。在72小时内,它将每小时删除文件。72小时后,如果未支付赎金,它将删除其余的加密文件。 |
| 金钥 | Microsoft SMBv1漏洞 | 于2017年出现,严重打击了许多乌克兰公司。它不仅加密文件,还加密了主引导记录(MBR),完全阻止对计算机的访问。 |
| Locky | 带有Word文档附件的钓鱼邮件。 | Word文档包含恶意宏。当受害者启用宏时,它会下载勒索软件并开始加密文件。 |
| 勒索 | 通过国家安全局(National Security Agency,NSA)开发的EternalBlue传播给旧版Windows | 于2017年发布,该勒索软件针对Windows操作系统。包含多个组件-初始下降器、加密器和解密器。它利用了微软的服务器消息块(SMB)协议的一个漏洞。 |
| 坏兔 | 马赛克化为Adobe Flash Installer伪装的驶向下载 | 坏兔于2017年首次出现,感染了俄罗斯和东欧的公司。攻击者要求在攻击后的40小时内支付0.05比特币,相当于285美元。 |
| Cerber | 钓鱼邮件,感染的网站和广告 | Cerber是一种作为服务提供的勒索软件,它授权勒索软件并将其提供给其他网络攻击者,以换取赎金的一部分。它于2016年出现,并针对了数百万Office 365用户。 |
| 病毒 | 钓鱼邮件,双文件扩展名,合法软件和通过Windows RDP协议 | 同时使用AES-256和RSA-1024加密应用于固定、可移动和网络驱动器。 |
| CTB-Locker,又名Curve-Tor-Bitcoin Locker | 带有感染的.zip文件的电子邮件附件 | 使用椭圆曲线密码(ECC)加密受害者硬盘中的文件。被感染的第一批204年攻击者要求支付更高的赎金比其他勒索软件。 |
| KeRanger | 感染的安装程序称为Transmission | 于2016年出现,成功地远程感染了Mac计算机并在受害者计算机上执行。 |
重大勒索软件攻击
勒索软件已经在不同国家的许多组织中造成了影响。根据网络安全统计数据,到2021年,攻击的成本估计每年将达到6万亿美元。
让我们来讨论到目前为止最著名和影响最大的勒索软件攻击,以及它们如何对组织造成经济影响。
查看我们的2021年最大的勒索软件攻击主列表。
WannaCry勒索软件爆发
这被认为是历史上最具破坏性的勒索软件攻击。它于2017年发起,针对全球的Microsoft Windows电脑,特别是那些在2017年4月之后没有安装Microsoft安全更新的Windows系统。
根据发布的报告,它攻击了150个国家的超过200,000台计算机,导致损失数十亿美元。
受影响最严重的国家包括俄罗斯、乌克兰和印度。受影响的组织包括英国的国家卫生服务(NHS)、本田、日立、中国的大学和印度的州政府。
美国和英国怀疑朝鲜是这次攻击的幕后黑手。研究员Marcus Hutchins开发的Wannacry开关停止了传播,微软发布了紧急软件补丁。
加利福尼亚大学勒索软件攻击
Netwalker是一个勒索软件团伙,2020年6月攻击了在covid-19大流行研究方面处于领先地位的加利福尼亚大学旧金山分校。
报告揭露,该大学不得不支付114万美元的比特币给攻击者以恢复数据,这是与原始勒索金300万美元相比的协商金额。
这次勒索软件加密了医学院IT环境中多个服务器上的文件。可以说这是一次机会主义攻击,因为加密的数据与当时至关重要的covid-19疫苗研究有关。
大学报告说,他们同意支付赎金,因为这些数据对于他们继续追求的学术工作很重要。
Ryuk勒索软件攻击
Ryuk成功攻击了像洛杉矶时报和论坛报纸、环球卫生服务(UHS)医院和巴黎的一家IT咨询公司等高知名度的组织。
一旦发射,它会禁用Windows还原功能,并关闭服务和进程。它背后的一些最高赎金要求,如500万到1250万美元。
它出现在2018年;最初人们认为俄罗斯网络攻击者,即所谓的Wizard Spider,是Ryuk勒索软件的幕后黑手。但最新的调查已经确定了两名俄罗斯犯罪分子是这次攻击的背后人。
Petya和NotPetya攻击
Petya和Not Petya勒索软件变种于2016年和2017年开始传播,主要通过带有恶意附件的钓鱼邮件。
报告估计,自从Petya出现以来,其不同变种已经造成了大约100亿美元的损失。Petya特别针对装有Windows操作系统的系统,感染MBR。这意味着它完全阻塞了操作系统。
而NotPetya针对的是乌克兰的公司,如切尔诺贝利核电站,Petya则影响了全球的不同组织。
例如,美国的Heritage Valley Health System、俄罗斯的石油公司Rosneft、以及霍巴特的Cadbury巧克力工厂等。
除了这些最著名的勒索软件攻击外,Conti、Maze、DopplePaymer和Revil是2021年值得警惕的顶级勒索软件,它们可能会成为爆发性流行。
总结
在这份指南中,你将了解到关于勒索软件的所有必要信息,包括到目前为止全球最常见的类型和广泛发生的攻击。勒索软件是一种持续骚扰世界的强大武器。
如果一个存储对企业继续运营至关重要的敏感数据的系统发生了勒索软件攻击,它可能会被完全瘫痪。
因此,造成严重的经济损失和对公司声誉的损害。因此,请使用本指南中描述的预防技术来保护你的系统免受勒索软件攻击。