什么是ランサムウェア
勒索软件指的是攻击者为了妨碍组织的业务而部署的恶意代码和行为,通常是将数据作为“人质”。。他们的最终目标是要求赎金,让企业恢复正常运营。。
我们几乎不可能阻止勒索软件的入侵,但我们可以减少攻击带来的影响,或者减少受到攻击的概率。。
勒索软件的种类
我们很难列出所有类型,因为勒索软件在不断变化。。实际上,网络安全和社会基础安全保障厅(CISA)勒索软件“一种不断进化的恶意软件。”。常见的勒索软件有以下几种:。
- 双重恐吓这是一种攻击手段,在攻击者收回第一次赎金后,如果他们不支付额外赎金,就威胁他们出售窃取的数据。。
- ransomwar -as-a- service (RaaS)有组织的勒索软件辛迪加出售一种部署简单的勒索软件“工具包”,即使不是专家也能发起高级攻击。。
- 分布式拒绝服务攻击(DDoS)在这种攻击类型中,成百上千个系统对一个系统进行有组织的攻击。。
- 螺旋仿冒这是一种攻击,向特定的收信人或团体发送虚假的邮件,诱骗他们点击、下载恶意的有效载荷,或者进行非法转账。。
- 被窃取的认证信息使用从被侵犯的端点获得的鉴权信息来访问同一网络上的目标系统,也可以完全切断对这些系统的访问。。
- 应用程序的滥用恶意利用应用程序的漏洞,窃取数据,或者拒绝服务。。
ランサムウェア的机制
勒索软件试图迫使受害者支付赎金。。具体来说,勒索软件攻击恶意软件然后恶意软件入侵,非法加密目标数据,迫使企业和个人支付赎金。。
如上所述,双重威胁越来越常见。。对于现代的攻击者来说,不仅仅是让企业无法访问自己的数据,他们还发现了窃取数据并要求想要取回数据的企业支付额外费用的价值。。
勒索软件对网络系统的影响取决于防御类型和时间。一旦可以访问数据,攻击者就有可能在被恶意利用的框架中搜索环境,并获得更机密的权限。。威胁者一旦掌握了访问权限,整个网络就会被加密,有时不得不完全中断商务服务。。
如果一个大规模的网络生态系统中的端点被感染,威胁可能会被封锁一段时间,但在恶意软件蔓延之前,这是一场与时间的较量。。为了限制攻击的爆发范围,我们需要迅速清除被感染的资产。。
勒索软件攻击阶段
- 初始访问和持久性勒索软件攻击的第一步是访问组织的网络。。攻击者通常在这里使用的方法包括仿冒、可信欺骗和恶意利用漏洞。。
- 偵察:在这一阶段,攻击者会对组织内的网络进行映射,并初步了解所获取的系统和用户权限。。这通常是攻击者最复杂的阶段。。
- 窃取认证信息和水平展开:在访问组织的网络后,攻击者试图获取管理员的身份验证信息。。在此期间,攻击者可能会禁用已经引入的安全协议。。
- 泄漏:在这个阶段,攻击者会从网络中寻找窃取文件。。这些机密文件被用来敲诈勒索。。例如财务文件、会计信息、客户数据、项目信息等。。
- 加密:最后一个阶段是加密,这对组织的影响最大。。攻击者会加密各种目标文件,然后要求赎金来恢复它们。。
ランサムウェア的例子
如今,勒索软件遍布全球。。让我们看看最近的侵权案例。。
WannaCry勒索软件
2017年に端を発するWannaCry勒索软件攻撃は、最近の勒索软件の中でも最も注目すべき悪名高い一例で、脆弱なシステムから迅速に拡散可能なコンポーネントが組み込まれている点で、従来の什么是ランサムウェア一線を画するものでした。这种勒索软件被称为蠕虫,通过隧道侵入网络,造成严重危害。。
这是一种非常麻烦的勒索软件,它同时采用了传统的网页仿冒和蠕虫恶意软件,影响了全世界。。不仅是用户,没有软件更新,权限、密码以及认证信息管理不善的组织也成为目标,被要求用比特币支付赎金。。
Petya勒索软件
Petya勒索软件和WannaCry一样,都是容易传播的病毒,具有找出目标组织脆弱的功能。。重启引发的勒索软件攻击,重启后系统将不可用。Petya最初采用的方法是点击附件就能在本地下载,然后感染系统。。
最初的Petya攻击给乌克兰全国造成了大规模的损失,对银行基础设施等国内重要领域造成了严重的影响。。之后,整个欧洲都受到了破坏。。NotPetya是后续的一个亚种,它的功能比原来的版本更恶劣,造成了数十亿美元的损失。。
CryptoLocker勒索软件
CryptoLocker被认为是最持久的例子,它主要是通过包含恶意附件的钓鱼邮件来诱惑受害者。。提高安全意识的训练的好处。。大多数攻击都需要用户采取行动来获得系统访问权限。。因此,正确认识员工应该采取的行动和不该采取的行动是很重要的。。
CryptoLocker在恶意攻击者模仿FedEx和UPS等知名企业的行为后效果显著。非对称加密(加密和解密需要不同的密钥)将用户从文件中锁定。。
防止被ランサムウェア侵害的方法
我们可以通过遵循主要的最佳做法来防止勒索软件,这些做法应该贯穿整个安全程序。。 勒索软件的攻击有两个重要的阶段。。为了降低风险,防止攻击的最坏影响,各个阶段的对策都很重要。。
- 攻击前通过掌握攻击者部署勒索软件的方法,攻击对象区域将风险降到最低,同时对员工进行培训,实施各种预防措施,降低风险。。另外,通过有意识地对网络进行分段,可以隔离重要的系统,防止恶意软件的扩散。。
- 攻击中当攻击进行时,你需要限制对关键任务数据的极限访问。。如果这些数据被侵犯了,我们需要保持系统的备份,以便使用最新的备份来恢复数据。。
识别并修改第一次攻击的初始访问和执行向量,完全封锁攻击者,从而避免重复伤害。。
删除ランサムウェア的方法
勒索软件可以通过恶意软件解决方案扫描网络来消除。。我们需要一种工具,可以在勒索软件和恶意软件造成损失之前自动搜索和封锁。。
如果调查结果显示有目标用户,建议立即从本地管理员组删除该域名账户。。拥有管理员权限的用户账户与自动化目标攻击的系统级权限相结合,使勒索软件更容易部署。。
此外,系统管理员还可以阻止安全分析师与受感染的用户帐户和恶意软件通信,或者将机器与网络完全隔离。。我们可以利用自动化来减缓感染,为安全人员争取时间来消灭勒索软件。。