“勒索”一词往往令人想到这样的场景:绑架者在光天化日之下绑架受害者,然后,通过电话向受害者的家属索要“赎金”。在世界各国,这种犯罪都经常发生。但是,在“勒索软件”这个词出现之前,企业安全领域与“勒索”或“赎金”的关系简直是“风马牛不相及”。
勒索软件是一种黑客渗透公司系统的网络攻击,它可以加密某些文件或者阻止用户对整个系统的访问,然后要求公司付费或支付“赎金”,才能访问这些资产。多数勒索软件的例子都包括一个由邮件、链接或其它方法传播的特洛伊木马,黑客可用于加密系统上的文件,然后阻止用户的访问。这种攻击的早期例子就是CryptLocker,这是一个由电子邮件附件传播的专门针对Windows系统的恶意软件。恶意软件会加密本地文件,然后提示用户,要求其支付“比特币”,或者是另一种形式的付款,在收钱后,才向用户发送解密密钥。
有在过去的几年中,CryptoLocker已经让位于更有威胁和更危险的恶意软件形式,从而使得防御难度日益增加。例如,在2016年2月开始作恶的勒索软件Locky可以在很短的时间发送大量的垃圾邮件消息。另一个恶意软件成员CryptoWall使用匿名网络,使得很难跟踪恶意软件的制作者。CryptoWall还使用多层和深度加密,从而使得如果不访问解密密钥就无法解密文件。甚至还出现了基于安卓系统的勒索软件,如Flocker,可以完全 锁定手机甚至是智能电视。
勒索软件最有意思的一个方面就是在2013年开始出现后的快速发展。虽然勒索软件的主要目的是个人,但也在向企业进军,因为企业能够花更多钱。对于恶意黑客来说,向企业勒索有利有弊。攻击者需要针对大量用户才能得到更多钱财。但是,针对个人用户的勒索风险较小,而公司却拥有律师以及更专业的人员为其工作。
勒索软件的一个问题是,如果它足够复杂,任何律师或安全专家都不能阻止企业或个人遭受攻击,必须支付赎金才可以使用户访问文件。所以,勒索软件很危险,企业应当更好地理解,因为如果用户或企业并没有为这种攻击做好准备,而重要的系统或文件被加了密,用户或企业将不得不支付赎金。
勒索软件攻击解析
如前所述,勒索软件的问题在于,如果企业或个人的数据被加密,用户能够拿回数据的唯一方法就是拥有密钥或者可以破解加密,但是,由于现代加密算法的强度非常之高,解密加密对一般的公司来说几乎是不可能的。即使用户确实拥有资源和专业技术破解加密,也有可能花费数天、数月,甚至是数年才能完成。对于公司来说,解密过程带来的影响可能要比从一开始就支付赎金产生的成本更大。
一般的勒索软件攻击都是从垃圾邮件开始的,它与我们以前见到过的任何其它的恶意软件的传播方式没有什么不同。这种垃圾邮件看起来像是来自一个同事或合法机构,往往还带着有令人信服的logo、签名及其它信息。换言之,黑客们会设法使此邮件看起来合法,目的是为了诱使用户点击其中的链接或是打开一个附件,从而使恶意软件感染用户的系统。
一旦恶意软件在用户的系统中驻扎,它就会针对特定文件进行加密,或者在有些情况下,恶意软件直接控制整个系统。更为常见的是,恶意软件会搜索那些看起来最为重要的文件并进行加密。然后,在用户试图访问这些文件时,会发现这些文件已经被完全锁定,并要求支付赎金。如果你花了钱并收到了解密密钥,就可以再次访问这些文件。
关于勒索软件,我们需要记住的最重要的问题就是,不能让事情发展到文件被加密或者已经丢失了文件。不随便单击下载邮件中的附件也许是大家的共识了,但是,用户不经过思考就单击也是很简单的事情。为此,个人和公司需要不断地思考如何保护数据,以备不时之需。
预防
预谋的首要一步是备份,其原因在于:如果企业信息已被恶意加密,再想取回简直是难上加难,企业只能通过保存安全的备份并且将其放到一个完全独立的地方才能真正地保护自己。有些安全公司拥有某些勒索软件的密钥,而且还有密钥被公之于众,但是勒索软件的变种太多,上述密钥对于公司来说简直就是杯水车薪。其实,即使数据备份也会发生损失:很多人担心会造成数据泄露。
笔者建议企业调查备份的频率,确保按照可行的时间表来备份,对于关键任务数据,尤其需要如此。很明显,用户备份越频繁,在成为勒索软件受害者后,丢失的数据就会越少。如果你每隔一小时进行一次备份,就不会丢失太多数据。如果你每隔一星期或一个月备份一次,在被勒索后,就有可能丢失一星期或一个月的数据。对于小型企业和个人来说,有很多基于云的备份服务,而且还有很多外部的备份驱动器可供使用,其中的很多产品或服务都可设置为连续备份。
除了备份,确保反恶意软件的最新也非常重要,这可以在恶意软件造成危害之前就能够被检测到。安全厂商们都在不断地更新其产品,以防御新发现的威胁,并且在用户的系统存在漏洞被利用的风险时,在没有为软件或应用打补丁时,及时向用户发出警告,从而防止勒索软件的危害。
即使企业确保所有的安全措施都保持最新并且备份了文件,恶意黑客也不会停止探索新的攻击方法。事实上,加密最主要文件的新勒索软件形式已经在滋长,而且,攻击者还在试图找到副本、备份以及同一个文件的以前版本,并全部加密。为防止数据和系统成为牺牲品,你需要保持警惕,并且采用最佳的安全方法来应对勒索软件的威胁。
