勒索软件的攻击响应和处理方法
2019-09-05 11:37:21 Author: www.4hou.com(查看原文) 阅读量:153 收藏

导语:近年来,勒索软件是全球范围内快速增长的威胁之一,并且被认为是全球网络攻击的领导者,因为它能导致许多组织和个人面临一些安全问题和巨大损失。本文中我们将看到针对复杂勒索软件攻击的响应及处理方法。

111.jpg

近年来,勒索软件是全球范围内快速增长的威胁之一,并且被认为是全球网络攻击的领导者,因为它能导致许多组织和个人面临一些安全问题和巨大损失。勒索软件攻击的成本仅在一年内就超过了10亿美元,而且勒索软件攻击数量扔日益增加。

勒索软件对于一些犯罪分子来说,就是一个用赎金来换取钥匙的恶意游戏。随着受害者的赎金持续增长,致使勒索软件成为了一个数十亿美元的产业。所以,想要把它连根拔起没那么容易。本文中我们将看到针对复杂勒索软件攻击的响应及处理方法。

勒索软件的共同点

勒索软件的一个共同点是,所有的勒索软件变种,都使用了非常强大的加密方法(2048 RSA密钥)。另外提一句,据专业人士估计需要大约6.4万亿年才能破解一台普通台式计算机的RSA 2048密钥。

正是由于包括RSA和AES密码在内的高级加密算法的广泛应用,使得勒索软件更加强大。

勒索软件使用无法追踪的比特币支付,并且每个勒索软件变种都要求支付不同金额的比特币来获得解密密钥。

有时攻击者可能会提供解密密钥,有时他们甚至还会帮你付钱,不过前提是,他们会强迫受害者感染另外几个人以获得解密密钥。

为了保持匿名性,攻击者都是使用“Tor”与受害者建立通信,这有助于攻击者隐藏他们的IP地址,因为Tor网络是由不同国家的数千个节点创建的,则无法使用常规的互联网浏览器来浏览TOR站点。

感染后的症状

1、一个包含勒索软件程序和指令的窗口已经打开,就无法关闭。这时,警告倒计时程序会提示如何支付解锁文件和设备的费用。

2、如果长时间未支付赎金,倒计时程序会提醒您请在截止日期前支付费用,否则您将永远不能再解密该文件,或赎金金额将会增加。

3、突然文件无法打开,文件错误或者已损坏。

4、这时你可以看到一个目录,说明如何解密FILES.TXT或一些相关的指令。

感染媒介

1、网络钓鱼电子邮件:

用户收到在正文内容中带有恶意链接的电子邮件。一旦用户单击链接,就会下载包含勒索软件的文件。

而这封电子邮件有可能看起来仅仅像是某个主流品牌、社交网站或Seeking应用,表面上看让人毫无戒备。

2、电子邮件附件

用户将收到带有附加文件的电子邮件。一旦用户打开文件,勒索软件就会在受害者计算机中被触发。

例如:紧急要求、工作offer、普通Zip文件,这让你有一种紧迫感去打开它。

3、嵌入式超链接

指包含嵌入式超链接的恶意文档。当用户点击超链接时,将会链接到互联网,并下载包含复制变量的恶意文件。

例如:很普通的Look Document,Innocent Looking Hyperlink,都能和勒索软件相关联。

4、网站和下载

用户浏览受感染的网站并下载软件,用户误以为这是一个真正的软件,但它实际上包含一个变种的勒索软件。

例如:一般的浏览网站、色情网站、从Bit Torrent下载文件、PC下载、Play商店。

5、感染驱动

如果一个用户使用了含有旧浏览器、恶意插件或者未补丁的第三方应用程序的浏览器,这将会通过组织中的文件共享平台(如IRC,Skype和其他社交媒体)中的受感染用户进行传播。

受感染的站点会将用户重定向到漏洞利用工具包中,并且他会关注勒索软件漏洞,随后下载并利用勒索软件。

事件响应和处理

一旦您感觉自己被感染或者发现网络中出现了一些异常活动,那么请采取以下步骤来减轻感染所带来的影响。

如何找到感染信号

1、文件扩展名

在加密过程中,文件扩展名将被更改为您之前从未见过的新类型的扩展名。

所以收集已知的勒索软件文件扩展名并监视扩展名,会帮助您在事件发生之前识别勒索软件。

在这种情况下,现有文件扩展名保持不变,但在加密过程中将创建一个新的文件扩展名,新的扩展名将添加到受感染文件的正常文件扩展名旁边。

点击此处可以查看所有不正常的勒索软件相关的文件扩展类型- 勒索软件文件扩展

2、批量文件已重命名

监控大量正在使用网络或计算机重命名的文件,这样我们能看出勒索软件的危害。

检查是否有大容量的文件名会随着您的资产改变而改变。

与正常使用相比,使用行为分析有助于识别您在网络中查找正在更改或突然使用的文件。

3、安全工具

例如端点保护、防病毒软件、Web内容过滤等安全工具,允许过滤您在互联网上访问的内容,分析网络和计算机的行为,监视用户的正常行为,如果会发生一些不正常的事情,它会提醒您去查看一下。

您已在网络中设置的入侵检测和防御系统,将阻止回拨异常文件并加密文件。

此外,它还可以防止从命令和控制服务器下载加密密钥,并停止对系统中的文件进行加密。

4、勒索软件笔记

勒索软件笔记会在屏幕上弹出,并告诉您支付赎金金额。

这是勒索软件攻击的第一个指标之一,大家应该特别注意这一点。

5、用户报告

用户向帮助台报告他们无法打开文件或找不到文件,而且PC运行缓慢。

确保您组织的服务台专业人员经过全面的培训,以面对勒索软件的影响并采取适当的缓解措施。

发现感染怎么办

一旦您发现并确认计算机或网络已被感染后,请立即执行以下操作。

断开网络!!!

· 完全断开受感染计算机与任何网络的连接,记住:完全断开。

· 移除所有存储设备,如外部硬盘,USB和其他存储设备。

· 关闭所有无线设备,例如路由器,WiFi,蓝牙等其他无线设备。

· 拔掉电脑连接网络的所有插头。

· 不要删除任何东西,例如清理缓存、格式化等,因为这对于调查过程非常重要。

确定感染范围

在这种情况下,您需要评估您的组织基础架构受到危害或加密的程度。

找到第一台被感染的机器并确认受感染的存储介质。这个操作任何人都可以做。

· 一些有重要信息的U盘

· 共享或非共享驱动器或文件夹

· 外置硬盘

· 云的存储(DropBox,Google Drive,Microsoft OneDrive / Skydrive等…)

· 网络存储

检查上述资产并确认加密的标志。如果它将是云存储,那么尝试还原文件的最新未加密版本。

如果您的备份可用于加密存储,则可以识别受感染或加密的文件部分,以及需要还原的文件或可能无法备份的文件。

最后,如果您没有选择继续执行上述操作,请重新连接内存驱动器并检查其他解密方法。

了解勒索软件的版本或类型

首先,勒索软件需要知道如果你支付了勒索金额,它需要解密哪些文件。

要确定感染的范围,需要检查是否存在已被感染的注册表或文件列表。

每个勒索软件都有不同的版本和类型。建议你在谷歌上搜所一下,以确定你遇到的勒索软件的版本,并根据勒索软件的正确版本进行研究。

确定勒索软件的应变方法

在应变方面,每种勒索软件都有不同的方法和功能。所以你必须确定你处理的是哪种类型的勒索软件,以及你应该选择哪种处理方式。

如果您认为自己是第一个感染了勒索软件的人,那么您需要咨询一些安全专家,通过提供有关各种文件和系统的信息来确定您遇到的勒索软件类型。

除非您直接与受感染的计算机共享信息,否则大多数勒索软件都没有自我扩展功能。

一般来说,勒索软件仅感染单个计算机或相关的共享网络文件,如果无法直接控制相关网络或系统,勒索软件就不会对这些文件进行加密。

因此,请确保您已按上述内容检查过受感染勒索软件的设备。

快速应急响应

勒索软件不需要任何用户交互来执行其任务。因此,必须立刻采取快速的应急响应。

· 立即呼叫帮助台和内部各方,让他们知道发生了勒索软件攻击。

· 通知贵公司的行政人员、其他法律和应急响应团队。

· 通知您组织的监管机构,并咨询执法部门,并尽快实施沟通计划。

· 您还可以联系  行业信息共享和分析中心(ISAC)站点了解类似的攻击。

支付赎金的优缺点

优势:付钱 

· 与从备份中恢复数据相比,它提供了更快的解决方案。

· 就恢复总成本而言,这是最便宜的解决方案。

· 它有助于最大限度地减少对业务和用户的干扰。

优势:不付钱

· 不支付赎金,反对网络犯罪。

· 可以通过某些数据恢复来维护数据的完整性。

· 可以保护自己免受再次成为目标,降低再次被攻击的风险。

缺点:付钱

· 支持赎金,鼓励犯罪。

· 会使你成为高风险用户,你可能会再次成为受害者。

· 不能100%保证会数据会恢复。

缺点:不付钱

· 恢复数据将耗费大量时间。

· 如果没有适当的备份,情况将会很严重。

· 扰乱了后续的业务和用户,并且具有成本效益。

准备比特币

在向犯罪分子支付赎金之前,必须准备好比特币钱包。

准备比特币需要一定的时间,必须将比特币存入钱包。

即使您支付了赎金,也不意味着文件已经解密并立即可以用。

有些时候,犯罪分子可能会对转账的赎金进行人工验证。

获取解密密钥需要超过1天的时间,不过有时罪犯也会对你置之不理。

如何防御勒索软件攻击

定期备份数据,并测试备份数据是否完全可用于任何时间的恢复。

勒索软件其中一个主要的感染媒介是Microsoft Office文档,因此请确保默认情况下禁用Microsoft Office宏。

使用强防火墙阻止命令和控制服务器回调,有助于防止恶意软件从回调C&C服务器访问加密密钥。

扫描所有电子邮件中的恶意链接、内容和附件。隔离物理和逻辑连接以最小化感染媒介。

始终使用反恶意软件和防病毒保护。大多数当前的反病毒软件使用基于行为的分析,有助于最大限度地减少网络中发生的未知勒索软件威胁。

请做默认设置:不要向任何用户提供本地管理员权限,避免使用高权限。

为相关用户强制实施访问控制权限,并允许他们访问与其工作的文件。

适当为员工提供有关勒索软件攻击及处理的常用功能的培训。

阻止添加不必要的Web内容,否则它将可能下载勒索软件和其他恶意内容。


文章来源: https://www.4hou.com/typ/20147.html
如有侵权请联系:admin#unsafe.sh