定义
勒索软件攻击的历史
当“艾滋病病毒”用于从赎金软件的收件人敲诈资金时,勒索软件可以追溯到1989年。邮件的付款是通过邮寄到巴拿马的攻击,此时解密密钥也被邮寄给用户。
1996年,哥伦比亚大学的Moti Yung和Adam Young提出了一种被称为“隐病毒勒索”的勒索软件。这个诞生于学术界的想法,说明了现代密码工具的发展、力量和创造。Young和Yung在1996年IEEE安全与隐私会议上提出了第一个隐病毒学攻击。他们的病毒包含攻击者的公钥,并加密了受害者的文件。然后,恶意软件提示受害者发送非对称密文给攻击者,让其解密并返回解密密钥,并收取费用。
攻击者多年来通过需要几乎不可能追踪的付款,这有助于网络犯罪分子仍然是匿名的。例如,臭名昭着的移动式赎金瓶Fusob需要受害者使用Apple iTunes礼品卡而不是普通货币支付,如美元。
赎金软件攻击开始飙升,伴随着白比特兑换的经济兴趣的增长。Cryptocurrency是一种数字货币,使用加密技术来验证和安全的事务并控制新单位的创建。超越比特币,还有其他流行的加密货币,攻击者促使受害者使用,例如以外人,利奇素和波纹。
Ransomware在几乎每一个垂直都攻击了组织,其中一个最着名的病毒是对长老纪念医院的攻击。这次攻击突出了勒索软件的潜在损坏和风险。实验室,药店和急诊室被击中。
社会工程学攻击者随着时间的推移变得更加创新。《卫报》写了关于一个新的赎金软件受害者被要求拥有另外两个用户的情况来安装链接并支付赎金以便让他们的文件解密。
勒索软件参考
勒索软件的示例
通过了解以下主要的勒索软件攻击,组织将获得一个坚实的战术、利用和大多数勒索软件攻击的特征的基础。尽管勒索软件的代码、目标和功能不断变化,但勒索软件攻击的创新通常是增量的。
- 想哭-一个强大的微软漏洞被利用来创建一个全球范围的勒索软件蠕虫病毒,该病毒感染了超过25万个系统,然后killswitch被触发以阻止其传播。Proofpoint参与了找到用来找到killswitch的样本以及解构勒索软件的工作。了解更多关于校对点的参与停止Wannacry。
- Cryptolocker.- 这是当前日本赎金软件的首先是需要付款(比特币)并加密用户的硬盘和连接的网络驱动器的加密。Cryptolocker.通过电子邮件传播附件声称是联邦快递和UPS跟踪通知。2014年释放了解密工具。但各种报告表明,2700万美元由Cryptolocker嵌入。
- NotPetya- 提供最损坏的赎金软件攻击之一,不受欢迎杠杆杠杆比如感染并加密基于微软windows系统的主引导记录。NotPetya利用“想哭”的相同漏洞迅速传播,要求用比特币支付以撤销这些改变。它被一些人归类为雨刷,因为NotPetya不能撤消它对主引导记录的更改,并使目标系统不可恢复。
- 坏兔子- 为不具有的表弟提供了类似的代码并利用剥削来传播,坏兔子是一个可见的赎金软件,似乎瞄准了俄罗斯和乌克兰,主要影响了那里的媒体公司。与Notpetya不同,如果支付赎金,Bad Rabbit确实允许解密。大多数情况表明它通过伪造的Flash播放器更新来传播,可以通过攻击通过驱动器影响用户。
勒索软件如何工作
勒索软件是一种恶意软件,旨在从受害者那里勒索钱财,阻止他们访问系统中的数据。最常见的两种勒索软件是加密器和屏幕锁。顾名思义,加密器在系统上加密数据,如果没有解密密钥,内容就毫无用处。另一方面,屏幕锁定器只是用一个“锁”屏幕阻止对系统的访问,声称系统是加密的。
图1:勒索软件如何尝试欺骗受害者进行安装
受害者通常通知锁屏(共同加密器和屏幕储物柜)以购买加密货币,如比特币,以支付赎金费。支付赎金后,客户会收到解密密钥,可能会尝试解密文件。不保证解密,因为在支付赎金后,多个来源报告不同程度的成功与解密。有时受害者永远不会收到钥匙。一些攻击即使在支付赎金后也在计算机系统上安装恶意软件,并释放数据。
虽然最初专注于个人计算机,但加密赎金软件越来越有针对性的业务用户,因为企业通常会支付更多以解锁关键系统并恢复日常运营。
企业赎金软件感染或病毒通常以恶意电子邮件开始。毫无戒心的用户将打开附件或点击恶意或已被泄露的URL。
此时,安装了ransomware代理,并开始加密受害者的PC和任何附加文件共享的密钥文件。加密数据后,Ransomware在受感染设备上显示一条消息。该消息解释了发生了什么以及如何支付攻击者。如果受害者支付,则赎金软件承诺他们将获得一个代码来解锁他们的数据。
勒索软件预防和检测
防范赎金软件攻击通常涉及设置和测试备份以及在安全工具中应用勒索软件保护。安全工具如电子邮件保护网关是第一道防线,而终点是次要防守。入侵检测系统(IDS)有时用于检测Ransomware命令和控件以针对调用到控制服务器的ransomware系统警报。用户培训很重要,但用户培训只是若干层之一,以防止赎金软件,并且通过A的赎金软件进行播放电子邮件phish.。
如果其他勒索软件预防性防御失败,一个备用措施是囤积比特币。当直接伤害可能影响到受影响公司的客户或用户时,这种情况更为普遍。医院和酒店业尤其容易受到勒索软件的威胁,因为病人的生命可能受到影响,人们可能被锁在设施内或被锁在设施外。
之前/之后
如何防止勒索软件攻击
- 捍卫您的电子邮件反对赎金软件-email网络钓鱼和垃圾邮件是裁员软件攻击的主要方式。安全电子邮件网关具有目标攻击保护对于检测和阻止提供赎金软件的恶意电子邮件至关重要。这些解决方案10bet中文网可防止在传送到用户计算机的电子邮件中的恶意附件,恶意文档和URL。
- 防御您的移动设备反对赎金软件-移动攻击保护产品,当与移动设备管理(MDM)工具结合使用时,可以分析用户设备上的应用程序,并立即将用户及其提示给可能损害环境的任何应用程序。
- 保护您的网络冲浪免受勒索软件-ecure Web网关可以扫描用户的Web冲浪流量以识别可能将它们导致勒索软件的恶意Web广告。
- 监控您的服务器,网络和备份关键系统-Monitoring工具可以检测不寻常的文件访问活动,病毒,网络C&C流量和CPU负载,可能及时阻止勒索软件激活。保持完整的关键系统副本可以降低撞击或加密机的风险,导致关键的操作瓶颈。
如何删除勒索软件
- 致电联邦和地方执法- 因为某人会称之为联邦机构的绑架机构,组织需要打电话给同一局对于勒索软件。他们的法医技术人员可以确保系统无法以其他方式妥协,收集信息以更好地保护组织,并试图找到攻击者。
Ransomware复苏
- 了解反ransomware资源10bet十搏欧洲杯首页-NO更多ransom门户网站和Bleeping计算机具有提示,建议,甚至一些用于选定的赎金软件攻击的解密。
- 恢复数据-IF组织遵循最佳实践并保持系统备份,它们可以恢复其系统并恢复正常操作。
赎金仓库统计数据
以下勒索仓库统计数据说明了其成本受害者的潮流和数十亿。要保持最新的赎金软件统计数据,您还可以查看校对点博客。
4,000
平均每天发生4,000次赎金剧集。资料来源:FBI互联网犯罪报告
39%
Ransomware是恶意软件的顶级品种,在识别恶意软件的39%中找到。资料来源:Verizon 2018年数据泄露调查报告
46%
在我们最新的PHISH™报告中,只有46%的受访者可以正确定义赎金软件。
42%
美国的受访者对我们2017年的用户风险报告无法正确识别勒索软件是什么。
赎金软件生存指南
2016年前三个月的赎金软件攻击者在2016年前三个月内收集了超过2.09亿美元的攻击量比2015年的全部高10倍。除了赎金本身,这些袭击事件可以确切成本沉重:业务干扰,修复成本和繁体量减少。