如今,勒索软件的问题愈加凸显期严重性。近期包括CoinVault和CryptoLocke在内的勒索软件在互联网上兴风作浪、肆意妄为,似乎显露出网络犯罪分子对于此类网络攻击的使用频率不断加大。尽管勒索软件攻击的案例数量与日俱增,但据卡巴斯基实验室的一项调查发现,仅有37%的公司将勒索软件视为严重的网络危害。
卡巴斯基实验室网络安全专家Andrey Pozhogin针对数量呈上升趋势的勒索软件攻击发表了自己的真知灼见:勒索软件的攻击方式、支付赎金伴随的一系列后果以及个人和公司用户所应采取的防范措施。
1. 什么是勒索软件?
勒索软件是恶意软件的一种,即旨在勒索钱财的一种数字机制。也可以说是一种通过阻止用户访问计算机系统直至受害人支付赎金解密的软件。像CryptoLocker、CryptoWall、CoinVault、TorLocker、CoinVault、TeslaCrypt和CTB-Locker都属于是这类软件。
#TeslaCrypt 2.0 disguised as #CryptoWall https://t.co/vBy9PKo2Cx #GReAT #research pic.twitter.com/f6mxNGAPVq
— Kaspersky (@kaspersky) July 14, 2015
2. 哪些人会成为勒索软件的受害人?
个人用户以及小型和大型公司都有可能成为勒索软件的受害人。网络犯罪分子并不会有针对性地选择目标,而是常常感染尽可能多的用户,从而获取最大回报。
3. 勒索软件的攻击方式是怎样的?
勒索软件攻击通常都通过含附件的电邮进行传播,而这些附件既可能是可执行文件,也可能是存档或只是图片。用户一旦打开这些附件,恶意软件就会自动在用户系统内安装。此外,访问植入恶意软件的网站也是勒索软件’潜入’用户计算机的一种方式。一旦访问这样的网站,用户会无意中执行了不安全的脚本(点击链接或下载文件),而恶意软件就这样’偷偷进入’计算机系统。
就算你的计算机感染了恶意软件,表面上根本发现不了任何的异常。恶意软件只会悄悄地在后台运行,直至系统或数据锁定机制被完全部署和启动。对于编写这样’悄无声息’的勒索软件,很多网络犯罪分子可谓驾轻就熟,同时他们还拥有许多可随意使用的工具和技术,从而确保勒索软件不会被受害人轻易发现。一切布置妥当后,受害人计算机就会跳出一个对话框,通知用户他们的数据已被锁定,只有支付赎金才能恢复。
Ransomware news: A new spam campaign is pushing ctb-locker. Back those files up! – http://t.co/Q74hbq3Ah6 pic.twitter.com/5Pjd9csEJJ
— Kaspersky (@kaspersky) May 2, 2015
当用户看到这样的对话框已为时已晚,根本无法通过安全防范措施来恢复这些数据。不同网络犯罪分子所要求的赎金也各有差异,受害人常常需要支付从数百美元到数千美元不等的赎金才能解密加锁数据。
4. 能否为我们介绍一个勒索软件攻击的案例?
以TorLocker为例。该勒索软件通过借助256位元的AES密钥来解密器数据段以感染计算机–几乎无法破解的加密机制–并在用户系统上运行。该密钥的前4位元被用作独一无二的样本ID,添加到加密文件的最后。随后恶意软件被复制到一个临时文件夹内,并创建该复制文件自动执行的注册码。下一步,恶意软件则开始执行以下操作:
- 搜寻并终止重要系统进程。
- 删除所用系统恢复点。
- 逐一对用户的办公文档、视频和音频文件、图片、存档文件、数据库、备份副本、虚拟机加密密钥、证书和所有其他文件以及网络硬盘进行加密。
- 最后,跳出对话框向受害人索取赎金以解密这些数据。
问题是TorLocker感染每个系统的方式都各不相同,就算找到一个能解密数据的密钥,也无益于在其它系统上的数据解密。网络犯罪分子通常要求受害人在几天时间(通常72个小时)内支付赎金以获得解密数据的密钥,一旦超过规定时间用户将丢失所有这些数据。网络犯罪分子常会提供多种支付方式,包括比特币和通过第三方网站进行支付。
5. 网络犯罪分子实施勒索软件攻击背后的动机是什么?
网络犯罪分子实施勒索软件攻击背后的主要动机是从受害人那儿勒索钱财;但如果公司遭到这样的攻击将会蒙受极大的损失,因为他们的攻击目标往往是公司的知识产权。
#勒索软件#肆虐互联网:提高重视度刻不容缓
Tweet
6. 移动勒索软件攻击是否相当猖獗?
移动勒索软件攻击愈来愈成为互联网上一种普遍的犯罪行为。随着越来越多的网络犯罪分子编写出能窃取和勒索资金的恶意软件,移动恶意软件正在成为一种用来牟取暴利的工具。事实上,从卡巴斯基实验室一季度网络威胁报告中可以发现,23%被检测到的新型恶意软件威胁都是以窃取或勒索钱财为目的。
此外,勒索木马恶意软件在各种移动威胁中增长速度最快。在一季度检测出的新样本数量为1113例,相当于我们采集的移动勒索软件数量增加了65%。鉴于勒索软件的目的是勒索钱财、损坏个人数据以及阻止用户访问受感染设备,因此这是一个极其危险的趋势。
7. 如果系统不幸感染,那用户该采取哪些措施呢?
不幸的是,在许多情况下,一旦系统被植入勒索软件,除非已备份或提前采用预防技术,否则的话用户基本无能为力。然而,有时在不支付赎金的情况下,用户依然有可能成功解密被勒索软件锁定的数据。卡巴斯基实验室最近就与荷兰警察署的国家高科技刑侦组展开合作,共同创建解密密钥资源库,并为遭受CoinVault勒索软件攻击的受害人编写解密应用。
Learn how to remove CoinVault ransomware and restore your lost files – http://t.co/OB02O372Yy pic.twitter.com/QjwzvIdKnz
— Kaspersky (@kaspersky) April 17, 2015
此外,在这里我还想提醒用户,千万不要从互联网上随意找个无名软件,即便它声称能修复加密数据。运气好的话,这样的软件除了没有用外也别无它害;运气不好的话,还可能会传播其它的恶意软件。
8. 勒索软件受害人是否应支付赎金?
许多受害人似乎也情愿通过支付赎金来恢复文件。据肯特大学网络安全科间研究中心于2014年2月展开的一项调查显示,超过40%的CryptoLocker受害人最终同意支付赎金。CryptoLocker不仅感染了数万台计算机,同时也为网络犯罪分子创造了数百万美元的巨额回报。此外,Dell SecureWorks的另一项报告也显示CryptoLocker每100天竟然能敛得高达3000万美元巨额财富。
The best line of #defense against any #ransomware is to have backed up your machines yesterday. https://t.co/cpcBqX1Qy2
— Kaspersky (@kaspersky) January 30, 2015
支付赎金并非明智之举;因为这并不能保证可以100%解密受损数据。因为就算受害人决定支付数据,当中也可能出现各种意想不到的状况,比如恶意软件本身的bug可能会让解密数据无法恢复。
此外,受害人的妥协(支付赎金)也会让网络犯罪分子更加坚信用勒索软件的确可以轻松敛财。结果是,网络犯罪分子将不遗余力地寻找新的系统漏洞利用方式,从而感染更多的个人或公司用户。
9. 普通用户该如何防范勒索软件攻击?是否进行备份就能有效防止网络犯罪分子加密数据?
要想解密采用高强度密码和精心设计的方法进行加密的文件几无可能,因此最重要也是最好的方法:部署全面安全措施的同时采取稳健的备份解决方案,并共同作为网络安全策略的一部分。
除此之外,有些勒索软件变异体的智能化程度极高,不仅能加密所有搜寻到的备份文件,同时用户网盘上的文件也可能遭受殃及。这也是为什么进行”冷备份”重要的原因(只能读写,无法删除/完全控制访问),因为这样勒索软件就无法删除。
How does Kaspersky Internet Security protect you from #ransomware? – http://t.co/7drBP7PWxL pic.twitter.com/f5BDXJOC47
— Kaspersky (@kaspersky) May 23, 2015
卡巴斯基实验室还发明一种被称为’系统监视组件’的解决对策。系统监视器能对本地保护的备份文件进行监控,并及时恢复加密恶意软件的恶意篡改。不仅能自动恢复,还能让管理员免于从备份恢复的麻烦以及停机造成的负担。安装安全技术以及确保用户运行组件也同样重要。
10. 卡巴斯基实验室解决方案如何防范未知网络威胁?
包括卡巴斯基安全网络(KSN)在内的安全解决方案相比传统保护方法能更快速地解决可疑威胁。KSN在全球范围拥有超过6000万卡巴斯基安全网络志愿者。其安全云能每秒处理超过60万个请求。
全球的卡巴斯基用户都会实时提供已被检测和清除的网络威胁的信息。我们的一组安全专家精英—全球研究与分析团队负责对数据和其他研究进行分析。他们的主要目的是发现和分析新的网络威胁,以及预测网络威胁的新类型。
Just how does the Kaspersky Security Network work? It's simpler than it sounds – http://t.co/4zKames5K2 pic.twitter.com/6IhPqfkW6T
— Kaspersky (@kaspersky) May 14, 2015
尽管如今的网络威胁愈加趋于复杂,但我们发现有很多用户–包括企业和个人–其实都能自行改进他们的网络安全工作。糟糕的是,有些用户却使用过时且可靠性不佳的安全解决方案,几乎都无法提供必要的安全保护。
因此,选择最有效的安全保护措施就显得相当重要。事实上,卡巴斯基在去年一年总共参加了93次独立测试,在所有参加的安全服务提供商中,卡巴斯基实验室取得了最佳成绩。卡巴斯基实验室在其中的66次测试中位列前三甲,并有51次夺得第一。信息安全已渗入卡巴斯基实验室的’血液’,同时我们不遗余力地提升我们安全技术的效果,如此我们的用户才能使用到最可靠的安全解决方案。