什么是勒索软件,怎样预防?

加密是有原因的 曾经被正式归类为弹药 根据美国法律。 虽然常用 保卫 针对网络攻击,加密也可以是非常强大的 进攻 武器,最显着的形式是 勒索软件.

什么是勒索软件?

顾名思义,勒索软件会获取一个人的文件以勒索赎金。 攻击者锁定受害者的设备或网络并要求付款才能解锁。 勒索软件对公司和大型组织尤其具有破坏性,因为它们通常无法访问其文档和系统而无法运行。

由于勒索软件市场向不太懂技术的犯罪分子出售勒索软件即服务 (RaaS),勒索软件越来越普遍。 换句话说,你不必是熟练的黑客来执行勒索软件攻击,只要你愿意与某人分享利润。 这就是臭名昭著的情况 殖民管道攻击 这迫使一条 5,500 英里长的输油管道关闭。

来自 WannaCry 的锁屏,这是 2017 年的勒索软件攻击,估计造成 40 亿美元的损失。

勒索软件怎样运作?

勒索软件可以通过多种方式感染系统。 它可能被用户意外安装——偷运到另一块 恶意软件,或从一个链接下载 网络钓鱼电子邮件——或者,更罕见的是,它可以由攻击者直接通过网络或设备中的漏洞注入。

一旦进入系统,勒索软件将搜索照片、文档或整个数据库等重要文件,并使用 公钥 专门为该攻击生成。 只有攻击者持有 私钥 需要解密文件。

受害者然后看到一个 锁屏——赎金票据的数字等价物——解释他们的困境,并说明怎样向攻击者支付赎金以换取解密密钥(基本上是密码)。 攻击者几乎总是要求以加密货币付款,这使得执法部门之后很难追踪到他们。

Cryptolocker 的锁屏,这是一个 2013 年至 2014 年的勒索软件程序,它的创建者估计为它赢得了 300 万美元。

勒索软件的类型:加密与锁屏

并非所有勒索软件都使用加密。 有些人只是用锁屏面对受害者,但不费心加密任何文件。 通过以“安全模式”(或类似模式)重新启动设备并卸载它,这种类型的恶意软件相对容易删除。

许多勒索软件的受害者不够精明,无法知道他们的文件是否真的被加密了。 通常,攻击者会将色情图片放在锁定屏幕上和/或指控受害者进行非法活动,以阻止他们寻求专家帮助。 一位著名的 example 其中包括 WinLock,这是 2010 年初俄罗斯的一项计划,它将数以万计的受害者锁定在他们的 Windows 桌面之外,直到他们发送了一条昂贵的付费短信, 据报道,攻击者总共获得了 1600 万美元.

在 2013 年的一次具有讽刺意味的事件中,一名男子收到了一份勒索软件通知,声称他正在接受 FBI 的儿童色情调查。 当他把被感染的电脑带到警察局对他的说法提出异议时,警察搜查了他的电脑,发现 实际的儿童色情,并逮捕了该男子。 直到后来他们才意识到 最初的指控是病毒 而不是真正的勒索软件消息。

然而,大多数勒索软件的受害者都是无辜的。 事实上,勒索软件甚至对与受感染机器无关的人也可能是灾难性的。 2020 年,一个 德国78岁老妇去世 在勒索软件关闭了一家医院的急诊室之后,这本来可以挽救她的生命。

阅读更多: 为什么医院受到更多网络攻击

你应该支付赎金吗?

公司可能想要支付赎金,不仅是为了快速恢复正常运营,也是为了避免围绕他们的攻击进行不良宣传。 有时受害者会与攻击者协商赎金。

建议各不相同,但普遍的智慧是 不支付赎金,部分原因是无法保证您将收到承诺的解密密钥,部分原因是它会鼓励更多勒索软件的扩散——对您和其他潜在受害者都是如此。 此外,即使您付款,攻击者仍然可以出售他们收到的数据,从而雪上加霜。

不付款的另一个原因是您可以尝试删除勒索软件(更多内容见下文)。

勒索软件删除:怎样修复勒索软件

删除勒索软件很棘手。 如果您的文件确实使用唯一的公私密钥对加密,则可能无法恢复它们。

但是,您仍然可以采取一些重要步骤来减轻损害:

  1. 首先要做的是 隔离受感染的设备. 恶意软件通常旨在通过网络连接传播到其他设备,勒索软件也不例外。 从您的设备中移除任何物理连接的驱动器,禁用任何无线连接(蓝牙配对, example),然后断开设备与 Wi-Fi 网络的连接(您也可以从路由器设置中执行此操作)。
  2. 如果受感染的设备是由您的公司发布的, 联系 IT 部门 立即地。 事实上,即使对于个人设备,这样做也是一个好主意,因为它们之间可能仍然存在一些联系。
  3. 识别勒索软件的类型. 您可能需要专业帮助,但此步骤可能会决定您的数据是否可以挽救。 使用另一台设备搜索锁定屏幕上的说明,以帮助识别攻击。
  4. 删除恶意软件。 此步骤将取决于勒索软件的类型以及被感染的设备类型。 在最好的情况下,您可以在程序完成加密文件之前将其删除。 然而,在许多情况下,没有什么可做的。 勒索软件通常会在加密您的文件后自行删除,以避免留下有罪的证据。
  5. 恢复您的文件。 同样,这可能是不可能的,具体取决于加密。 但是,已知某些勒索软件案例会使用通用解密密钥,该密钥可能会在您的案例中重新应用。 在识别勒索软件后,您可以通过搜索勒索软件的名称来找到这些密钥和其他缓解步骤。

即使没有希望解密您的文件,您仍然可以找到它们的旧版本。 使用另一台设备检查您的云存储、外部硬盘驱动器,甚至您的电子邮件存档中是否有您可能在攻击中丢失的特定文件。

没有更多的赎金 是勒索软件受害者的绝佳资源。 您可以使用它来识别您的攻击并找到已知的解密工具。

怎样防止勒索软件攻击?

对于勒索软件,“一盎司的预防胜于一磅的治疗”是特别好的建议。 以下是一些预防措施,可以让您在未来免于严重头痛:

  • 定期备份您的文件,到外部磁盘或安全云存储。 更好的是,使这些备份自动进行。 因此,即使您受到攻击,您也可以放弃您的设备及其上的一切。
  • 避免可疑链接 和电子邮件附件,尤其是来自您不认识的人的电子邮件。 即使是你认识的人也可能自己被感染,所以如果信息看起来不合时宜,请保持警惕并相信你的直觉。
  • 公司需要投资于强大的网络安全,包括培训他们的员工远离网络钓鱼电子邮件。