面对勒索软件,备份真的是“万灵丹”?如何实现备份安全?
根据恶意软件实验室Emsisoft发布的一份报告显示,2020年第一季度和第二季度成功的勒索软件攻击数量呈大幅下降趋势。
在COVID-19危机期间,美国公共部门成功的勒索软件攻击次数在2020年1月至2020年4月之间有所减少,但这种趋势如今再次出现了逆转。部分原因可能在于解除了限制以及大批员工返岗。
该研究还指出,自去年11月以来,包括DoppelPaymer、REvil/Sodinokibi和NetWalker在内的团体数量一直在稳定增长,它们不再单纯地加密美国公共部门的数据,还会进一步窃取并威胁公开泄露数据。
对此,Emsisoft的首席技术官Fabian Wosar警告称,
“2020年不应该继续步2019年的后尘。对于人员、流程和IT方面进行适当的投资,将导致勒索软件事件的发生率大幅降低,即便真的发生了勒索事件,其影响力以及破坏成本也会低得多。”
黑客声誉+潜在利润=更多勒索软件
勒索软件的成功商业模式以及受害者支付的巨额利润,使其受欢迎的程度持续飙升。与其他恶意软件商业模式不同,攻击者会窃取数据,然后在暗网上出售数据;利用勒索软件作为攻击媒介的黑客直接就可以从受害者那里获得赎金。他们通过破坏受害者的网络环境就可以实现这一点,而数字货币(通常是比特币)提供的匿名性也使他们获取报酬的行为成为可能。
此外,针对外行的定制解决方案,例如勒索软件即服务(RaaS)以及自制(DIY)套件,也提供了“开箱即用”的便捷性,利用这些工具发起攻击,进一步推动了勒索软件的增长。
总之,与勒索软件有关的犯罪才刚刚开始,攻击者的潜在利润是巨大的,且还有更多新的领域等待发掘利用。
勒索软件进化论
虽然目前绝大多数勒索软件仍然集中在文件加密(即加密文件,并要求支付赎金解密)上,但仍然出现了一些更为高级的攻击策略,因为一些攻击者已经领悟到,将文件作为“人质”,只是赚钱的一种方法。攻击——无论是通过破坏、窃取还是渗漏——然后要求受害者支付赎金以停止或恢复攻击,很可能才是恶意软件领域的未来。
数据损坏
文件和数据库损坏
目前,最常见的勒索软件攻击类型是使用加密API的文件损坏(加密)。但是,我们也看到了针对MongoDB和MySQL等数据库的损坏攻击。由于数据库通常是组织最敏感数据所在的地方,因此对数据库的勒索软件攻击可能会进一步增加。
请记住,加密只是损坏的一种表现形式。它还可以是:
- 完整的文件清除;
- 删除所有数据库表;
- 任何数据篡改(例如,更改数据库记录)
备份加密或完全清除
作为针对勒索软件的缓解技术,拥有备份非常重要。但是,依赖备份并不是理想的选择——主要是需要花费很多时间才能使系统恢复正常运行(显然,它们无法用作预防机制)。对于员工和客户而言,这种停机时间可能会造成巨大的损失——勒索软件锁定旧金山公共交通售票机就是一个例子。
尽管如此,在勒索软件攻击已经发生后,备份仍然是不错的缓解措施之一。拥有备份的企业也往往选择拒绝支付赎金,也正因如此,一些针对备份的勒索软件攻击开始出现,以最大限度地获得赎金。
如今,多种勒索软件——包括WannaCry和新变种的CryptoLocker都会删除微软Windows操作系统创建的卷影备份——卷影备份是微软Windows为方便恢复提供的简单方式。在Mac上,攻击者从一开始就把备份作为目标。研究人员发现,2015年功能还不全面的首个Mac勒索软件就已经针对了使用名为时间机器的MacOSX自动备份流程的磁盘。其机制很直接:加密备份数据以切断企业对勒索软件的控制,迫使他们支付赎金。攻击者越来越倾向于破坏备份。
此外,像SamSam和Ryuk同样是针对备份的勒索软件。去年11月,恶意行为者使用SamSam恶意软件,加密受害者电脑的备份,向包括医院在内的200多名受害者敲诈了3000多万美元。Ryuk则通过一个可以删除影子卷和备份文件的脚本,攻击了包括洛杉矶时报和云托管提供商DataResolution在内的多个目标。
好消息是,如今,针对备份的勒索软件攻击还大多是偶然的,而不是有针对性的。Booz AllenHamilton首席技术官DavidLavinder表示,根据勒索软件的不同,它通常会通过爬取系统来寻找特定的文件类型,那么如果它遇到了备份文件的扩展名,就一定会加密它。
数据渗漏
数据渗漏这种方式,就像一片尚未发掘的“金矿”在等待恶意行为者。
以Vault7-泄露CIA网络武器的文档,然后由WikiLeaks发布一事为例,让我们假设攻击者的目标是金钱,那么你认为哪种攻击形式——损坏或渗漏,对黑客而言才是最有利可图的,可能性包括:
- 加密数据并要求付款才能解密(损坏);
- 窃取数据并尝试在暗网上出售(渗漏);
- 窃取数据并要求付款以免泄露(泄露);
答案可能是渗漏。公开私有数据可能会使数据所有者最为害怕。这可能也是勒索软件流行性持续飙升的原因所在。暴露财务记录、病历、国家行为者数据、正在申请的专利或任何其他敏感数据是一个重大威胁。
如果他们能回到过去,你认为Netflix是否会选择支付赎金来阻止《女子监狱》(Orange Is theNewBlack)剧集的泄露?或者可能雅虎的高管会同意付款以阻止10亿用户帐户泄露的事情发生?
显然,我们永远无法确保支付完赎金就能从黑客手中拿回完整无损的数据(毕竟他们是恶意的),但是不支付赎金肯定会最终导致黑客公开或出售你的数据。需要注意的是,我们并非鼓励你选择支付赎金!我们要做的是不断完善自身流程,形成更为牢固紧密的保护网。
如今,我们已经看到了此类攻击(窃取文件或数据库,然后索要赎金)的示例,例如最早开启这种攻击模式的Maze勒索软件。2019年11月,Maze勒索软件加密了AlliedUniversal公司的许多计算机,要求其支付300个比特币(约合230万美元)来解密整个网络,并表示在加密之前已经窃取了受害者的文件,以此来进一步胁迫受害者支付赎金。
随后Sodinokibi、DoppelPaymer等多款勒索软件纷纷效仿。
2020年1月,Sodinokibi勒索软件背后的运营商窃取了美国时装公司KennethCole的大量数据,并威胁其支付赎金,否则将公开包含完整转储的被盗数据。在拒绝支付赎金后,3月份,Sodinokibi运营商发布了包含从美国时装公司KennethCole窃取的数据的下载链接。
8月份,Sodinokibi又破坏了美国烈酒和葡萄酒行业最大公司之一Brown-Forman的网络系统,窃取了其超过1TB的数据。
2020 年 3月,DoppelPayme勒索软件入侵了VisserPrecision(一家为汽车和航空业定制零件的制造商,客户涵盖SpaceX、特斯拉、波音、霍尼韦尔等)的电脑并对其文件进行了加密,要求VisserPrecision在3月份结束前支付赎金,否则将把机密文件内容公开至网上。
拒绝付款后,DoppelPaymer 在网上公开了这些机密数据。据悉,被泄露的信息包括 Lockheed-Martin设计的军事装备的细节(比如反迫击炮防御系统中的天线规格)、账单和付款表格、供应商信息、数据分析报告以及法律文书等。此外,Visser 与特斯拉和SpaceX之间的保密协议也在其中。
虽然,此类攻击已经展露头角,但这显然只是冰山一角。数据渗漏有可能继续成为巨大的赚钱工具。
备份,不容忽视的防线
尽管窃取并威胁泄露数据的新攻击模式能够带来更多收益,但是简单的文件加密的形式仍然不会很快消失,因为该办法仍然行之有效,且潜在的攻击对象很广(无论是个人还是企业),而且防病毒解决方案也无法有效地阻止这种攻击。
而针对这种攻击形式,备份无疑是行之有效的缓解方式。定期备份数据的企业,当检测到勒索软件攻击时,就有机会能够快速恢复数据并将破坏降至最低。
在某些特殊情况下,比如NotPetya等大规模勒索软件模仿Petya勒索软件提出相似的勒索要求。在这种情况下,受害者哪怕支付赎金也无法恢复数据,因此良好的备份/恢复能力显得尤为重要。
正因为良好的备份如此有效,所以如今勒索软件的攻击者已经把矛头对准了备份流程和工具。所以,作为遭遇数据加密勒索时最后的防线和控制方式,备份也同样需要保护。
您可以通过采取一些基本的预防措施来保护备份和系统免受这些新型勒索软件策略的攻击:
1. 使用额外的副本和第三方工具补充Windows备份
为了防止勒索软件删除或加密本地备份文件,安全专家建议使用额外的备份或第三方工具或其他不属于Windows默认配置的工具。这样一来,恶意软件将无法得知删除备份的具体位置。而如果有员工感染了什么,也可以删除它并从备份中恢复。
2. 隔离备份
受感染的系统与其备份之间的屏障越多,勒索软件就越难进入。一个常见的错误是,用户对备份使用了与其他地方相同的身份认证方法。这样一来,如果你的用户账户被入侵,攻击者要做的第一件事就是升级他们的特权,而一旦你的备份系统使用了相同的身份验证,它们就可以轻松接管一切。
而使用不同密码的单独身份验证系统会使此步骤变得更难实现。
3. 在多个位置保存多个备份副本(321原则)
要实现全面的数据保护,建议公司保存重要文件的三份不同的副本,使用至少两种不同的备份方法,并且至少其中的一份需要被放在不同的位置:
- 3份备份数据:也许有企业会认为三份数据备份有点过度,但假设数据故障是独立事件,同时遗失三份数据的机率便是百万分之一,并非是只有一份备份时的百份之一,这样可大大提高可靠性。另一个需要多于两份备份的原因,是可将主副本及备份存于不同地方。
- 存于2种不同媒介:用2种不同媒介保存可确保不会因为使用同一装置存储数据而引起相同的故障。由于同一存储方案的不同硬盘有可能连续发生故障,建议将数据存于至少2种存储媒介,而且媒介需要位于不同地方。
- 1个备份存于异地:由于火灾等意外即可损坏所有硬本备份,一个近年普及的存储选项是把数据存放于云端上,这个选项有其必要性。
4. 重要的事情说三遍:测试,测试,测试你的备份
除非能够可靠快速地恢复,否则备份没有任何价值。许多公司在遭受攻击之后,才发现自己的备份无法使用,或者过程太麻烦而无法实现恢复。如果备份程序无法以足够的细粒度执行备份或没有备份目标数据,有备份的企业也可能被迫支付赎金。例如,阿拉巴马州的蒙哥马利县就因为数据备份无法恢复被勒索软件加密的文件的问题,而被迫支付了500万美元赎金来最终恢复数据。
测试恢复过程包括确定数据丢失窗口。如果企业每周进行一次完整备份,就可能损失一周的数据,因为需要从上一个备份恢复。每天或每小时备份一次能大幅提高防护水平。更有细粒度的备份和尽早检测勒索软件都是防止损失的关键。
除了备份,我们要做的还有很多
如今,随着技术的不断发展,一些勒索软件会故意放慢速度,或者在加密前处于休眠状态,这两种技术意味着将很难知道需要从备份中恢复到什么时间点。此外,预计勒索软件还会继续找到更好的方法来隐藏自己,使恢复工作变得更加困难。
我们最近还没有看到像WannaCry和Petya这样的全球大规模攻击,但当它真的发生时,就必然会造成极大的破坏。
而处理勒索软件从来都并非易事,除了基本的备份工作之外,以下建议也将帮助您在面对勒索软件攻击时,最大程度地降低损害并防止攻击:
- 借助“开箱即用”的警报系统进行数据审核和监控——主要用于事件发生后的取证和事件响应;
- 启用实时阻止——只是进行威胁警报有时候已经为时已晚。实时阻止可以进一步防止攻击。除了实时阻止之外,有能力隔离其系统受到威胁的用户/主机也具有极大的优势;
- 使用欺骗技术——处理勒索软件最有效的方法之一是植入数据诱饵,让黑客窃取/破坏,然后在其访问数据时发出警报/阻止。欺骗黑客并利用它来发挥自己的优势;
- 执行定期的发现和扫描计划——识别敏感数据在网络中的具体位置;
- 实施内部威胁以及用户和实体行为分析(UEBA)技术——查找针对数据的异常访问行为,尤其是那些有权访问它的人,包括粗心、受到威胁甚至恶意的内部人员;
- 部署以数据为中心的整体解决方案——将解决方案与一个控制台一起使用,可以集中保护并获取有关文件、数据库、web和其他勒索软件攻击的信息。
- 勒索软件攻击将愈演愈烈,防护之路势必道阻且长,面临重压的企业组织必须全方位完善自身的防御系统,以更好地面临更加严峻的挑战。
推荐系统
微软Win11原版22H2下载_Win11GHOST 免 激活密钥 22H2正式版64位免费下载
语言:中文版系统大小:5.13GB系统类型:Win11微软Win11原版22H2下载_Win11GHOST 免 激活密钥 22H2正式版64位免费下载系统在家用办公上跑分表现都是非常优秀,完美的兼容各种硬件和软件,运行环境安全可靠稳定。Win11 64位 Office办公版(免费)优化 1、保留 Edge浏览器。 2、隐藏“操作中心”托盘图标。 3、保留常用组件(微软商店,计算器,图片查看器等)。 5、关闭天气资讯。
Win11 21H2 官方正式版下载_Win11 21H2最新系统免激活下载
语言:中文版系统大小:4.75GB系统类型:Win11Ghost Win11 21H2是微软在系统方面技术积累雄厚深耕多年,Ghost Win11 21H2系统在家用办公上跑分表现都是非常优秀,完美的兼容各种硬件和软件,运行环境安全可靠稳定。Ghost Win11 21H2是微软最新发布的KB5019961补丁升级而来的最新版的21H2系统,以Windows 11 21H2 22000 1219 专业版为基础进行优化,保持原汁原味,系统流畅稳定,保留常用组件
windows11中文版镜像 微软win11正式版简体中文GHOST ISO镜像64位系统下载
语言:中文版系统大小:5.31GB系统类型:Win11windows11中文版镜像 微软win11正式版简体中文GHOST ISO镜像64位系统下载,微软win11发布快大半年了,其中做了很多次补丁和修复一些BUG,比之前的版本有一些功能上的调整,目前已经升级到最新版本的镜像系统,并且优化了自动激活,永久使用。windows11中文版镜像国内镜像下载地址微软windows11正式版镜像 介绍:1、对函数算法进行了一定程度的简化和优化
微软windows11正式版GHOST ISO镜像 win11下载 国内最新版渠道下载
语言:中文版系统大小:5.31GB系统类型:Win11微软windows11正式版GHOST ISO镜像 win11下载 国内最新版渠道下载,微软2022年正式推出了win11系统,很多人迫不及待的要体验,本站提供了最新版的微软Windows11正式版系统下载,微软windows11正式版镜像 是一款功能超级强大的装机系统,是微软方面全新推出的装机系统,这款系统可以通过pe直接的完成安装,对此系统感兴趣,想要使用的用户们就快来下载
微软windows11系统下载 微软原版 Ghost win11 X64 正式版ISO镜像文件
语言:中文版系统大小:0MB系统类型:Win11微软Ghost win11 正式版镜像文件是一款由微软方面推出的优秀全新装机系统,这款系统的新功能非常多,用户们能够在这里体验到最富有人性化的设计等,且全新的柔软界面,看起来非常的舒服~微软Ghost win11 正式版镜像文件介绍:1、与各种硬件设备兼容。 更好地完成用户安装并有效地使用。2、稳定使用蓝屏,系统不再兼容,更能享受无缝的系统服务。3、为
雨林木风Windows11专业版 Ghost Win11官方正式版 (22H2) 系统下载
语言:中文版系统大小:4.75GB系统类型:雨林木风Windows11专业版 Ghost Win11官方正式版 (22H2) 系统下载在系统方面技术积累雄厚深耕多年,打造了国内重装系统行业的雨林木风品牌,其系统口碑得到许多人认可,积累了广大的用户群体,雨林木风是一款稳定流畅的系统,一直以来都以用户为中心,是由雨林木风团队推出的Windows11国内镜像版,基于国内用户的习惯,做了系统性能的优化,采用了新的系统
雨林木风win7旗舰版系统下载 win7 32位旗舰版 GHOST 免激活镜像ISO
语言:中文版系统大小:5.91GB系统类型:Win7雨林木风win7旗舰版系统下载 win7 32位旗舰版 GHOST 免激活镜像ISO在系统方面技术积累雄厚深耕多年,加固了系统安全策略,雨林木风win7旗舰版系统在家用办公上跑分表现都是非常优秀,完美的兼容各种硬件和软件,运行环境安全可靠稳定。win7 32位旗舰装机版 v2019 05能够帮助用户们进行系统的一键安装、快速装机等,系统中的内容全面,能够为广大用户
番茄花园Ghost Win7 x64 SP1稳定装机版2022年7月(64位) 高速下载
语言:中文版系统大小:3.91GB系统类型:Win7欢迎使用 番茄花园 Ghost Win7 x64 SP1 2022.07 极速装机版 专业装机版具有更安全、更稳定、更人性化等特点。集成最常用的装机软件,集成最全面的硬件驱动,精心挑选的系统维护工具,加上独有人性化的设计。是电脑城、个人、公司快速装机之首选!拥有此系统
相关文章
- 警惕 Spring Boot Actuator 引发的安全问题
- Vista 用于网络的保存在该计算机上的设置与网络的要求不匹配
- FBI给跪了:看在上帝的份上,不要再加密了
- 怎么给U盘杀毒
- 电脑网络延时如何查看 网络延时查看方法【步骤教程】
- Web安全:文件解析漏洞
- 专栏
- Windows更新时出现更新服务正在关闭
- 南通工业互联网,开启安全新时代 | 首届I2S中国峰会暨工业互联网安全大赛在南通成功召开
- 安华金和:逆境“破风前行” 持续护航数据安全
- Mac怎么屏蔽测试版更新提醒?
- 网络机柜尺寸有哪些 网络机柜规格尺寸介绍
- 面试官:给我说说什么是中间人攻击?
- 网络视频分享软件Webcam把摄像头画面输出到网络
- 一次透过SNIFF有目的性的入侵
- 美国吹哨人呢?SolarWinds事件两次国会听证会复盘
- 企业数据防泄密之举措:电脑文件加密软件还是电脑数据防泄密系统?
- win7系统中的控制面板里找不到"网络连接"选项该怎么办?
热门系统
- 1华硕笔记本&台式机专用系统 GhostWin7 32位正式旗舰版2018年8月(32位)ISO镜像下载
- 2深度技术 Windows 10 x86 企业版 电脑城装机版2018年10月(32位) ISO镜像免费下载
- 3电脑公司 装机专用系统Windows10 x86喜迎国庆 企业版2020年10月(32位) ISO镜像快速下载
- 4雨林木风 Ghost Win7 SP1 装机版 2020年4月(32位) 提供下载
- 5深度技术 Windows 10 x86 企业版 六一节 电脑城装机版 版本1903 2022年6月(32位) ISO镜像免费下载
- 6深度技术 Windows 10 x64 企业版 电脑城装机版2021年1月(64位) 高速下载
- 7新萝卜家园电脑城专用系统 Windows10 x64 企业版2019年10月(64位) ISO镜像免费下载
- 8新萝卜家园 GhostWin7 SP1 最新电脑城极速装机版2018年8月(32位)ISO镜像下载
- 9电脑公司Ghost Win8.1 x32 精选纯净版2022年5月(免激活) ISO镜像高速下载
- 10新萝卜家园Ghost Win8.1 X32 最新纯净版2018年05(自动激活) ISO镜像免费下载
热门文章
常用系统
- 1Acer 宏基 GHOST WIN7 SP1 X86 通用装机版 V2023.05 (32位) 下载
- 2雨林木风Win10纯净版下载_雨林木风Win10 32位专业版V2021.08
- 3Win7优化精简版下载_萝卜家园 Ghost Win7 64位 优化精简版下载V2023.12
- 4WinXP镜像安装包下载_笔记本专用Ghost XP SP3免费专业版下载V2023.11
- 5雨林木风win10 64位 游戏流畅版 v2023.07最新免费下载
- 6电脑公司 GHOST WIN7 SP1 X86 通用特别版 V2023.01(32位) 下载
- 7新萝卜家园电脑城专用系统 Windows10 x64 元旦特别 企业版2020年1月(64位) ISO镜像免费下载
- 8GHOST WIN8 X64 装机专业版 V2023.02 (64位) 下载
- 9雨林木风Ghost Win10 超纯专业版x64 v2023.05最新下载
- 10技术员联盟Win7激活镜像文件下载_技术员联盟Win7 32位旗舰装机版下载V2023.07