XDA智能手机网 - 第一智能手机评述媒体
手机资讯您的位置:首页 >手机资讯 >

您在2019年需要了解的有关勒索软件的所有信息

发布时间:2019-01-29 09:09:30 来源:techradar

Fabian Wosar以破坏勒索软件团伙的日子为生,并且他有仇恨邮件证明这一点。

“有一次,我设法惹恼了一个勒索软件作者,以至于他们真的以我的名义重命名他们的勒索软件,”他说。“所以他们将他们的勒索软件重命名为'fabiansomware',这有点奇怪。”

Wosar是IT安全公司Emsisoft的研究负责人,他的免费勒索软件解密工具已下载超过一百万次(1,144,351,确切地说,不包括镜像站点的下载)。随着普通勒索软件作家要求522美元(约400英镑,750澳元)恢复受害者的档案,这可能是$ 537,351,222(约合455,000,000澳元,833,000,000澳元)从勒索软件作者口袋中剔除。对没有办公室的40人公司来说也不错。

“Emsisoft最初只是一家非常小的公司,只有两名员工,”Wosar说。“当你试图进入防病毒和反恶意软件领域而你只有两个人时,你就无法通过人力资源与赛门铁克,卡巴斯基或Bitdefender这些拥有数千名员工的大房子竞争。

勒索软件评论

并非Wosar收到的所有评论都是侮辱; 一些勒索软件的作者印象深刻

“从一开始就非常明显,我们必须更敏捷,我们需要确保所有内部流程的开销都要少得多,而且我们必须更加智能地了解我们如何放置有限的资源好用。这种最初作为必需品诞生的商业思维很快成为我们所有产品背后的核心理念。

Emsisoft在过去的15年中稳步增长,没有外部投资。它仍然比许多竞争对手小很多,但这并没有阻止它与安全软件巨头竞争。

“我们最初是一家非常注重家庭用户的公司,”Wosar说,“但近年来我们开始进入商业市场,取得了越来越大的成功,我们逐渐意识到家庭用户和企业的需求往往差别很大,需要。大多数传统公司通过向其投入更多资源来解决这个问题,并经常拆分产品线,为不同的客户提供不同的产品,但这是我们根本无法做到的事情。

“因此,我们保持精益求精的理念,现在我们专注于使所有这些先进的企业级保护功能不仅可供家庭用户使用,而且使他们易于使用并对他们有用,这样他们就可以真正了解他们并了解正在发生的事情,通过让用户更容易访问来让用户掌握权力,这将在2019年即将发布的几款即将推出的产品中变得更加出色,但我现在无法说清楚了。但现在关注的重点是,只是赋予那个人权力。“

勒索软件的简史

Wosar对安全的兴趣始于他11岁时。“在过去很好的DOS时代,我被一种名为Tequila的病毒感染了,我只是被吸引了,”他说。

他在2012年首次对勒索软件感兴趣,当时BleepingComputer创始人劳伦斯艾布拉姆斯问他是否可以帮助一些论坛用户成为ACCDFISA(联邦互联网安全机构的反网络犯罪部门)病毒的受害者 - 这是文件的第一个例子之一 - 加密勒索软件。

“勒索软件首先以屏幕储物柜的形式变得很大,”Wosar解释说。“基本上你正在浏览互联网,突然出现一个屏幕弹出锁定你的整个屏幕,告诉你FBI或GCHQ只是看到你做了一些顽皮的事情。现在,您必须前往当地商店并获取Paysafecard并输入代码以解锁您的系统。因为显然国家会采取Paysafecard,对吧?“

这总是很有趣,当人们变得如此愤怒以至于他们想要如此严重地侮辱我,以至于他们实际上最终使他们的勒索软件在此过程中不那么安全

Fabian Wosar,Emsisoft

很快就知道屏幕储物柜相对容易移除(只需在安全模式下重启计算机并消除感染),因此他们背后的人转而使用文件加密。这是一个更大的问题,也是Wosar多年来一直致力于解决的问题 - 很大程度上是因为犯罪分子的烦恼。

Wosar经常受到侮辱,并经常在勒索软件本身内发现它们,这可能会产生意想不到的后果。

“有一种称为分组密码的加密技术可以对数据块进行操作,”Wosar说。“当你考虑它时,如果你没有在块之间更改加密,那么即使你只有一个加密文件,你至少可以告诉文件的哪些部分包含相同的数据,因为加密的块将保持不变和以前一样。因此,如果您有大型零件只包含零个字节,例如,您仍然可以看到这些零件。“

Wosar分享了一个在安全社区中众所周知的例子:企鹅Tux的图像,它使用简单的分组密码加密,但仍然清晰易读。要解决该问题,您需要一个阻止模式。

分组密码

使用简单的分组密码加密图像时,部件仍然可以清晰

“你可以将块模式看作是一个额外的步骤,你可以在每次加密文件时使文件内的相同块看起来不同,”Wosar说,“为了做到这一点,你开始用一些叫做初始化矢量,或IV。对于这个勒索软件,他们使用的IV包含来自内存的数据,这些数据只是随机的。他们没有把任何特定的数据放到IV中 - 他们只是从记忆中随机抽取了一些东西,而之前在那个记忆中的任何东西都成了IV。现在,当他们加入侮辱时,他们实际上将侮辱放入了IV。这意味着此后IV总是相同的,这降低了勒索软件的安全性。

“所以这总是很有趣,当人们变得如此生气以至于他们想要如此严重地侮辱我时,他们实际上最终会使他们的勒索软件在此过程中不那么安全。所以这很有趣。“

对家庭用户的威胁

勒索软件作者开始了解到针对家庭用户并不是特别有利可图 - 部分原因是许多人没有钱支付,部分原因是他们根本不关心加密的数据。

“现在大部分焦点都集中在你的手机上,”Wosar说,“如果你有一部手机,那么它很可能也会被云端备份到Google照片或iCloud。如果你系统上的所有图片都是加密的,你可以下载,这不是一个大问题。“

面对无法支付或不支付的家庭用户,勒索软件编写者已经开始分支。“如果勒索软件经常发现自己的系统特别强大,或者拥有非常好的显卡,那么他们通常选择不对文件进行加密,而是将一些被称为密码系统的东西放到系统上,”Wosar说。“然后,密码管理员将开始在后台挖掘加密货币,并尝试下载。

“一般来说勒索软件或恶意软件似乎常常出现的另一个趋势是引入加密攻击程序,这些加密程序本质上是一些小木马或恶意软件,它们会在您的系统中查找加密钱包并窃取它。金融恶意软件对于家庭用户来说仍然是一个问题,例如,试图窃取您的银行凭据或您的PayPal凭据,以便某人只需访问您的银行帐户并窃取所有资金。

如果勒索软件经常发现自己的系统功能特别强大,或者拥有非常好的显卡,那么他们通常选择不加密文件

Fabian Wosar,Emsisoft

除了勒索软件之外,Wosar还表示,家庭用户也应该了解机器人,它们劫持了你的系统并使其成为一个名为僵尸网络的远程操作网络的一部分。

“你可以把它看作是一个由单个实体控制的系统集合,通常称为僵尸牧人,他们可以让你的系统做任何他们想做的事情。但在很多情况下,这些类型的僵尸网络被用于分发垃圾邮件活动,例如发送数百万封垃圾邮件。

“它们可以用于发起DDOS攻击,因此你的系统开始攻击其他系统并试图将其删除。并且在很多原因导致这些类型的僵尸网络构建新的勒索软件活动的基础,勒索软件犯罪组织支付僵尸网络牧民将勒索软件上传到他们所有受害者的计算机上,然后在那里运行并加密所有数据。“

潜在有害程序(PUP)是家庭用户的另一大问题。这些是与免费软件安装程序捆绑在一起的额外程序,并且经常通过搜索栏和图标挂钩到您的Web浏览器,并可能更改您的主页和默认搜索引擎。

Wosar指出,它们在技术上并不违法,因为在安装您想要的软件时,通常有一种方法可以避免它们,Windows告诉我们只需单击“下一步”,“下一步”,“下一步”而不需要特别注意。

对企业的威胁

对于仍然面临勒索软件严重威胁的商业用户来说,这是一个不同的故事。“那里的勒索软件活动与家庭用户的工作方式有很大不同,”Wosar说。“对于家庭用户来说,勒索软件活动或者是大型垃圾邮件活动的一部分,其中恶意软件刚刚被发送给成千上万的用户,[作者]只是希望有人容易上当然打开附件,然后运行任何附件到电子邮件。

“对于企业来说,勒索软件往往是针对性的。这意味着人们会特别试图攻击你的公司。例如,当谈到面向互联网的服务时,他们会寻找防御中的弱点。通常,这是通过不安全的远程控制功能完成的,例如RDP(远程桌面协议)。“

没有自己的IT部门的小型企业经常将其外包给其他公司,这些公司在客户的服务器上安装远程控制软件。这意味着他们无需在每次客户端需要帮助时派遣技术人员,但通常远程访问点的安全性较差。弱密码,标准用户帐户,拥有超过必要权限的帐户以及未修补的软件都是严重的风险。

对于企业来说,勒索软件通常是针对性的。这意味着人们会特别试图攻击你的公司。他们会在你的防守中寻找弱点

Fabian Wosar,Emsisoft

“这些勒索软件团伙特别寻求服务中安全性较差的远程接入点,一旦他们进入服务器,他们就会尝试从那里转向本地网络中的其他系统,”Wosar说。“如果不成功,他们就会开始加密整个服务器。”

对于企业而言,赎金通常也要高得多,因为勒索软件作者(通常是正确的)假设他们有更多的钱。潜在地,它比针对家庭用户更有利可图。

“企业也总是要处理APT - 来自国家赞助团体的高级持续威胁,这些团体试图特别窃取公司机密,并获得各种其他优势和见解,”Wosar说。

“我认为未来几年我们不会看到很多大型APT被曝光 - 主要是因为在过去的几年里,很多大型活动都被曝光了。APT将继续成为企业的威胁,但他们将尝试在更加有针对性的攻击和更小的活动的雷达下飞行更多,以确保他们的所有工具和专门的恶意软件不泄漏。

对企业来说,另一个最大的威胁是鱼叉式网络钓鱼 - 一种针对特定企业,甚至是特定个人的网络钓鱼版本,使用收集的数据使攻击更加可信。

“一个典型的例子是人们模仿公司的首席执行官,并向会计人员发送电子邮件,要求他们转账以支付虚构的发票,”Wosar说。“但是,当涉及到渗透公司并让公司所有者在其系统上运行恶意软件时,这些类型的攻击也会起作用。因此,一种常见的方法是在应用程序中隐藏恶意软件。您希望招募新员工并在那里提供一些工作机会,并且人们会在其应用程序中发送隐藏在其中的恶意软件。

“这些类型的攻击现在对于企业来说更为普遍,而这些攻击可能是企业最想要关注的。”

如何保护您的文件

“备份,备份,备份,”Wosar说。“防病毒软件(甚至Windows作为操作系统)在检测和防止勒索软件攻击方面已经取得了很大进展,因此它是一种非常有用的防御形式,但备份不仅对勒索软件很有用,而且还可以帮助你在各种其他情况下。例如,如果您的硬盘出现故障怎么办?“

备份文件时,Wosar引用了三条,两条,一条规则。您应该有三个数据副本,这些副本应存储在两个不同的设备上,存储在两种类型的存储上,其中一个应该是非现场的。

对于家庭用户,这可能意味着将您的照片集合放在PC的内部硬盘驱动器上,然后将计划备份到外部硬盘,并将这些备份同步到Dropbox,OneDrive或Google Drive等服务。

“保持系统最新是非常重要的,特别是作为一个企业,尤其是可以直接从互联网上访问的系统,”Wosar说。“ 例如,WannaCry是一个非常流行的勒索软件家族,它使用公开的漏洞来利用系统,特别是可以通过互联网访问的服务器。人们没有安装补丁,所以他们在连接到互联网的几分钟内就被感染了。“

通过不安装必要的安全补丁,企业使自己容易受到WannaCry的攻击

如果您使用公司远程管理IT系统,则尽可能减少攻击面非常重要。确保有适当的密码策略,并确保密码长,复杂,不会在不同的站点上重复使用。

“至少,从默认端口从默认RDP端口切换到另一个端口,这样您的系统就不会在简单的端口扫描中自动点亮,向外部通告该服务器正在使用RDP,”Wosar说。

“当谈到这些外包方案时,通常没有必要让RDP可用于整个互联网。理想情况下,只有您要求处理系统的外包公司才能访问它,因此利用防火墙规则来限制对服务器和远程访问点的访问,以便将其锁定为人性化可能。

如何解密您的文件

如果您的文件是加密的,最重要的是不要删除勒索软件可执行文件 - 无论听起来多么不直观。可以通过隔离它来禁用它,并禁用自动运行引用以使它不会自动启动,但不要完全摆脱它。

“试图弄清楚你的文件是否可以在不支付赎金的情况下被解密的第一步是调查勒索软件可执行文件,以确切了解它对你的文件做了什么,”Wosar说。“当人们移除感染时,情况会变得如此困难,因为那时你必须尝试从那些加密数据的数以百万计的勒索软件文件中找到一个勒索软件文件,这使得整个过程成为可能更难。“

如果你没有原始文件的备份,他建议制作一个加密文件 - 无论听起来多么奇怪。

“我们确实有很多案例,一旦勒索软件活动关闭,勒索软件作者就免费发布了密钥。因此,如果您不需要立即访问您的文件,或者您处于可以恢复文件的情况,但对您而言,您愿意花钱获取文件并不重要他们回来,只是保留备份中的加密文件。“

您可能也能够解密您的文件是执法部门能够抓住犯罪分子的服务器,就像过去曾多次发生的那样。

试图弄清楚你的文件是否可以在不支付赎金的情况下被解密的第一步是调查勒索软件可执行文件,以确切了解它对你的文件做了什么

Fabian Wosar,Emsisoft

如果您遇到勒索软件,您可能会发现有几家公司声称能够恢复加密数据,无论感染多少。然而,它们并不总是它们看起来的样子,而且许多人作为一种中间人工作,拿走你的钱并将其交给勒索软件作家。

Wosar对这些公司没有任何问题,如果他们对他们正在做的事情非常透明 - 基本上可以采取比特币来支付赎金和处理解密的潜在棘手步骤。

“我不介意他们是否对此持开放态度,”他说,“但是很多人都没有,而且很多人都给这些公司付了很多钱,想着,”哦,但至少勒索软件作者没有得到钱,但实际上他们做到了。您刚刚为数据恢复公司支付了赎金和一些额外费用。

“你还必须记住,这些勒索软件活动所有者实际上为这些数据恢复公司提供了一种联盟计划。因此,如果你说服你的客户支付勒索软件,那么[作者]只占用了60%的费用而你拿走另外40%的费用,你可以通过要求少于勒索软件来降低服务质量作者做了,或者只是把它作为奖金 - 这对你有利。“

Wosar甚至被作者询问是否可以忽略他们的勒索软件活动以换取一部分利润,或者建议他告诉受害者除了付款之外别无选择,并向他提供联盟链接。

如果受害者在BleepingComputer等支持论坛上留下积极的推荐信,甚至可以提供折扣,向其他用户保证,如果他们支付费用,他们将获得他们的文件。

Emsisoft 为许多常见类型的勒索软件发布了免费解密软件(以及帮助您识别感染类型的详细信息),以及安全删除它的分步指南。

如果您的感染没有可用的解密器,Emsisoft的论坛提供免费的勒索软件急救服务(即使您不是Emsisoft的客户)。查看此帖子了解您需要遵循的程序。

热点推荐
随机文章