就在11月28日,又一起勒索事件出現(xiàn) —— 舊金山MUNI城市捷運(yùn)系統(tǒng)受到勒索加密勒索軟件攻擊,所有的售票站點(diǎn)都顯示出“你被攻擊了,所有數(shù)據(jù)都被加密“,攻擊者發(fā)出公告索要100比特幣,也就是70000多美元。

勒索軟件不管對(duì)個(gè)人網(wǎng)絡(luò)用戶和企業(yè)用戶來說,是個(gè)越來越顯嚴(yán)重的犯罪問題。受影響的客戶包括中小企業(yè)的業(yè)務(wù)信息系統(tǒng),甚至包括個(gè)人終端,移動(dòng)設(shè)備。據(jù)美國(guó)FBI的一份報(bào)告顯示,2016年,勒索軟件的非法收入可能達(dá)到10億美元。這一巨大的收入數(shù)字,很大一部分都是由企業(yè)繳納的贖金組成。

當(dāng)用戶因?yàn)槔账鬈浖?dǎo)致業(yè)務(wù)中斷,企業(yè)通常會(huì)認(rèn)為支付贖金是取回?cái)?shù)據(jù)最劃算的辦法。但尷尬的是,這些支付出去的贖金,通常會(huì)被直接用于下一代勒索軟件的開發(fā)。所以很多企業(yè)正在無奈地用“金錢澆灌著勒索軟件的花朵”。正因如此,勒索攻擊正以驚人的速度不斷發(fā)展,勒索軟件家族也正在不斷的進(jìn)化。

勒索事件之所以如此可怖,是因?yàn)樗幌褚话愎羰录浒l(fā)起者只想訪問數(shù)據(jù)或者獲取資源,勒索者有時(shí)既想要數(shù)據(jù),更要錢。這也是為什么在很多勒索事件中,受害者被騙取了錢財(cái),但未拿回自己的數(shù)據(jù)。

當(dāng)前國(guó)內(nèi)外諸多研究機(jī)構(gòu)已經(jīng)專門針對(duì)勒索軟件的現(xiàn)狀、趨勢(shì),并做了詳細(xì)的信息收集和分析研究,微軟還專門針對(duì)勒索軟件在其安全中心開辟了專欄版塊,從所有的機(jī)構(gòu)數(shù)據(jù)來看,勒索軟件卷土重來的趨勢(shì)愈演愈烈,本文將重點(diǎn)討論如何保護(hù)企業(yè),幫助他們更好地應(yīng)對(duì)這種威脅。

一、什么是勒索軟件?

Ransomware(勒索軟件)是通過網(wǎng)絡(luò)勒索金錢的常用方法,它是一種網(wǎng)絡(luò)攻擊行為,可以立即鎖定目標(biāo)用戶的文件、應(yīng)用程序、數(shù)據(jù)庫(kù)信息和業(yè)務(wù)系統(tǒng)相關(guān)的重要信息,直到受害者支付贖金才能通過攻擊者提供的秘鑰恢復(fù)訪問。說直白一點(diǎn),有點(diǎn)像大家的iPhone突然間“被掛失”了,然后攻擊者打來電話索要贖金,然后才幫你解鎖。而勒索軟件攻擊的這個(gè)“iPhone”,則是系統(tǒng)、服務(wù)器。

勒索軟件專門以用戶文件為攻擊目標(biāo),同時(shí)會(huì)避免破壞系統(tǒng)文件。其中的原因是,這一方面可以確保用戶會(huì)收到相關(guān)的通知,以告知他們的文件所遭到的攻擊,另一方面,用戶也能夠通過一定的方法支付贖金以取回他們的文件。對(duì)文件進(jìn)行加密后,此類惡意軟件通常會(huì)自我刪除,并留下某種形式的文檔 —— 這個(gè)文檔會(huì)指示受害者如何支付贖金,并重新獲得對(duì)加密文件的訪問權(quán)限。某些“變體”還會(huì)向受害者設(shè)定支付時(shí)限,并威脅如果在此時(shí)限之前未收到付款,則將刪除密鑰/解密工具,否則則會(huì)增加贖金的價(jià)格。

勒索軟件的發(fā)送方式通常包括:漏洞攻擊包、水坑式攻擊、惡意廣告,或者大規(guī)模的網(wǎng)絡(luò)釣魚活動(dòng)。一旦發(fā)送成功,勒索軟件一般通過某種嵌入式文件擴(kuò)展名列表來識(shí)別用戶文件和數(shù)據(jù)。勒索軟件還