面對勒索軟體 如何保護資料備份安全?

安全頻道發表於2019-01-30

儘管近期攻擊事件有所減少,但勒索軟體仍然對企業構成了重大威脅,尤其是勒索軟體編寫者意識到備份是一種有效的防禦措施,並且正在修改其惡意軟體以追蹤並消除備份。

勒索軟體攻擊下降,但並沒有消失

McAfee報告稱,去年惡意軟體和樣本的數量都有所下降。根據最新的報告,2018年第三季度,勒索軟體樣品數量還不到2017年底峰值的一半,當時的峰值約為230萬件。卡巴斯基實驗室資料顯示,在過去一年裡,76.5萬名卡巴斯基使用者受到了加密檔案的惡意軟體攻擊,相比之下,有500多萬人受到了密碼破解者的攻擊。

Bitdefender的威脅研究主管Bogdan Botezatu表示,勒索軟體攻擊減少的主要原因是安全公司在防禦方面的能力越來越強。他表示:“勒索軟體總會有新版本,有些會比其他版本更復雜,更難捕獲,但我們預計,勒索軟體的比例不會再有大規模的增加,至少不會比去年大。”

Malwarebytes惡意軟體情報主管Adam Kujawa表示:“幾年來,勒索軟體一直是最大的威脅,但現在已經大幅下降。”不過,他說,勒索軟體正在不斷髮展。例如,惡意軟體作者正在利用最新的漏洞,比如美國國家安全域性(NSA)洩露的漏洞。他說:“我們看到這些病毒在很多惡意軟體家族中都有出現。”“當你使用這種攻擊時,如果你感染了一個系統,你可以通過使用這些攻擊橫向移動。你創造了一個更大的目標——這是我們肯定會看到的趨勢。”

針對備份的勒索軟體

Kujawa表示,勒索軟體現在會刪除它在這個過程中遇到的任何備份。例如,勒索軟體的常見策略是刪除Windows建立的檔案的自動副本。“因此,如果你進行系統還原就會發現,你無法恢復備份,”他說。“我們也看到他們使用共享網路驅動器。”

最近的兩個例子就是SamSam和Ryuk。去年11月,美國司法部起訴兩名伊朗人使用SamSam惡意軟體向包括醫院在內的200多名受害者勒索3000多萬美元。起訴書說,攻擊者在正常營業時間之外發動攻擊,並“對受害者電腦的備份進行加密”,從而使損失最大化。

最近,Ryuk擊中了幾個備受矚目的目標,包括《洛杉磯時報》和雲託管提供商Data Resolution。根據Check Point的安全研究人員的說法,Ryuk包含一個刪除影子卷和備份檔案的指令碼。“雖然這個特定變體的惡意軟體並不專門針對備份,但它提供了更簡單的備份解決方案——那些導致資料駐留在檔案共享的風險,”來自Continuum公司的Brian Downey說。

瞻博網路(Juniper Networks)威脅研究主管Mounir Hahad表示,最常見的做法是通過微軟Windows的一個名為“早期版本”(Previous Versions)的功能來做到這一點。它允許使用者恢復檔案的早期版本。他說:“大多數勒索軟體變體都會刪除影子複製快照。”他補充說,大多數勒索軟體攻擊還會攻擊對映網路驅動器上的備份。

勒索軟體攻擊備份不具備針對性

但是,這並不意味著所有備份現在都是脆弱的。博思艾倫諮詢公司(Booz Allen Hamilton)的首席技術專家David Lavinder表示,當勒索軟體確實在追蹤備份時,通常是隨機的,而不是蓄意的。根據勒索軟體的不同,它通常通過爬蟲系統來查詢特定的檔案型別。“如果遇到備份副檔名,它肯定會加密它,”他說。

他還表示,勒索軟體還試圖傳播,感染儘可能多的其他系統。和WannaCry一樣,這種蠕動能力是他希望在未來看到更多活動的地方。他表示:“我們不希望看到任何針對備份的蓄意攻擊,但我們確實希望看到更專注於橫向轉移的努力。”

通過採取一些基本的預防措施,您可以保護您的備份和系統免受這些新的勒索軟體策略的影響。

使用額外的副本和第三方工具補充Windows備份

為了防止勒索軟體刪除或加密檔案的本地備份,Kujawa建議使用其他備份或第三方工具或其他不屬於預設的Windows配置工具。他說:“如果它不以同樣的方式做事,惡意軟體將不知道在哪裡刪除備份。”“如果你的員工感染了某種病毒,他們可以清除它並從備份中恢復。”

隔離備份

一個受感染的系統和它的備份之間的障礙越多,勒索軟體就越難接近它。位於印第安納波利斯的網路安全服務公司Pondurance的首席執行長Landon Lewis說,一個常見的錯誤是,使用者在備份時使用的身份驗證方法與在其他地方使用的方法相同。他說:“如果你的使用者帳戶受到攻擊,攻擊者想做的第一件事就是升級他們的許可權。”“如果備份系統使用相同的身份驗證,它們可以接管一切。”

使用不同密碼的獨立身份驗證系統會使這一步更加困難。

在多個位置儲存多個副本

Lewis建議公司使用至少兩種不同的備份方法,儲存重要檔案的三份不同副本,其中至少有一份需要放在不同的位置。他說,基於雲的備份提供了一個易於使用的離線備份選項。“網際網路上的塊儲存非常便宜。很難解釋為什麼有人不使用它作為額外的備份方法。如果你使用不同的認證系統,那就更好了。

此外,許多備份供應商還提供回滾選項,或同一檔案的多個版本。如果遭到勒索軟體攻擊並加密檔案,那麼備份實用程式會自動備份加密版本,並覆蓋好的版本,那麼勒索軟體甚至不需要特意去備份。因此,回滾正在成為一個標準特性,公司應該在確定備份策略之前進行檢查。劉易斯說:“我肯定會把這一點加入我的標準。”

測試,測試,測試

許多公司只有在遭受攻擊後才發現他們的備份沒有被採用,或者備份太過繁瑣而無法恢復。他說:“如果你沒有做過某種型別的恢復練習,而且沒有記錄在案,也沒有人熟悉它,我們仍然會看到許多客戶考慮付費,在某些情況下,實際上是這樣做的,因為付費給攻擊者實際上在操作上更便宜。”

Kaseya是一家提供備份解決方案的技術公司,該公司技術長Bob Antia也建議檢查備份供應商是否能夠檢測到勒索軟體攻擊,尤其是更新、更隱祕的攻擊。他說,一些勒索軟體現在故意執行緩慢,或者在加密前處於休眠狀態。“這兩種技術意味著很難知道從備份恢復到什麼時間點,”他說。“我預計,勒索軟體將繼續尋找更棘手的方式來隱藏自己,使追回變得更加困難。”

Antia說:“我們最近還沒有看到像WannaCry和Petya這樣的大規模全球重大攻擊。”但他說,當這種情況真的發生時,可能會造成極大的傷害。“我們看到個別組織因最近的襲擊遭受了數百萬美元的損失。”

來自 “ https://www.csoonline.com/article/3331981/ransomwa ”,原文連結:http://blog.itpub.net/31545812/viewspace-2565257/,如需轉載,請註明出處,否則將追究法律責任。

相關文章