欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

勒索软件的攻击响应和处理方法

来源:本站整理 作者:佚名 时间:2019-09-06 TAG: 我要投稿


近年来,勒索软件是全球范围内快速增长的威胁之一,并且被认为是全球网络攻击的领导者,因为它能导致许多组织和个人面临一些安全问题和巨大损失。勒索软件攻击的成本仅在一年内就超过了10亿美元,而且勒索软件攻击数量扔日益增加。
勒索软件对于一些犯罪分子来说,就是一个用赎金来换取钥匙的恶意游戏。随着受害者的赎金持续增长,致使勒索软件成为了一个数十亿美元的产业。所以,想要把它连根拔起没那么容易。本文中我们将看到针对复杂勒索软件攻击的响应及处理方法。
勒索软件的共同点
勒索软件的一个共同点是,所有的勒索软件变种,都使用了非常强大的加密方法(2048 RSA密钥)。另外提一句,据专业人士估计需要大约6.4万亿年才能破解一台普通台式计算机的RSA 2048密钥。
正是由于包括RSA和AES密码在内的高级加密算法的广泛应用,使得勒索软件更加强大。
勒索软件使用无法追踪的比特币支付,并且每个勒索软件变种都要求支付不同金额的比特币来获得解密密钥。
有时攻击者可能会提供解密密钥,有时他们甚至还会帮你付钱,不过前提是,他们会强迫受害者感染另外几个人以获得解密密钥。
为了保持匿名性,攻击者都是使用“Tor”与受害者建立通信,这有助于攻击者隐藏他们的IP地址,因为Tor网络是由不同国家的数千个节点创建的,则无法使用常规的互联网浏览器来浏览TOR站点。
感染后的症状
1、一个包含勒索软件程序和指令的窗口已经打开,就无法关闭。这时,警告倒计时程序会提示如何支付解锁文件和设备的费用。
2、如果长时间未支付赎金,倒计时程序会提醒您请在截止日期前支付费用,否则您将永远不能再解密该文件,或赎金金额将会增加。
3、突然文件无法打开,文件错误或者已损坏。
4、这时你可以看到一个目录,说明如何解密FILES.TXT或一些相关的指令。
感染媒介
1、网络钓鱼电子邮件:
用户收到在正文内容中带有恶意链接的电子邮件。一旦用户单击链接,就会下载包含勒索软件的文件。
而这封电子邮件有可能看起来仅仅像是某个主流品牌、社交网站或Seeking应用,表面上看让人毫无戒备。
2、电子邮件附件
用户将收到带有附加文件的电子邮件。一旦用户打开文件,勒索软件就会在受害者计算机中被触发。
例如:紧急要求、工作offer、普通Zip文件,这让你有一种紧迫感去打开它。
3、嵌入式超链接
指包含嵌入式超链接的恶意文档。当用户点击超链接时,将会链接到互联网,并下载包含复制变量的恶意文件。
例如:很普通的Look Document,Innocent Looking Hyperlink,都能和勒索软件相关联。
4、网站和下载
用户浏览受感染的网站并下载软件,用户误以为这是一个真正的软件,但它实际上包含一个变种的勒索软件。
例如:一般的浏览网站、色情网站、从Bit Torrent下载文件、PC下载、Play商店。
5、感染驱动
如果一个用户使用了含有旧浏览器、恶意插件或者未补丁的第三方应用程序的浏览器,这将会通过组织中的文件共享平台(如IRC,Skype和其他社交媒体)中的受感染用户进行传播。
受感染的站点会将用户重定向到漏洞利用工具包中,并且他会关注勒索软件漏洞,随后下载并利用勒索软件。
事件响应和处理
一旦您感觉自己被感染或者发现网络中出现了一些异常活动,那么请采取以下步骤来减轻感染所带来的影响。
如何找到感染信号
1、文件扩展名
在加密过程中,文件扩展名将被更改为您之前从未见过的新类型的扩展名。
所以收集已知的勒索软件文件扩展名并监视扩展名,会帮助您在事件发生之前识别勒索软件。
在这种情况下,现有文件扩展名保持不变,但在加密过程中将创建一个新的文件扩展名,新的扩展名将添加到受感染文件的正常文件扩展名旁边。
点击此处可以查看所有不正常的勒索软件相关的文件扩展类型- 勒索软件文件扩展。
2、批量文件已重命名
监控大量正在使用网络或计算机重命名的文件,这样我们能看出勒索软件的危害。
检查是否有大容量的文件名会随着您的资产改变而改变。
与正常使用相比,使用行为分析有助于识别您在网络中查找正在更改或突然使用的文件。
3、安全工具
例如端点保护、防病毒软件、Web内容过滤等安全工具,允许过滤您在互联网上访问的内容,分析网络和计算机的行为,监视用户的正常行为,如果会发生一些不正常的事情,它会提醒您去查看一下。
您已在网络中设置的入侵检测和防御系统,将阻止回拨异常文件并加密文件。
此外,它还可以防止从命令和控制服务器下载加密密钥,并停止对系统中的文件进行加密。
4、勒索软件笔记
勒索软件笔记会在屏幕上弹出,并告诉您支付赎金金额。
这是勒索软件攻击的第一个指标之一,大家应该特别注意这一点。
5、用户报告
用户向帮助台报告他们无法打开文件或找不到文件,而且PC运行缓慢。
确保您组织的服务台专业人员经过全面的培训,以面对勒索软件的影响并采取适当的缓解措施。
发现感染怎么办
一旦您发现并确认计算机或网络已被感染后,请立即执行以下操作。
断开网络!!!
· 完全断开受感染计算机与任何网络的连接,记住:完全断开。
· 移除所有存储设备,如外部硬盘,USB和其他存储设备。
· 关闭所有无线设备,例如路由器,WiFi,蓝牙等其他无线设备。
· 拔掉电脑连接网络的所有插头。
· 不要删除任何东西,例如清理缓存、格式化等,因为这对于调查过程非常重要。
确定感染范围
在这种情况下,您需要评估您的组织基础架构受到危害或加密的程度。
找到第一台被感染的机器并确认受感染的存储介质。这个操作任何人都可以做。
· 一些有重要信息的U盘
· 共享或非共享驱动器或文件夹
· 外置硬盘

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载