你被勒索软件击中了。现在怎么办?

你被勒索软件击中了。现在怎么办?

想象一下,早上5点醒来接到一个紧急电话:有什么东西接管了你的公司网络,并加密了你所有的数据,而要想找回这些数据,据说唯一的办法就是向使用比特币的匿名第三方支付一大笔钱。虽然这一幕听起来像是好莱坞的故事,但实际上是非常真实的——这正是勒索软件的几个变种对全球组织所做的。

勒索软件最近在新闻中的两次出现表明,随着越来越大的组织,一些对公共和社会服务至关重要的组织,受到疫情的影响,勒索软件的数量和重要性都在不断增加:

【相关报道:勒索软件攻击中不支付的4个原因】

这东西很阴险。勒索软件通常以电子邮件附件的形式出现,声称是发票或装运跟踪文件或其他看似无害的东西。一旦打开,勒索软件通常会悄悄地开始加密它能加密的所有文件,而无需任何用户交互或通知。只有当它卑鄙的行为完成后,它才会提示用户赎金数额、支付方式等信息。

过去,Cryptolocker的第一个版本不够聪明,无法追踪网络驱动器上的数据,只能对本地存储到计算机上的文件进行不必要的加密。在某些情况下,这可能仍然会导致瘫痪,但对于将大部分数据存储在网络共享驱动器、san或nase上的中大型企业来说,这在一定程度上缓解了压力。

遗憾的是,现在情况已经不是这样了,因为随着病毒越来越成功,对作者来说也越来越有利可图,大多数勒索软件变种现在可以穿越网络驱动器和UNC路径,加密任何他们可以实际接触和访问的内容,并将其权限级别授予恶意软件正在执行的用户帐户。从最近有关勒索软件的新闻报道可以看出,结果可能会造成严重破坏。

勒索软件问题有两种基本的解决方案,一种是简单的,另一种是在实现过程中可能会让团队分崩离析的(从技术上讲,有三种,但我不算真正支付赎金作为解决办法,因为支付赎金没有提供全面豁免,而且随着攻击和侵扰变得更加成功,价格肯定会继续上升。)

定期和一致的备份以及经过测试和验证的恢复。唯一不因勒索软件攻击而感到被扣为人质的方法是有下一个最佳可行的替代方案——不付钱,因为您拥有所有数据的完整备份和最新备份,这些备份也经过了一致、定期的恢复过程的测试,以确保备份实际工作。

然后,伴随着警惕性监视(许多技术人员报告成功地使用文件监视筛选来检测大量按顺序更改的文件,特别是如果这些文件在一段时间内没有被其他方式触及),并确保您设置了适当的文件和文件夹权限,您只需快速检测疫情,然后从备份中恢复任何加密数据。这样,您就不必支付赎金,唯一有可能进行不可逆加密的数据就是从最初感染到现在的数据

应用程序白名单。从本质上说,唯一能真正防止勒索软件攻击和入侵的方法就是实现应用程序白名单。白名单包括为您认为允许在您的系统上运行的应用程序计算校验和和其他“数字指纹”,然后基本上删除所有其他内容并禁止代码执行。

听起来不错,对吧?如果漏洞未被列入白名单,则无法运行任何漏洞攻击,因此这种方法不仅可以保护您免受当前威胁的影响,而且还可以作为未来恶意软件的预防措施–即使您仍然可以拥有边缘和端点安全,拥有一个已知的良好的应用程序列表,然后对所有其他应用程序进行黑洞处理,这将是安全性方面的一个重大进步。

【相关报道:由于几乎没有选择,公司越来越屈服于勒索软件的要求】

是的,但问题就在这里:如果你把所有用户经常使用的应用程序的超集,以及它们的不同版本和补丁级别,你很可能会有成千上万的程序-并使用Windows中的内置软件白名单功能,您需要为所有这些文件创建一个签名。他们中的每一个人。有各种自动化解决方案可用,但它们都有一个成本以及许可证和管理时间。

最后,对于白名单,还有一个用户接受的因素:你的用户将不能下载任何东西,包括你事先不允许的浏览器插件。这甚至包括最次要的程序,比如PuTTY,它使用SSH在互联网上进行安全的shell隧道,它很受IT人员的欢迎,或者像Notepad+,一个很好的文本编辑器,许多知识工作者喜欢下载它来增强快速记笔记(这两个程序都是单一的可执行文件,不需要安装,并且可以在系统之间移植,这意味着它们通常会被放到拇指驱动器或USB存储设备上,并在同事之间自由共享。)

您和您的IT团队是否正在进行大规模的工作,不仅要建立初始的白名单定义集,还要持续维护这些定义,即使新的修补程序更改了数字签名,新员工要求新的程序,以及其他服务上线?这确实是一项巨大的事业,但我称之为核选择,因为它是最直接的(不是最容易的;但最简单的)所有方法,但消除威胁勒索软件对您的系统。

这个故事,“你被勒索软件击中了。现在呢?“最初是由

首席信息官。