勒索软件正变的愈来愈聪慧,可以攻击备份以阻拦数据信息的修复。根据采用一些简易的流程可以避免这种现象的产生。
虽然近期的攻击有一定的降低,但勒索软件依然对公司组成了巨大危害,本月对于定点医疗机构的攻击就证实了这一点。并且它的能力也变得越来越强了。尤其是勒索软件编写者意识到备份也是一种合理的防御措施,她们已经改动她们的恶意软件来跟踪并清除备份。
对于备份的勒索软件
勒索软件如今会删掉它在实施环节中所恰巧碰到的一切备份,Malwarebytes的恶意软件情报信息负责人Adam Kujawa说。例如,勒索软件常见的一种对策是删掉Windows建立的资料的全自动团本。“因此,假如你需要开展系统恢复,就没有办法了,”他说道。“大家还见到她们逐渐攻击共享资源的网络驱动器了。”
有备份的勒索软件有两个很出名的事例,SamSam和Ryuk。上年11月,美司法部控告两位伊朗人应用了SamSam恶意软件,向包含医院门诊以内的200多位受害人勒索了3000多万美元。民事起诉书称,攻击者根据在正常的工作中时间之外启动攻击,及其“数据加密受害人计算机的备份”,最大限度地扩展了危害。
Ryuk围攻了好多个高姿态的总体目标,包含洛杉矶时报和云代管服务提供商Data Resolution。依据Check Point安全性科研员工的观点,Ryuk包括了一个可以删掉身影卷和备份文档的脚本制作。“尽管这类特殊的恶意软件并不针对备份,但它的确将更简洁的备份解决方法(造成数据信息停留在共享文件中的解决方法)放置风险性当中,”总公司坐落于墨尔本的技术性企业Continuum的产品经营高級主管Brian Downey表明,该企业可以给予文档备份和修复服务项目。
最多见的作法是根据微软公司Windows的Previous Versions作用,Juniper Networks的危害科学研究负责人Mounir Hahad表明。它容许客户恢复数据的初期版本号。“但大部分勒索软件变异会删掉身影复制,”他填补说,大部分勒索软件也会攻击投射互联网驱动软件中的备份。
勒索软件对备份的攻击是偶然间的,而不是有目的性的
当勒索软件找寻备份时,通常是偶然间的,而不是有意的,Booz Allen Hamilton的总裁技术专家David Lavinder说。依据勒索软件的不一样,它通常会根据抓取系统软件来找寻特殊的文件属性。“假如它碰到了备份文档的后缀名,它一定会数据加密它,”他说道。
勒索软件还会继续尝试开展散播,以感柒尽量多的其他软件,他说道。这类蜘蛛的能力,如同WannaCry一样,是他期待在未来见到大量主题活动的地区。“我们不期待见到一切有心对于备份的总体目标,但大家的确期待可以见到越来越多的时间聚集在横着挪动上,”他说道。
你能根据一些主要的防范措施来保护你的备份和系统软件免遭这种新的勒索软件的攻击。
用附加的任务和第三方专用工具填补Windows备份
为了避免勒索软件删掉或数据加密当地备份文档,Kujawa提议应用附加的备份或第三方软件或别的不属于Windows默认设置配备的专用工具。“假如那样做,恶意软件就不清楚在哪儿删掉备份了,”他说道。“假如你的职工感染了哪些,她们就可以删掉它,(并从备份中修复)。”
防护备份
被感染的体系与其说备份中间的天然屏障越多,勒索软件就越难进到。坐落于印第安纳波利斯的网络信息安全服务中心Pondurance的总裁执行总裁Landon Lewis说,一个普遍的不正确是,客户对备份应用的验证方式和她们在别的地区所采用的一样。“假如你的用户账户被侵入,攻击者想要做的第一件事便是更新它们的权利,”他说道。“假如备份系统软件应用了同样的身份认证,他们就可以接手一切。”
应用不一样登陆密码的独立身份认证系统软件会使这一步更为艰难。
在好几个部位储存好几个备份团本
Lewis提议企业储存秘密文件的三份不一样的团本,应用最少2种不一样的备份方式,而且最少在其中的一份必须被放到不一样的部位。根据云的备份给予了一个容易应用的无网备份选择项,他说道。“互联网技术上的块存储十分划算。难以表述为什么有人不应用它做为附加的备份方式。假如你应用了不一样的认证系统,那么就更强了。”
很多备份经销商还带来了回退或同一文档的好几个版本升级的选择项。假如一个勒索软件攻击并数据加密了文档,那麼备份专用工具会全自动备份数据加密的版本号并遮盖完好无损的版本号,那样勒索软件乃至都不用劳神去获得备份了。因而,回退已经变成一种规范作用,企业应当在明确备份对策以前就开展查验。“我一定会把这一点添加我的规范之中。”Lewis说。
不断检测你的备份
很多企业只能发觉这些人的备份没法应用,或是在她们变成攻击的受害人后才发觉由于太不便而没法回到。“假如你沒有做了某类类别的修补训练,并且沒有文档纪录,也没人了解它,大家将见到很多用户会考虑到付费,而且在某种情形下确实那么干了,由于付费给攻击者事实上在实际操作上更加划算。”Lewis说。
做为其商品的一部分,给予备份解决方法的科技公司Kaseya的首席信息官BBob Antia也提议查验备份经销商是不是能监测到勒索软件的攻击,尤其是较新的、更秘密的变异。一些勒索软件会故意减慢速率,或是在数据加密前处在休眠模式,他说道。“这2种技术性代表着会难以了解必须从备份中复原到什么时候点,”他说道。“我预估勒索软件会再次寻找更强的办法来隐藏自己,使还原更为艰难。”
“大家近期都还没见到像WannaCry和Petya那样的全世界规模性攻击,”Antia说。但当它确实产生时,便会产生很大的毁坏,他说道。“大家早已见到某些机构因近期的攻击而遭到了数百万美元的损害。”