Learn more on how to stay protected from the latest Ransomware Pandemic

什么是Ransomware?

Ransomware is malware designed to deny a user or organization access to files on their computer. By encrypting these files and demanding a ransom payment for the decryption key, 这些恶意软件将组织置于一个位置,支付赎金是最简单和最便宜的方式,以重新获得访问他们的文件. 一些变体还增加了额外的功能——比如数据盗窃——以进一步激励勒索软件受害者支付赎金.

勒索软件迅速成为最常见的软件 著名的 可见的恶意软件. Recent ransomware attacks have impacted hospitals’ ability to provide crucial services, 城市公共服务瘫痪, 并对各种组织造成了重大损害.

Gartner Ransomware报告 安排一次演示

勒索软件Attack-它是什么和它是如何工作的?

为什么会出现勒索软件Attack?

的 modern ransomware craze began with the WannaCry outbreak of 2017. 这一大规模和高度公开的Attack表明,勒索软件Attack是可能的,并可能有利可图. Since then, dozens of ransomware variants have been developed and used in a variety of attacks.

的 COVID-19 pandemic also contributed to the recent surge in ransomware. As organizations rapidly pivoted to remote work, gaps were created in their cyber defenses. Cybercriminals have exploited these vulnerabilities to deliver ransomware, 导致勒索软件Attack激增. 在2020年第三季度, 勒索软件Attack增加50% 与当年上半年相比.

2020-2021年流行的勒索软件变体

Dozens of ransomware variants exist, each with its own unique characteristics. 然而, some ransomware groups have been more prolific and successful than others, 让他们从人群中脱颖而出.

1. 琉克

琉克 这是一个非常有针对性的勒索软件变种的例子吗. 它通常通过鱼叉式网络钓鱼电子邮件或使用使用远程桌面协议(RDP)登录到企业系统的被破坏的用户凭证来传递。. 一旦系统被感染, 琉克 encrypts certain types of files (avoiding those crucial to a computer’s operation), 然后提出赎金要求.

琉克 is well-known as one of the most expensive types of ransomware in existence. 琉克要求赎金 平均超过100万美元. 作为一个结果, 琉克背后的网络罪犯主要关注那些拥有满足他们需求所需资源的企业.

2.  迷宫

迷宫 勒索软件是著名的第一个勒索软件变种 结合文件加密和数据窃取. 目标开始拒绝支付赎金, 迷宫 began collecting sensitive data from victims’ computers before encrypting it. 如果赎金要求得不到满足, 这些数据将被公开披露或出售给出价最高的竞标者. 的 potential for an expensive data breach was used as additional incentive to pay up.

迷宫勒索软件的幕后组织 正式结束运营. 然而, this does not mean that the threat of ransomware has been reduced. Some 迷宫 affiliates have transitioned to using the Egregor ransomware, 和Egregor, 迷宫, 和Sekhmet变种被认为有一个共同的来源.

3.REvil (Sodinokibi)

REvil集团(也被称为Sodinokibi) 是不是另一种针对大型组织的勒索软件.

REvil is one of the most well-known ransomware families on the net. ransomware组, which has been operated by the Russian-speaking REvil group since 2019, 他对许多重大事件负有责任,比如Kaseya”和“JBS”

在过去的几年里,它一直在与琉克竞争最昂贵的勒索软件变体的头衔. 谩骂是众所周知的 要求80万美元的赎金.

While REvil began as a traditional ransomware variant, it has evolved over time-
他们使用双重勒索技术——在对文件加密的同时从企业窃取数据. 这意味着, 除了要求赎金来解密数据, attackers might threaten to release the stolen data if a second payment is not made.

 

4. Lockbit

LockBit is a data encryption malware in operation since September 2019 and a recent Ransomware-as-a-Service(老城). 开发此勒索软件是为了快速加密大型组织,以防止其快速被安全设备和IT/SOC团队检测. 

5. DearCry

2021年3月,微软发布了针对Microsoft Exchange服务器四个漏洞的补丁. “亲爱的哭”是一个新的勒索软件变种,旨在利用微软交易所最近披露的四个漏洞

DearCry勒索软件会加密某些类型的文件. 一旦加密完成, DearCry将显示一条赎金信息,指示用户向勒索软件运营商发送电子邮件,以便学习如何解密他们的文件.

Ransomware是如何工作的

为了成功, 勒索软件需要进入目标系统, 加密那里的文件, 向受害者索要赎金.
While the implementation details vary from one ransomware variant to another, 它们都有相同的核心三个阶段

  • 步骤1. 感染与分布媒介

Ransomware, 像任何恶意软件, can gain access to an organization’s systems in a number of different ways. 然而, ransomware operators tend to prefer a few specific infection vectors.

其中之一就是网络钓鱼邮件. 恶意电子邮件可能会包含一个链接到托管恶意下载的网站,或者一个内置了下载功能的附件. 如果邮件收件人上当了, 然后,勒索软件被下载并在他们的电脑上执行.

另一个流行的勒索病毒感染载体利用了远程桌面协议(RDP)等服务. 与RDP, 窃取或猜测员工登录凭据的Attack者可以使用这些凭据进行身份验证,并远程访问企业网络中的计算机. 这个访问, the attacker can directly download the malware and execute it on the machine under their control.

其他病毒可能试图直接感染系统, 比如WannaCry是如何利用永恒蓝色漏洞的. 大多数勒索软件变种都有多个感染载体.

  • 步骤2. 数据加密

 After ransomware has gained access to a system, it can begin encrypting its files. 因为加密功能内置在操作系统中, 这只涉及访问文件, 用Attack者控制的密钥加密它们, 用加密版本替换原始版本. 大多数勒索软件变种在选择要加密的文件时都很谨慎,以确保系统的稳定性. 一些变体还会采取步骤删除文件的备份和影子副本,以使在没有解密密钥的情况下恢复更加困难.

  • 步骤3. 赎金的需求

Once file encryption is complete, the ransomware is prepared to make a ransom demand. 不同的勒索软件变体以多种方式实现这一点, 但将显示背景更改为赎金通知或文本文件放置在包含赎金通知的每个加密目录并不罕见. 通常, these notes demand a set amount of cryptocurrency in exchange for access to the victim’s files. 如果付了赎金, 勒索软件操作员将提供用于保护对称加密密钥的私钥副本,或者提供对称加密密钥本身的副本. 这些信息可以输入一个解密程序(也由网络罪犯提供),该程序可以使用它来逆转加密并恢复对用户文件的访问.

这三个核心步骤存在于所有的勒索软件变体中, different ransomware can include different implementations or additional steps. 例如, 像迷宫这样的勒索软件变体可以进行文件扫描, 注册表信息, 在数据加密之前窃取数据, and the WannaCry ransomware scans for other vulnerable devices to infect and encrypt.

 

如何防范勒索软件

  • 利用最佳实践

Proper preparation can dramatically decrease the cost and impact of a ransomware attack. 采取以下最佳实践可以减少组织暴露于勒索软件的风险,并将其影响降至最低:

  1. 网络意识培训及 教育: 勒索软件经常通过网络钓鱼邮件传播. 培训 users on how to identify and avoid potential ransomware attacks is crucial. 因为目前很多网络Attack都是从一封不包含恶意软件的有针对性的电子邮件开始的, but only a socially-engineered message that encourages the user to click on a malicious link, 用户教育通常被认为是组织可以部署的最重要的防御措施之一.
  2. 连续数据备份:  勒索软件的定义是,它是一种恶意软件,目的是让它成为支付赎金是恢复对加密数据访问的唯一途径. 自动化, 受保护的数据备份使组织能够以最小的数据损失从Attack中恢复,而且不需要支付赎金. 定期备份数据是防止数据丢失的一项非常重要的实践, and to be able to recover it in the event of corruption or disk hardware malfunction. Functional backups can also help organizations to recover from ransomware attacks.
  3. 修补: 打补丁是防范勒索软件Attack的一个关键组成部分,因为网络犯罪分子经常会在提供的补丁中寻找最新发现的漏洞,然后锁定尚未打补丁的系统. 像这样, it is critical that organizations ensure that all systems have the latest patches applied to them, 因为这减少了业务中可供Attack者利用的潜在漏洞的数量.
  4. 用户认证: 用偷来的用户凭证访问像RDP这样的服务是勒索软件Attack者最喜欢的一种技术. 使用强用户身份验证可以使Attack者更难利用猜测的或被盗的密码
  • 减少Attack面

因为感染勒索软件的潜在成本很高, 预防是最好的勒索软件缓解策略. This can be achieved by reducing the attack surface by addressing:

  1. 网络钓鱼信息
  2. 补丁
  3. 远程访问Solution
  4. 移动恶意软件

 

  • 部署Anti-Ransomware Solution

需要加密用户的所有文件意味着勒索软件在系统上运行时有一个独特的指纹. Anti-ransomware solutions are built to identify those fingerprints. Common characteristics of a good anti-ransomware solution include:

  • 广泛的变异检测
  • 快速检测
  • 自动恢复
  • Restoration mechanism not based on common built-in tools (like ‘Shadow Copy’, 它是一些勒索软件变种的目标)

如何移除勒索软件?

任何人都不希望在自己的电脑上看到勒索信息,因为这表明勒索软件感染成功了. 在这一点上, some steps can be taken to respond to an active ransomware infection, and an organization must make the choice of whether or not to pay the ransom.

  • 如何减轻活跃的勒索软件感染

许多成功的勒索软件Attack只有在数据加密完成,并在受感染计算机的屏幕上显示勒索通知后才会被检测到. 在这一点上, 加密的文件可能无法恢复, 但应该立即采取一些措施:

  1. 检疫机: Some ransomware variants will try to spread to connected drives and other machines. Limit the spread of the malware by removing access to other potential targets.
  2. 开着电脑: 文件加密可能使计算机不稳定, 而关闭计算机的电源可能会导致易失性存储器的丢失. 让电脑开着,以最大限度地恢复.
  3. 创建一个备份: Decryption of files for some ransomware variants is possible without paying the ransom. 在可移动媒体上复制加密文件,以防将来出现可用的Solution或失败的解密工作损坏文件.
  4. 检查可验证: Check with the No More Ransom Project to see if a free decryptor is available. If so, run it on a copy of the encrypted data to see if it can restore the files.
  5. 寻求帮助: 计算机有时会存储存储在其上的文件的备份副本. 数字取证专家可能能够恢复这些副本,如果他们没有被恶意软件删除.
  6. 擦和恢复: Restore the machine from a clean backup or operating system installation. This ensures that the malware is completely removed from the device

EBET真人如何提供帮助

检验点的 Anti-Ransomware technology uses a purpose-built engine that defends against the most sophisticated, evasive zero-day variants of ransomware and safely recovers encrypted data, 确保业务连续性和生产力. 的 effectiveness of this technology is being verified every day by our research team, and consistently demonstrating excellent results in identifying and mitigating attacks.

和谐端点, EBET真人领先的终点预防和反应产品, includes Anti-Ransomware technology and provides protection to web browsers and endpoints, 利用EBET真人行业领先的网络保护. 和谐端点提供完整的, real-time threat prevention and remediation across all malware threat vectors, 使员工无论在哪里都能安全工作, 不牺牲生产力.

推荐资源



×
  反馈
本网站使用cookies确保您获得最佳体验. 明白了,谢谢! 更多信息