勒索软件如何进入人们的计算机?

信息安全 攻击预防 勒索软件
2021-09-01 01:02:36

我注意到有关 Stack Exchange 的勒索软件问题的频率有所增加。我远程认识的一些人最近也感染了他们的设备。

我开始担心了。当人们问我如何避免病毒时,我通常会告诉他们不要从可疑网站下载文件和文件以外的附件。但是我认为被感染的人在他们的计算机上执行了可疑文件真的正确吗?

当我在 Stack Exchange 上看到被感染者提出的问题时,这种担忧尤其引起了人们的关注——这意味着具有技术意识的人显然同样容易受到攻击。

勒索软件是如何进入他们的计算机的?有什么好的方法可以防止这种情况发生?

4个回答

根据 IBM X-Force 威胁情报季度报告,2015 年第四季度,勒索软件攻击的主要来源是未修补的漏洞、偷渡式感染和鱼叉式网络钓鱼电子邮件:

主要载体是勒索软件感染的来源。

资料来源:IBM X-Force

如何防止勒索软件攻击

用户教育

教育您的用户不要从未知联系人处下载文件。通常勒索软件通过电子邮件发送,声称带有 Word 文档的待处理发票。当您打开文档时,勒索软件将被安装并开始工作。

扫描和过滤邮件服务器

扫描您的邮件服务器以阻止网络钓鱼尝试到达目标收件人。

定期备份数据

确保定期备份您的关键数据并保护它们。这将帮助您避免支付赎金,并减少恢复时间。

漏洞?立即为关键软件和操作系统打补丁

在收到通知后立即修补您的关键软件,例如浏览器、浏览器插件、电子邮件客户端和操作系统。您是否知道巴拿马文件泄漏(2.6 TB 数据)是由于易受攻击的 Web 服务器邮件服务器而发生的

看看过去三年勒索软件的增长情况:

勒索软件样本数

来源:迈克菲实验室,2015 年。

虽然您在问题中描述的措施没有错,但它们也不正确:

  • 打开文件也不安全。

    • 很多时候,漏洞利用的形式是interestingFile.txt.exe.

      默认情况下隐藏的 Windows.exe会导致用户在执行代码时认为这只是一个文本文件。

      还有其他方法可以防止用户识别出可执行代码。例如使用Unicode 和从右到左标记,正如PlasmaHH在评论中建议的那样。

    • Office 产品有多种宏恶意软件。

  • 路过攻击

    这些对每个人来说都是一个实际的威胁,而不仅仅是使用 2-3 个网站,而且每个人都盲目地关注链接。

    尤其如此,因为有(很多?)零日漏洞不为公众所知,因此尚未修复。甚至还有像pwn2own这样的事件,现场展示了这样的利用——去一个准备好的网站,就是这样。

事实上,正如Philipp在评论中正确指出的那样,感染基本上可以发生在任何网站上,包括来自其他地方的内容——例如广告。

你问题的另一部分往往是

为什么现在有这么多勒索软件,而以前没有这么多感染?

好吧,因为勒索软件往往比使用感染建立僵尸网络更有利可图 - 大多数用户通常不会注意到这一点(这就是重点)。

因此,感染并没有真正增加——只是感染的可见度增加了。


从评论中解决操作系统问题

Windows 通常 - 因为它拥有最大的市场份额 - 最常针对(所有恶意软件),但也存在针对 *NIX 风格的勒索软件。这包括 Mac OS X 和 Linux。

如果我没记错的话,今年 Pwn2Own 已经展示了 Mac OS X 被偷偷利用。

仅通过不下载可疑文件就可以免受勒索软件的侵害吗?

不幸的是,仅仅通过不从可疑网站下载文件就认为您可以免受勒索软件的侵害是错误的。

例如,就在上个月,流行的 BitTorrent 客户端传输(v2.90)的 OS X 版本被勒索软件感染这个受感染版本的传输通过传输的官方网站(他们的主服务器被入侵)传播了一两天,所以任何下载它的人都会被感染。令人惊讶的是,尝试在应用程序内更新(传输使用Sparkle框架)本来是安全的,因为攻击者显然没有在受损版本中更新 Sparkle 的校验和,导致(可能是自动的)应用程序内更新失败签名不匹配。

不幸的是,我几乎被这个勒索软件抓住了。由于当时最近披露的 Sparkle 框架中的一个漏洞,我手动更新了所有使用 Sparkle 框架的应用程序,而不是在应用程序内更新它们,其中包括通过手动下载来更新到 Transmission v2.90官方网站。由于在服务器泄露发生前几天下载了它,我才得以毫发无损地逃脱。老实说,几天后我发现妥协后我很害怕。我想说我在这里学到了宝贵的一课,那就是你永远不能盲目地相信你从互联网上下载的应用程序,即使是你信任的开发人员(除非你自己审查源代码)。

减轻勒索软件的损害

勒索软件的问题在于它会加密您的所有文件。如果您有办法阻止应用程序读取或写入系统上的任何任意文件(例如,通过在沙箱中运行所有下载的应用程序),那基本上应该使勒索软件良性。在 Windows 上,您可以使用Sandboxie沙盒应用程序。在 OS X 上,您可以使用Hands Off拦截系统上运行的应用程序的所有读取和写入!(在这里演示)。

另一个解决方案是使用Qubes OS,它是一个操作系统,本质上可以让您以一种非常优雅的方式在不同的虚拟机中对不同的活动/应用程序进行沙箱处理。它还支持在其中一台虚拟机中使用Windows 7 。

它是如何到达那里的部分问题已经得到很好的回答,所以我会采取一些方法来保护自己,尽管真正安全的唯一方法是不要使用连接到互联网的计算机,如下所示不是 100% 安全的。

  • 不要从任何地方打开任何文档,除非您一直期望从该特定人员/公司收到它。
  • 如果您不想成为那种偏执狂,请仅打开来自受信任来源的文档,即您认识并经常与之交流的人*,或者来自您信任并明确要求从其下载文档(或将文档发送给您)的网站.
  • 浏览互联网时,请在虚拟机上进行^。在进行任何浏览之前都有一个标准图像,无论它是否是您始终信任的网站。完成后,删除克隆,这样您可能已经感染的任何感染都消失了,您仍然可以进行标准安装。
  • 备份您珍视的所有内容。不要总是依赖外部云提供商,因为他们可能不会按照他们声明的时间保留文档,或者甚至没有版本控制来回滚到您没有被感染的时间点。
  • 使您的计算机保持最新状态。许多攻击将依赖于某些应用程序中的漏洞。如果这些得到修补,那么它们将无法通过该向量工作。如果你不更新你的软件,你就会留下这些漏洞。

可能还有更多,但这些是立即浮现在脑海中的。

*我提到了你认识的人的频繁通信部分,好像他们被感染了,他们最终可能会在他们不知情的情况下发送带有受感染附件的电子邮件。如果您通常不会从他们那里收到电子邮件或附件,请不要相信它。

^ 这是一个相当长的路要走,不是很多人的选择,或者大多数人都不想要