包括 預防 保護自己免受惡意軟體和勒索軟體(加密惡意軟體)侵害的最有效策略是採用 綜合方法 和 備份 資料 的 。 確保您正在執行更新的防毒和反惡意軟體產品,更新所有易受攻擊的軟體,使用具有反利用功能 的 補充安全工具,能夠在感染造成任何損害之前阻止(防止)感染, 停用 VSSAdmin ,關閉 遠端桌面協定 (RDP) (如果您不需要)。 單獨的防毒解決方案並不足以提供足夠的保護 ,因為許多勒索軟體會在加密資料之前停用(已停用)它。
重要事實: 安全性在於層 ,而不是依賴任何一種解決方案、技術或方法來保護自己免受網路犯罪分子的侵害。 最重要的一層是你 …… 第一道也是最後一道防線 。
對於那些不進行安全計算並隨時了解情況的人來說,再多的安全軟體 也無法抵禦當今複雜的惡意軟體編寫者。 事實已經一再證明,使用者 更重要的因素 ( 安全鏈中最薄弱的環節)。 是比作業系統架構或安裝的保護軟體
抵禦勒索軟體感染的最佳防禦措施是定期備份您的資料 。
加密惡意軟體(勒索軟體)的廣泛出現引起了人們對 備份所有資料的重要性的 每天定期 關注,以減輕勒索軟體攻擊的風險。 有效保護資料並限制此類感染造成的損失的唯一可靠方法是製定有效的 備份策略 …將單獨的離線備份保存到不總是連接到網路或家用電腦的裝置上。 因此… 最好的防禦是備份、備份、備份 ,而 處理加密資料的最佳解決方案 在感染後 是從備份中恢復 。 如果沒有可供復原的備份,您的資料很可能會永遠遺失 。
備份資料 和 磁碟映像 是 使用者應定期執行的最重要的預防任務 之一,但它也是最容易被忽略的領域之一。
備份資料資源:
- 備份計算機的最佳方法是什麼?
- 如何保護您的備份免受勒索軟體侵害
- 如何在 Windows 10 中建立映像備份並還原它
- 如何在 Windows 中建立系統映像備份
- 如何在 Windows 10 中使用檔案記錄進行備份和還原
- 如何備份您的電腦 – 完整指南
- 電腦備份選項
重要的!!! 實施備份策略時, 包括測試以確保其在緊急情況發生之前有效 ; 定期檢查以 驗證備份 是否已正確製作和儲存; 並將 所有備份(離線)隔離 設備, 到不總是連接 到網路或家庭電腦的 因此它們無法存取。 如果沒有,您不僅面臨惡意軟體感染的風險,還會面臨勒索軟體對您的備份以及備份的任何備份進行加密的風險。 除了加密資料之外,許多勒索軟體開發人員現在還 經常搜尋並銷毀備份 或乾脆 刪除備份 。
因此,某些 映像/備份軟體 (即 Macrium Image Guardian 、 Acronis True Image )會自動復原和/或防止目標備份檔案被勒索軟體加密。
勒索軟體如何運作 – 加密過程的階段:
, 涉及加密惡意軟體 (勒索軟體) 感染和加密過程的時間因素可能會有所不同 但是,攻擊通常會隨著時間的推移而進行,從一天到一個月或更長時間,從犯罪分子破壞網路開始。 攻擊者獲得對網路上的一台或多台電腦的存取權後,他們可以在部署勒索軟體攻擊之前從備份設備和伺服器竊取未加密的文件,如 在此 Lawrence Abrams Bleeping Computer 網站所有者 所述。 如果感染是由直接攻擊或使用勒索軟體下載惡意檔案造成的,則同樣的原則適用…在某些時候,惡意軟體將與攻擊者通訊或安裝後門特洛伊木馬,為 犯罪分子 提供存取權限。
簡而言之, 加密惡意軟體 通常由某種混淆器或打包程式打包,以隱藏自身,並 經歷各個階段。 在實際加密資料之前以及大多數受害者意識到它的存在之前
1. 第一階段 攻擊的 發生在犯罪者存取受害者的系統,然後下載並執行惡意檔案時 。
2. 第二階段 涉及惡意軟體 連接到犯罪分子的命令和控制伺服器 (C&C),以發送有關目標電腦的資訊。
3. 在 第三階段 ,勒索軟體 掃描本機磁碟機、連接的可移動媒體 (USB、外部硬碟)和任何 可存取的網路位置 (映射磁碟機、網路共用),搜尋要加密的檔案。
4. 加密階段 首先使用某種形式的 加密演算法 對所有識別的資料(檔案格式)進行加密。 許多加密方案都在 CPU(電腦規格)上進行了優化 ,允許惡意軟體非常快速地加密資料塊 ……在幾 秒鐘 、 幾分鐘 到幾個小時內,具體取決於各種因素,包括資料量和資料檔案的大小以及惡意軟體開發者的意圖。
5. 最後一個階段 通常是以 出現勒索要求,並將勒索信放入每個加密檔案的資料夾中。 螢幕訊息或勒索信的形式
對於最新一代的勒索軟體,也有可能遇到具有 定時炸彈 功能的感染,該功能旨在延遲攻擊的執行。 這涉及 醞釀期 到勒索軟體不會立即按設計加密資料以最大化收入並克服任何備份防禦的 。 在此階段之後,勒索軟體將處於 休眠狀態 ,不會刪除或加密備份檔案。 勒索軟體 可能會休眠一、兩個月或幾個月,然後最終開始加密階段 。 然而,當加密開始時,該過程可以很快開始和完成。
2017 年至 2019 年間, FireEye 研究人員發現, 大多數勒索軟體在初次滲透三天後就會被執行 。 這是一種故意的策略, 允許攻擊者延遲加密 ,以便他們可以利用額外的時間收集受害者的數據,並利用其作為槓桿,在 洩露被盜資訊的威脅 下讓受害者支付贖金。
注意:某些勒索軟體(STOP Djvu、LockFile、BlackCat (ALPHV)、Qyick、Agenda、Black Basta、LockBit 2.0、DarkSide、BlackMatter、Play、Ryuk)僅部分加密檔案( 首先 在開頭和/或結尾處有這麼多KB)特別是如果它非常大)。 這是故意的,以便節省時間並儘快加密資料(在任何人注意到之前),因此它實際上不會讀取/寫入/加密整個資料。 此外,許多 加密演算法 在 CPU(電腦規格)上進行了最佳化,允許惡意軟體非常快速地加密資料塊……在幾秒鐘 、 幾分鐘 到 幾個小時內,具體取決於各種因素,包括資料檔案的數量和大小以及惡意軟體開發者的意圖。 部分(間歇性)加密 通常 會導致檔案損壞 ,並使加密資料變得無用,因為這些檔案的加密通常是不可逆的…加密代碼會用另一部分的加密資料覆蓋檔案的一部分,並且無法恢復被覆蓋的數據。
US-CERT 警報 (TA13-309A) 先前曾建議,許多勒索軟體系列能夠尋找並 加密位於網路磁碟機、共用 (映射網路路徑)、 USB 磁碟機、外部硬碟 (如果已連接)甚至某些 雲端中 的文件儲存磁碟機(如果有磁碟機號) 。 某些勒索軟體會掃描與某些檔案副檔名相符的所有磁碟機號,當找到匹配項時,就會對它們進行加密。 其他勒索軟體將使用不加密的排除資料夾和副檔名白名單。 透過使用白名單,勒索軟體將加密它找到的幾乎所有非系統和非可執行相關文件。
勒索軟體的類型及其傳播方式:
有多種分類和 勒索軟體 類型。 1) 文件加密勒索軟體 ,採用先進的 加密演算法 ,旨在加密資料檔案並要求受害者支付贖金以解密其資料。 2) 擦除 會破壞(覆蓋資料)的勒索軟體…這意味著受影響的 資料不可恢復 …它會被破壞而無法修復。 3) Locker 勒索軟體 ,將受害者鎖定在作業系統之外,使他們無法存取自己的電腦或其內容,包括所有檔案、個人資料、照片等。儘管檔案實際上並未加密,但網路犯罪分子仍然要求贖金解鎖計算機。 主開機記錄勒索軟體 是 Locker 勒索軟體的一種變體,它透過攻擊磁碟上的低級結構來拒絕存取整個系統,從而基本上停止電腦的開機過程並顯示勒索要求。 某些變體實際上會加密硬碟本身的部分內容。
- 多態性勒索軟體
- 清除勒索軟體
- 發布勒索軟體 (Doxware)
- 定時炸彈
勒索軟體 可以負責 雙重 (多重) 加密 ,因為它會加密它可以讀取/寫入的任何目錄或文件,無論之前是否由 磁碟加密軟體 或其他勒索軟體變體加密。 勒索軟體並不關心資料的內容或您的檔案是否已加密 ……如果它有存取權限,它只會 重新加密 (雙重加密) 一次又一次地 它們。 即使 相同的勒索軟體 也可以 使用不同的病毒對資料進行多次加密 ,這通常會導致檔案損壞 。 多起勒索軟體感染的報告可以追溯到很多年前…在 2015 年初至年底期間,TeslaCrypt 的受害者也使用 CryptoWall 進行加密是很常見的。 這意味著如果加密是由不同的勒索軟體系列引起的,則需要處理所有勒索軟體、贖金要求付款和不同的解密器,以便解密資料。 不幸的是,在這種情況下您無能為力,特別是如果任何勒索軟體無法解密 .
減少雙重感染恢復資料的機會是檔案可能會多次加密/損壞,特別是如果受害者嘗試使用另一個受害者的解密金鑰、刪除副檔名或嘗試在惡意軟體仍然存在時先重命名檔案來修復文件積極的。 這通常會導致更多檔案損壞的問題,並使可能的解密變得複雜。 此外,使用 錯誤 或不正確的解密器(用於另一種特定類型的勒索軟體的解密器)可能會導致額外的損壞,甚至進一步損壞加密檔案。
勒索軟體 傳播 透過各種 、 攻擊媒介 …透過 社會工程 (欺騙)和使用者互動、開啟惡意或 垃圾郵件 附件、執行惡意檔案、 漏洞利用 、 漏洞利用工具包 網路 漏洞 、 垃圾郵件 、 惡意廣告活動 、 加密劫持惡意軟體活動 、 無文件惡意軟體 、 非惡意軟體攻擊 、 冒充可移動驅動器上的資料夾 、 偷渡式下載 、 下載軟體破解 、 盜版軟體 、 虛假 Microsoft Teams 更新 、 Windows 和Office 的虛假/非法激活程式 、 針對託管服務提供者 (MSP) RDP 暴力攻擊 ,這是 伺服器的常見攻擊媒介 ,特別是參與勒索軟體開發和傳播的攻擊者,因為如果啟用,它允許來自外部的連接,如這裡 所述 。
引用
在2019 年下半年和2020 年初,黑莓研究和情報團隊觀察到網路犯罪團夥利用先進的策略滲透並最終利用幾個著名的勒索軟體家族(例如:Ryuk、Sodinokbi1 和Zeppelin2)向受害者勒索金錢,這些勒索軟體家族具有明顯的特徵。 從廣泛、不加區別的分發轉向 通常透過受損的託管安全服務提供者 (MSSP) 部署的高度針對性的活動。
引用
如果更多組織開始採用 CL0P 的零日漏洞利用技術,勒索軟體格局可能會從服務導向的攻擊轉向更具攻擊性、以漏洞為中心的模型,這項舉措可能會導致受害者數量激增。
注意: 對於使用 基於 Linux 的NAS (網路附加儲存)裝置的受害者來說,該惡意軟體很可能感染了
基於Windows的機器並 透過網路加密NAS 。 犯罪分子還可以透過 Samba / SMB (伺服器訊息區塊)進行連接,並從其係統運行惡意軟體,以透過互聯網加密文件,這本質上與透過網路映射驅動器加密文件相同。 據了解,攻擊者利用多媒體控制台中的 SQL 注入漏洞以及 HBS 3 混合備份同步中的媒體流附加元件和硬編碼憑證漏洞在易受攻擊的裝置上執行勒索軟體。 破解密碼、 OpenSSH 漏洞 、利用安全漏洞和軟體是常見的 攻擊媒介 。
有關更多詳細信息,請參閱 惡意軟體如何傳播 – 您的系統如何被感染 。
當您發現電腦感染勒索軟體時該怎麼辦:
當您發現您的電腦或網路(如果適用)被勒索軟體感染時,您應該立即將 其關閉,以防止其加密更多檔案 。 關閉電腦應該會停止對感染時連接的其他驅動器進行任何加密,正如 在此 所解釋的那樣。 Lawrence Abrams Bleeping Computer 網站所有者
引用
在偵測到勒索軟體攻擊後,公司應該做的第一步是 關閉其網路 及其上運行的電腦。 這些操作可防止資料繼續加密並拒絕攻擊者存取系統 。 完成此操作後,應聘請第三方網路安全公司對所有內部和麵向公眾的設備的攻擊和審計進行全面調查。 此審核包括分析企業設備是否有持續感染、漏洞、弱密碼以及勒索軟體業者留下的惡意工具。
中斷受感染電腦與 Internet 的連線並不會停止本地加密過程 。
受感染的電腦應 與其他裝置隔離 ,如果可能,您應該 副本或映像 建立整個硬碟的 。 這樣做可以讓您保存系統的完整狀態。 鏡像驅動器會備份與感染相關的所有內容, 包括加密檔案、勒索資訊、關鍵資料檔案(如果適用)和註冊表項,其中包含 可能需要的 將來發現免費解密解決方案時 和 資訊。 加密的檔案 勒索 資訊文字檔案不包含惡意程式碼, 因此它們是安全的。 或者,您可以 卸下硬碟 ,將其存放起來,然後 用新硬碟取代 並全新安裝 Windows。
即使解密工具可用,也不能 保證 它能夠正常工作 (可能是 假的 、有缺陷的或 故障的 ),或者惡意軟體開發人員不會發布新的變體來挫敗安全研究人員的努力,因此請保留解密工具的備份原始加密檔案(或原始受感染硬碟)和相關資訊是一個很好的做法。
重要的!!! 在部署勒索軟體之前發現網路上的攻擊者的視窗變得越來越小 。
.
從受感染的電腦中移除勒索軟體:
大多數加密惡意軟體勒索軟體通常 被編程為自動刪除自身 …導致感染的惡意檔案…在加密完成後,因為不再需要它們,但也有一些例外。 惡意軟體開發人員這樣做通常是為了讓安全研究人員更難找到和分析他們的惡意負載。 這也解釋了為什麼許多安全掃描器在事後沒有發現任何東西。 加密的檔案 不包含惡意程式碼,因此它們是安全的 。 不幸的是,大多數受害者直到勒索軟體顯示勒索資訊並且檔案已加密後才意識到自己已被感染。 在某些情況下,可能沒有勒索訊息,只有在稍後嘗試開啟加密檔案時才會發現。 因此,許多受害者不知道惡意軟體在收到警報之前在系統上存在了多長時間,也不知道 其他惡意軟體 是否與勒索軟體一起下載並安裝,而勒索軟體仍然可能存在於受感染的電腦上。
一些加密惡意軟體(即 STOP/Djvu 勒索軟體 已知 )會留下惡意元件 ,這些元件將對保存的任何新檔案進行加密,並重新加密受害者先前設法解密的任何檔案。 其他勒索軟體(即 Phobos 勒索軟體 ) 非常具有攻擊性,並且不會在單次運行中結束 …… 它們會運行多次以確保重複感染 。 有一些勒索軟體會將受害者的主密鑰儲存在註冊表中,如果刪除,下次電腦重新啟動時,勒索軟體可能會創建新的主密鑰並再次開始加密檔案。 這意味著透過兩個不同的密鑰加密資料。
因此,建議將 受感染的電腦與其他裝置隔離 ,並徹底檢查系統,以確保沒有留下此類惡意元件。 勒索軟體受害者的 IT 人員和高級使用者可以使用 Farbar 復原掃描工具 (FRST) ,這是一種高級專用工具,旨在調查是否存在惡意和可疑檔案。 FRST 日誌提供有關您的系統、註冊表加載點、服務、驅動程式服務、Netsvcs 條目、已知 DLL、驅動器、分區規範的詳細信息,並且還將列出可能被惡意軟體修補的系統檔案。
有一些勒索軟體變體會在 Run 和 RunOnce 註冊表項中 新增一個項目,以便惡意執行檔或勒索畫面始終在電腦每次重新啟動時顯示。 「啟動」標籤下尋找相關條目 在這種情況下,受害者應在Windows 系統設定公用程式 (msconfig) 的 等工具 ,或使用Autoruns 來搜尋並刪除任何惡意條目。
在處理勒索軟體刪除時,最好 隔離 惡意文件 ,而不是刪除 它們,直到您知道或確認您正在處理的感染是什麼。 在某些情況下,需要惡意軟體本身的樣本進行進一步分析,以便正確識別它或調查可能導致創建解密工具的缺陷,以便恢復您的資料。 隔離 只是一項 附加的安全措施 ,它允許人們查看和調查文件,同時防止它們損害您的電腦。 如果在備份之前對某些勒索軟體使用安全掃描消毒工具、系統最佳化和/或清理軟體 ,他們有可能刪除復原資料所需的相關登錄機碼和惡意檔案 。
重要提示: 某些 已知 勒索軟體會在受害者的電腦上安裝竊取密碼的木馬 ,以竊取帳戶憑證、加密貨幣錢包、桌面檔案等。 您必須 更改電腦的所有密碼 ,包括用於銀行、稅務、電子郵件、eBay、PayPal 以及任何需要使用者名稱和密碼的線上活動的密碼。 作為預防措施,您應該 考慮它們已洩露 並從乾淨的電腦(而不是受感染的電腦)更改密碼。
執行額外掃描 如果您的防毒軟體未偵測到並移除任何內容,則應使用其他安全程式(例如Emsisoft Anti-Malware 、 Emsisoft Emergency Kit 、 Malwarebytes 、 Zemana AntiMalware 或 RogueKiller Anti-malware) 。
如果電腦 關閉以防止其加密 更多檔案(如此處所述) , 則您可以使用 Kaspersky RescueDisk 或類似的 LiveCD/Rescue 實用程式 來協助刪除惡意軟體,而無需啟動 Windows。 離線掃描 清除惡意軟體的方法 外部 是一種透過使用在傳統作業系統之外執行的反惡意軟體程式從受感染的 Windows 系統環境 。 離線掃描器通常是獨立的,不需要網路或網路連接,通常會載入到隨身碟或 CD/DVD 上,並設定為在作業系統之前啟動。 離線掃描工具的優點是,可以在惡意軟體未運行並幹擾清理過程時使用它們。
注意: 防毒無助於解密受勒索軟體影響的任何檔案 。
在執行任何操作之前, 如果可能 ,建議 備份 或 建立整個硬碟的副本或映像 。 這樣做可以讓您保存系統的完整狀態。 將磁碟機映像會備份與感染相關的所有內容, 資訊(如果發現解密解決方案)的註冊表項 包括加密檔案、勒索資訊、關鍵資料檔案(如果適用)和包含可能需要的 。 加密 檔案和贖金文字檔案不包含惡意程式碼,因此它們是安全的 。 或者,您可以 卸下硬碟 ,將其存放起來,然後 用新硬碟更換。
當然,您始終可以選擇 重新安裝/刷新/重置 Windows 或執行 全新安裝 / 恢復出廠 設置 ,這將刪除與勒索軟體相關的惡意檔案…它還會刪除您電腦上的所有數據,包括您的加密檔案、勒索資訊、您安裝的任何程式以及電腦上的設置,因此 請先備份您的重要資料 。 重新安裝實際上會將電腦恢復到您首次購買時的狀態,並將其設定為包含供應商提供的任何預先安裝軟體和試用軟體。 但是,有些開機磁區病毒 (bootkit) 可以變更 主開機記錄 (MBR) ,如這裡所述 , 在這些情況下,您也應該重寫 MBR 以確保所有惡意程式碼已被刪除。
如果您使用的是較舊的作業系統,您可能需要 重新格式化硬碟 。
如果您想考慮的話,首先嘗試使用值得信賴的安全掃描工具進行手動清理總是沒有壞處的。 仍然建議 在執行任何操作之前建立整個硬碟的副本或映像。 但是,出於與上述相同的原因,
如果您 僅在刪除惡意軟體感染方面 需要個人協助,則可以使用進階工具來調查和清理您的系統。 中的說明進行操作 請按照惡意軟體刪除和日誌部分準備指南 …所有其他問題或評論應發佈在支援主題中。 完成此操作後,開始一個新主題並 發布您的FRST 日誌 在 病毒、特洛伊木馬、間諜軟體和惡意軟體刪除日誌論壇中 ,以尋求惡意軟體回應團隊的協助。
勒索軟體受害者應該 忽略所有谷歌搜索 ,這些搜索提供了大量 虛假和不可信的勒索軟體 刪除指南的鏈接,包括 Facebook 和 YouTube 視頻 , 其中許多視頻錯誤地聲稱擁有解密解決方案 。 在專家研究人員撰寫有關新勒索軟體或新變種的文章後,很快就會撰寫帶有錯誤訊息的垃圾文章,以恐嚇和刺激絕望的受害者使用或購買大部分虛假的刪除和解密軟體。 受害者通常會被引導下載大量不必要且無用的工具。 在某些情況下,毫無戒心的受害者實際上可能會下載 帶有更多勒索軟體的假解密器, 從而導致雙重加密,從而使情況變得更糟。 此外,在與詐騙者打交道時,您的個人和財務資訊也面臨風險。 搜尋資訊時僅使用可信任來源 。
