当被勒索软件攻击时,问安全专家该怎么办。勒索软件是一种复杂的恶意软件,它会感染一个设备或网络,使用军用级别的加密来限制访问,并要求支付解密密钥。你通常会得到相同的答案:“永远不要支付赎金。”
但对很多人来说,这根本不是一个选择。例如,去年11月,田纳西州迪金森县治安部门的一名员工。他不小心点击了一个恶意广告,办公室网络就暴露在臭名昭著的CryptoWall勒索软件之下。侦探杰夫McCliss他告诉当地新闻频道5该公司已经加密了“你在调查中可能发现的每一种文件”,比如证人证词和证据照片。即使在与联邦调查局和美国军方协商后,麦克里斯告诉新闻电台,唯一的解决办法是向网络罪犯支付500美元,以取回他们的文件。
这并不是一个孤立的案件,例如,芝加哥郊区的一个警察局最近在遭遇类似的袭击后支付了600美元的赎金,据报道《芝加哥论坛报》。尽管从20世纪80年代末开始,勒索软件已经出现了一些(不太成功的)形式,但现代勒索软件的设计本质上是不可破解的。只有恶意软件的作者拥有私人解密密钥,这意味着对抗这种威胁的唯一方法就是提前做好准备。没有为勒索软件攻击做好充分准备的企业真的没有动机不支付。事实上,许多认为已经做好准备的人发现他们别无选择,只能与劫持人质的人谈判。
使用实时备份和经常测试工具的组织通常能在勒索软件攻击中毫发无伤地生存下来——他们可以简单地擦除感染的设备并恢复备份的文件。
对于许多组织来说,这几乎不是现实,特别是对于没有IT资源的中型公司,或者甚至是IT人员分散的大型组织。安全培训公司KnowBe4的首席执行官斯图•斯尤沃曼(Stu Sjouwerman)说,即使是为这种情况做过准备的组织也经常发现他们的文件恢复功能无法正常工作。这家公司曾为勒索软件的受害者提供咨询和帮助。许多投资于文件备份解决方案的组织无法测试它们的恢复功能。当他们需要它工作时,他们发现他们不能恢复他们备份的所有文件,使备份努力无效。
“他们总是忽略了(对恢复功能的测试),”Sjouerwman说。“这是一种最好的做法,但是,正如你所知道的,它承受着很大的压力。他们被迫一整天都在灭火,与此同时也在启动新的系统。所以,在日常的it环境中,很难找到时间做这类事情。”
因此,支付的决定基本上取决于加密的数据的价值是否高于赎金要求。
Sjouwerman说,在大多数情况下,支付赎金对该组织来说是“无需思考的事情”。这是因为勒索软件在很大程度上是自动化的,为所有受害者提供解密密钥需要大约500美元。警察局证据的赎金可能和个人电脑用户照片的赎金一样。
“勒索软件是网络犯罪的沃尔玛。他们只是决定将整个过程自动化。“他们正在大规模地对尽可能多的电子邮件地址和公司进行网络钓鱼。对他们来说,他们已经明白了商业模式是:有些人会有备份,有些人不会。对于那些没有这样做的人来说,这必须是显而易见的。”
这些攻击背后的网络罪犯关心的是最大化他们的受害者支付赎金的可能性。理论上,他们可以增加对加密了更有价值数据的案件的赔偿。但关键是要确保他们支付,而将价格保持在合理的范围内将增加更多受害者支付的机会。
荣誉在小偷
按照这种思路,勒索软件背后的许多人都专注于在互联网上建立一个值得信赖的声誉,支付所有赎金,并在交易完成后不让受害者受到影响。去年12月,Sjouwerman告诉CSO一种名为OphionLocker的勒索软件它的设计目的是识别过去感染过的设备,这样就不会反复攻击相同的受害者。根据他与勒索软件受害者打交道的经验,Sjouwerman表示,每一个支付了所需赎金的受害者都收到了他们的解密密钥,大多数人在支付赎金后的一个小时内就收到了解密密钥。
这样做的目的是为了让勒索软件的受害者尽可能容易地做出决定——如果他们支付了赎金,他们就可以访问自己的文件,从而可以把整个苦难抛在身后。Sjouwerman说:“如果他们没有做好准备而遭到袭击,他们中的大多数人将会付出代价。”
因此,勒索软件自2013年9月将这种模式带到互联网上的如今已不存在的勒索软件变种CryptoLocker发布以来发展如此迅速,也就不足为奇了。赛门铁克九月份估计(PDF) 2014年,这种类似cryptolocker的勒索软件增长了700%。McAfee最近报道(PDF) 2014年第四季度勒索软件增长155%。
资讯科技安全团体可能建议不要把支付赎金作为一种手段,以消除网络罪犯从事这类骗局的动机。但这通常是IT决策者的最后一件事,他们只想取回他们的文件并回去工作。对于一个面临损失数周或数月数据的组织来说,他们可以将损失作为一种学习经验冲销。
“这是开玩笑,比别的更讽刺,但是你几乎要感谢东欧网络黑手党送你一个社会工程审计,测试你的员工和你的IT部门click-happy,同时如果最佳实践实施或完成,“Sjouwerman说。“这是一次非常便宜的审计,只要500美元。”