你被勒索软件攻击了。现在怎么办呢?

当他们的数据被窃取并被劫持时,越来越多的公司屈服于网络犯罪的付款要求。除了付出代价,最好的防御是良好的进攻。

贡献的作家,CIO |

BleepingComputer.com

想象一下,醒来的紧急凌晨5点来电:东西占用了您的企业网络和加密的所有数据,并理应得到它的唯一途径都回来了是要付出显著和使用比特币的匿名第三方。虽然这一幕听起来,有点像好莱坞的,它实际上是非常真实的 - 这也正是勒索几个变种正在做全球企业。

两队最近的新闻勒索软件的出现证明它是在数量和重要性越来越大,因为越来越大的组织问题,公共和社会服务的一些重要的,通过爆发受到影响:

  • 英国广播公司报道说,奇诺谷医疗中心和沙漠谷医院,在加利福尼亚州,感染了勒索。用于医疗中心的所有者发言人,总理保健服务,确认是有一些“[医疗中心的]医院系统的显著中断。”
  • 在最近一个备受瞩目的案例中,好莱坞长老会医疗中心(Hollywood Presbyterian Medical Center)在遭遇勒索软件爆发后宣布进入内部紧急状态。最终,这家医院决定支付所需的比特币赎金,为了访问其电脑,他支付了1.7万美元。最初的赎金要求是370万美元的比特币,因此,如果不考虑其他因素,对医院来说,这是一次体面的谈判。
  • 肯塔基州医疗中心,卫理公会医院,最近被一个勒索攻击感染。这一次,勒索软件的应变证实:Locky,Cryptolocker的一个新变种,渗透到医疗中心的网络和蔓延的防御整个内部网络以及其他几个系统,根据CNBC的报道。撰写本文时,这家医院的赎金要求是1600美元,不清楚这家医院是否打算支付这笔赎金。Ars Technica的另一篇报道援引了该医院的律师的话:“我认为这是我们的立场是,我们不会支付,除非我们绝对有。”

[有关:4个理由不以勒索软件攻击最多支付]

这东西是阴险的。勒索软件通常以电子邮件附件的形式出现,据称是发票或货运跟踪文件,或其他看似无害的东西。一旦打开,勒索软件通常会悄无声息地开始加密所有它能加密的文件,而不需要任何用户交互或通知。只有当这种卑鄙的行为完成后,它才会提示用户支付多少赎金、如何支付等等信息。

它曾经是Cryptolocker的第一个版本是不够聪明本地存储到机器上的文件在网络驱动器的数据,仅造成不必要的加密后去。这可能仍然在某些情况下被瘫痪,但对于中到谁保存其大部分数据的网络共享驱动器和SAN或的NAS,大型企业提供这种救济的水平。

可惜不是这样的了,因为病毒变得更成功,更有利可图的作家,现在大多数ransomware变体可以遍历网络驱动器和UNC路径,加密任何他们可以触摸和访问的权限授予用户帐户下执行恶意软件。结果,你可以从最近的新闻报道中看出,勒索软件可以造成严重破坏。

策略应对勒索

还有的勒索问题两种基本的解决方案,一个简单,一个可能会在实施过程中撕裂你的团队。(从技术上讲,主要有三种,但因为有支付赎金,肯定价格会继续增加,因为攻击和侵扰取得更大的成功没有提供毯子豁免其实我并不指望支付赎金作为解决方案。)

与测试和验证恢复沿定期和一致的备份。因为勒索软件攻击的唯一办法不觉得挟持是拥有下一个最好的可行的替代方案 - 不支付的,因为你有还通过一致的,定期的恢复过程测试所有数据的完整和最新备份确保备份实际工作。

然后,以及谨慎的监控(许多技术专家报告成功使用文件监控筛查检测大量的文件变化序列,特别是如果这些文件还没有触及否则一会儿),并确保你有适当的文件和文件夹权限设置,您可以简单地检测迅速爆发,然后恢复任何加密的数据备份。通过这种方式,您不必支付赎金,唯一有潜在不可逆加密风险的数据是从最初感染到的数据

应用白名单。从根本上明确保护免受勒索攻击和侵入的唯一途径 - 或与此有关的任何其他恶意软件的侵扰 - 从连站稳脚跟是实现应用程序白名单。白名单包括为应用的计算校验和其他“数字指纹”您认为允许在你的系统上运行,然后基本上切断一切出来,从根本上禁止执行代码。

听起来不错,对吧?没有利用可以运行如果他们不是已经白名单,因此这种方法不仅保护你从当前的威胁,但它也充当一个预防未来的恶意软件——即使你仍将边缘和端点安全做得很好,有一个已知的好应用程序列表,然后黑洞一切会显著加大安全。

[有关:有了几个选择,越来越多的公司屈服于勒索要求]

是呀,但其中存在困难:如果你把所有你必须通过所有用户以及他们不同的版本和补丁级别的经常使用的应用程序的超集,你很可能会拥有成千上万的方案 - 并使用内置的软件在Windows中的白名单功能,您需要为所有的人创造一个签名。他们中的每一个。有各种可用的自动化解决方案,但他们都有一个成本以及发牌,以及给药时间。

最后,使用白名单还有一个用户接受度因素:您的用户将不能下载任何内容,包括浏览器插件,这是您事先不允许的。这甚至包括最小的程序,比如PuTTY,它用于在internet上使用SSH进行安全shell隧道挖掘,这在您的IT人员中很流行,或者像Notepad+这样的程序,这是一个很好的文本编辑器,许多知识工作者都喜欢下载它来增强快速记笔记。(这两个程序都是单可执行文件,不需要安装,而且在系统之间是可移植的,这意味着它们经常会出现在u盘或USB存储设备上,在同事之间自由共享。)

您和您的IT团队是否正在进行大规模的工作,不仅要建立初始的白名单定义,而且还要不断地维护它们,甚至当新补丁更改数字签名、新员工要求新程序、以及额外的服务上线时也要这样做?这确实是一项艰巨的任务,但我称其为核选项,因为这是最直接的(不容易;但最简单的)方法,几乎消除威胁勒索软件在你的系统。

这个故事,“你被击中勒索。现在怎么办?”最初由出版CIO

加入对网络世界的社有个足球雷竞技app区Facebook的LinkedIn对那些顶级心态的话题发表评论。
相关:

乔纳森·哈塞尔(Jonathan Hassell)是《计算机世界》(Computerworld)的特约撰稿人,在北卡罗来纳州夏洛特经营着一家技术写作和咨询公司82 Ventures

版权©2016Raybet2

IT薪资调查:结果在