什麼是勒索軟件?預防和數據恢復

雖然可能有 超過 10 億個惡意程序(惡意軟件)在互聯網上徘徊,伺機感染受害者,但有一類特殊的惡意軟件多年來一直在造成經濟損失和安全問題:勒索軟件。它的唯一目的就是阻止計算機系統或文件的訪問,直到受害者支付贖金。這些贖金要求波動很大,從相當於幾百美元到幾十萬美元不等。

 

什麼是勒索軟件?

勒索軟件是一類惡意軟件,旨在阻止計算機系統的訪問,直到受害者支付一筆贖金。通常要求使用比特幣或 Monero 等加密貨幣支付。受害者會被告知購買這些數字資產,然後將其轉給攻擊者。在過去的十年中,勒索軟件不斷髮展,以更多的受害者為目標,為網絡犯罪分子帶來鉅額利潤,並且除非受害者支付贖金或從備份中恢復數據,否則幾乎不可能恢復數據。

Ransomware

加密被認為是確保網絡隱私的有力工具,它讓每個人都能在不必擔心他人竊聽的情況下進行交流,但勒索軟件開發者卻利用它來確保受影響的文件無法使用。有些加密機制使數據無法恢復,除非攻擊者同意向受害者發送解密密鑰,並在支付贖金後解鎖受影響系統的訪問權限。想象一下,有人闖入你家,發現了你的珠寶,並將其鎖在家中一個堅不可摧的箱子裏,然後在放了一張贖金字條後拿着鑰匙離開。如果你聯繫小偷並支付贖金,他就會給你鑰匙打開箱子,拿到你的珠寶。否則,祝你好運能打開箱子。你知道所有貴重物品都在那裏,但你根本無法使用它們。勒索軟件的行為方式與此類似,只不過它的目標是你的文件和數據。

目前有三種不同類型的勒索軟件

 

1. 屏幕鎖定器

所有勒索軟件中 "最温和 "的是屏幕鎖定器:它們只是通過阻止用户訪問桌面或智能手機的主屏幕來阻止用户訪問其設備。屏幕鎖定器雖然令人討厭,但只要你有足夠的技術經驗,就可以繞過屏幕鎖定器,而無需向攻擊者付費。

 

2. 加密勒索軟件

早期的勒索軟件惡性程度較低,主要是通過使用屏幕鎖阻止用户訪問設備(不加密數據),因此被證明無法有效賺錢,但後來的版本開始使用加密技術,即加密勒索軟件。加密勒索軟件非常有效,因為它會加密特定的本地存儲信息,有時還會加密雲備份,並提供解密服務,以換取從 300 美元到900. 美元不等的費用,因為加密勒索軟件使用的技術與保護我們的在線對話、銀行交易和軍事通信的技術相同,所以不支付贖金就無法找回加密文件。加密勒索軟件家族每年向受害者勒索超過 10 億美元。一些加密勒索軟件家族(如 GandCrab)甚至在不到兩年的活動時間裏就獲得了相當於 20 多億美元的贖金。

其他勒索軟件家族 已經開始採用勒索 作為另一種恐嚇手段,以嚇唬受害者支付贖金。例如,在攻擊者真正加密敏感數據之前,他們會從受害者那裏竊取數據,並威脅説如果不滿足贖金要求,他們就會在網上曝光這些數據,以此作為公眾羞辱活動的一部分。

 

3. 磁盤加密器

最後,最具破壞性的勒索軟件被稱為 磁盤加密程序。與文件加密程序不同,磁盤加密程序會阻止用户啓動整個操作系統,因為勒索軟件會將整個磁盤驅動器作為 "人質"。

 

勒索軟件如何傳播?

電子郵件是勒索軟件最常用的傳播機制之一。無論是誘騙受害者點擊鏈接並下載受勒索軟件感染的文件,還是附加偽裝成簡歷、發票和其他類型文件的污點文檔,垃圾郵件都是大量勒索軟件感染的來源。如果用户打開郵件並點擊附件,加密過程就會開始。當所有信息都被加密後,用户會在桌面上直接看到一條警告信息,以及如何支付贖金和獲取解密密鑰的説明。

攻擊者使用的另一種技術是在高流量網站上購買廣告,然後利用這些網站利用瀏覽器或插件中未打補丁的漏洞。當這種漏洞被利用時,瀏覽器或插件就會崩潰,勒索軟件的有效載荷就會自動安裝。許多用户越來越不願意打開附件或點擊電子郵件鏈接,因此這種方法依靠未修補的漏洞消除了任何用户互動或社交工程成分。

最後但並非最不重要的一點是,網絡犯罪分子會將勒索軟件潛入在洪流或 "warez "網站上供下載的非法盜版內容中。毫無戒心的受害者會下載偽裝成破解程序、密鑰生成器和其他類型軟件的勒索軟件到自己的系統中,執行這些程序並安裝勒索軟件。

 

如何保護電腦免受勒索軟件攻擊

對於網絡犯罪分子來説,勒索軟件是一項利潤豐厚的生意,他們不斷投資於新的方法來感染受害者,讓安全解決方案難以抵擋。 防範勒索軟件攻擊的最佳方法是首先不被感染。通過一些最佳實踐,可以限制勒索軟件的感染,有時甚至可以防止感染:

 

1. 使用更新的安全解決方案

使用具有反漏洞、反惡意軟件和反垃圾郵件模塊的反惡意軟件解決方案,該解決方案應不斷更新並能夠執行主動掃描。確保不要覆蓋安全解決方案的最佳設置,並確保每天更新。

 

2. 安排文件備份

建議定期在雲端或本地備份重要文件和文檔。將這些備份保存在不直接連接到計算機或在網絡上無法發現的存儲設備上也是必要的,因為勒索軟件感染通常會尋找已連接的存儲設備並對其進行加密。這樣做,即使您受到感染並丟失了本地存儲的文件,您也可以隨時從備份中恢復,而無需支付贖金。

 

3. 保持 Windows最新

保持 Windows 操作系統和易受攻擊的軟件(尤其是瀏覽器和瀏覽器插件)處於最新狀態 ,並打上最新的安全補丁。漏洞利用工具包會利用這些組件中的漏洞自動安裝惡意軟件。

 

4. 保持啓用 UAC

UAC(用户賬户控制)會在對電腦進行需要管理員級別權限的更改時通知您。保持啓用 UAC,以 減少或阻止惡意軟件的影響。

 

5. 遵守安全上網規範

遵守安全上網規範,不訪問可疑網站,不點擊鏈接或打開來源不明的電子郵件附件。避免從陌生網站下載應用程序,只安裝可信來源的軟件。不要在公共聊天室或論壇上提供個人身份信息 

 

6. 啓用廣告攔截器

啓用廣告攔截和隱私擴展(如 Adblock Plus),以減少惡意廣告。通過調整網頁瀏覽器的安全設置來加強在線保護。另外,您也可以考慮使用阻止 JavaScript 的瀏覽器擴展(如 NoScript)。

 

7. 使用反垃圾郵件過濾器

實施並使用反垃圾郵件過濾器,以減少到達您收件箱的受感染垃圾郵件 的數量。

 

8. 禁用 Flash

在可能的情況下, 虛擬化或完全禁用 Adobe Flash,因為它曾多次被用作感染載體。

 

9. 啓用軟件限制策略

如果您的計算機運行的是 Windows Professional 或 Windows Server 版本,或者您是公司 IT 團隊的決策者,請啓用軟件限制策略。系統管理員可以在註冊表中強制執行組策略對象,阻止來自特定位置的可執行文件。

這隻有在運行 Windows 專業版或 Windows 服務器版時才能實現。軟件限制策略 "選項可在 "本地安全策略 "編輯器中找到。單擊 "附加規則 "下的 "新軟件限制策略 "按鈕後,應在 "禁止 "安全級別下使用以下路徑規則:

"%username%AppdataRoaming*.exe"
"%appdata%MicrosoftWindowsStart MenuProgramsStartup.*exe"
C:*.exe
"%temp%*.exe"
"%userprofile%Start MenuProgramsStartup*.exe"
"%userprofile%*.exe"
"%username%Appdata*.exe"
"%username%AppdataLocal*.exe"
"%username%Application Data*.exe"
"%username%Application DataMicrosoft*.exe"
"%username%Local SettingsApplicationData*.exe"

A Local Security Policy can prevent ransomware

 

如果勒索軟件加密了您的文件,該怎麼辦?

通常,在加密勒索軟件的情況下,本地文件會使用隨機生成的密鑰對進行加密,該密鑰對與受感染的計算機相關。公鑰複製在受感染的計算機上,而私鑰只能在規定時間內付費才能獲得。如果不支付贖金,私鑰就會被威脅刪除,從而無法解密恢復被鎖定的文件。

當局建議不要屈服於贖金要求。支付贖金並不能保證你能拿回文件,只會助長新的、更復雜的勒索軟件家族的發展,幫助資助其他網絡犯罪活動,並最終使勒索軟件業務合法化,讓黑客有利可圖。抵禦勒索軟件攻擊很難,但並非不可能。多年來,執法部門和安全公司一直在共同努力幫助受害者恢復文件  。

恢復勒索軟件加密數據的提示:

  1. 如果在勒索軟件攻擊時啓用了 Bitdefender 的勒索軟件修復模塊,您的文件將自動恢復。
  2. 也可以通過從外部或雲備份恢復原始文件來恢復被勒索軟件加密的文件。
  3. 在執法部門或安全廠商已經找到為特定勒索軟件家族解密文件的方法的情況下, nomoreransom.org 網站等舉措可以幫助勒索軟件受害者恢復數據。
  4. 聯邦調查局向勒索軟件受害者提出以下建議:

請記住重要的是經常備份您的數據,留意不請自來的電子郵件,不斷更新您的所有軟件和操作系統,安裝具有多層防護勒索軟件功能的安全解決方案,以及不屈服於勒索。