恶意勒索软件加密受害者的文件,要求受害者支付比特币赎金才能赎回,在网上这种现象已经成为一种越来越普遍、越来越强的威胁。但是,许多人并不知道勒索软件也可以很容易地夺取存储在云端数据的控制权,那些使用云服务的企业也同样面临着巨大的风险。
什么是勒索软件?
顾名思义,勒索软件会以某人的文件索取赎金。攻击者锁定受害者的设备或网络并要求付款以解锁它。 勒索软件对公司和大型组织尤其具有破坏性,它们通常在无法访问其文档和系统的情况下无法运行。
勒索软件如何运作?
勒索软件可以通过多种方式感染系统。它可能由用户意外安装 - 被走私到另一个恶意软件中,或从网络钓鱼电子邮件中的链接下载- 或者,攻击者可以直接通过网络或设备中的漏洞直接注入它,这种情况更为罕见。一旦系统内,勒索软件将搜索类似照片,文件,或整个数据库的重要文件,并将它们与加密的公钥专门为攻击产生。只有攻击者拥有解密文件所需的私钥。
受害者随后会看到一个锁定屏幕——相当于赎金票据的数字形式——解释了他们的困境,以及如何向攻击者支付赎金以换取解密密钥(基本上是密码)的说明。攻击者几乎总是要求以加密货币付款,这使得执法部门事后很难追查到他们。
勒索软件的类型:加密与锁屏
并非所有勒索软件都使用加密。有些人只是用锁屏来面对受害者,但不费心加密任何文件。通过以“安全模式”(或类似模式)重新启动设备并卸载它,这种类型的恶意软件相对容易删除。
勒索软件移除:如何修复勒索软件
删除勒索软件很棘手。如果您的文件确实使用唯一的公私密钥对加密,则可能无法恢复它们。
但是,您仍然可以采取一些重要步骤来减轻损害:
首先要做的是隔离受感染的设备。恶意软件通常旨在通过网络连接传播到其他设备,勒索软件也不例外。从您的设备中移除所有物理连接的驱动器,禁用所有无线连接(例如蓝牙配对),并断开设备与 Wi-Fi 网络的连接(您也可以通过路由器设置执行此操作)。
如果受感染的设备是贵公司发行的,请立即联系IT部门。事实上,即使对于个人设备也这样做是个好主意,因为它们之间可能仍然存在一些联系。
确定勒索软件的类型。您可能需要专业帮助,但这一步可能会决定您的数据是否可以挽救。使用另一台设备谷歌锁定屏幕上的说明以帮助识别攻击。
删除恶意软件。此步骤将取决于勒索软件的类型和被感染的设备类型。在最好的情况下,您可以在完成文件加密之前删除该程序。然而,在许多情况下,没有什么可做的。勒索软件通常会在加密您的文件后自行删除,以避免留下有罪的证据。
恢复您的文件。同样,这可能无法实现,具体取决于加密。但是,已知某些勒索软件案例使用通用解密密钥,您的案例可能会重新应用该密钥。在识别出勒索软件后,您可以通过搜索勒索软件的名称来找到这些密钥和其他缓解步骤。
以下总结的安全防范措施,将有助于保障你的企业云免受勒索软件攻击威胁:
如果恶意攻击者可以使用你的登录凭证访问你的系统,那你就完蛋了!
1. 安全密码:建立需要复杂密码的策略(至少12个字符,包含大小写字母和数字。)
2. 采用多因素身份验证:如今,拥有强密码是远远不够的,你还需要多层防护。使用多因素身份验证法可以为你的登录凭证提供多一层安全保护。
3. 最小特权原则:最小特权原则是系统安全中最基本的原则之一,它限制了使用者对系统及数据进行存取所需要的最小权限,既保证了用户能够完成所操作的业务,同时也确保非法用户或异常操作所造成的损失最小。
4. 禁用死亡账号:当员工离开组织时,一定要记得禁用其对所有系统的访问权限,并立即禁用他们的访问键。死亡账号会留下许多无法监测的端点,留下祸端。
采取措施保护你的计算层,以确保系统和数据的可用性,同时防止恶意攻击者利用你的计算能力进一步在你的业务系统和互联网上传播恶意软件。
5. 加固操作系统:尽早删除一些不必要的程序,因为它只会扩大你的攻击面。尽可能地保持最新的服务包和更新程序。虽然它不能确保你一定不会受到零日漏洞的攻击,但是可以尽可能地降低这种可能性。
6. 启用安全登录(向个人发送SSH密钥):在不安全的网络上进行操作时,这一步骤将有助于保护你的资产和数据安全。
7. 选择(网络):通过创建一个安全通道或使用可以保护设备和网络之间的连接。你也可以根据自己企业的安全需求为不同的应用环境选择不同的网络模式。
8. 使用jump host:jump host位于不同的安全区域,并提供访问系统中其他服务器或主机的唯一方法。你的其他云资产安全组件应该设置为“仅允许从jump host访问SSH”。这个一个附加的步骤,可以帮助你的系统远离黑客侵扰。
9. 管理程序防火墙规则:管理防火墙最有效的方法在于管理程序层,因为你可以对入口和出口流量设定限制。注意一定要明确的设置限制内容、多少以及谁可以发送、接收和访问入口和出口数据。很多人不愿意制定出口规则,但是由于勒索软件经常会使你的知识产权面临泄漏风险,因此确保具备明确的出口规则非常重要。
10. 只使用可信的图像:从头开始构建你的图像或模版,或者从非常受信任的来源(如AWS或Microsoft)获取图像或模板。不要随便使用您在Stackoverflow或随机留言板以及社区找到的那些图像或模版。
如果说数据是新的能源,那么你需要保护自己的宝贵资源,以确保你的业务在未来几年里依然能顺利开展。如果攻击者访问了你的存储层,那么你的整个数据桶(bucket)或数据块(blob)都存在被删除或暴露的危险。
11. 管理数据访问:身份识别与访问管理(IAM)策略和访问控制列表可以帮助你将权限控制集中到存储层。Bucket 策略允许你通过账户、用户或基于特定条件(如日期、IP地址或是否使用SSL发送的请求)来启用或拒绝权限。
12. 加密,加密,加密,重要的事说三遍:在传输和静态状态下都要对你的数据进行加密。需要注意的是,元数据通常不加密,所以请确保不要将敏感信息存储在你的云存储元数据中。
13. 版本控制/日志记录:日志记录允许你在发现问题时保留、检索和恢复数据。打开日志记录后,如果是安全威胁或应用程序故障导致的数据丢失,你都可以随时从较旧版本数据中将其恢复。此外日志记录还可以提供审计跟踪(系统活动的流水记录)功能,以防有人入侵你的系统。
14. 无删除权限或使用MFA进行删除:你可以在云基础架构中设置相关角色,而不是允许所有用户都能够删除任何数据。在大多数云存储解决方案中,你可以启用相关功能,要求获取包含6位数代码和序列号的MFA令牌,以删除存储在存储层中的任何版本的数据。这就意味着,即使攻击者获得访问权限也无法删除你的数据,除非他们拥有你的MFA密钥。
合作企业
行业和类目
服务响应
垃圾拦截率
网易企业邮箱优秀经销商
连续多年获得网易优秀经销商
23年只专注于企邮行业
一心一意专心致力于企业邮箱
一站式服务
满足企业信息化个性需求
售后保障
一对一邮箱顾问服务
申请
电话
咨询