面对越来越疯狂的勒索软件,你准备好了吗?
前言:本文发布在2015年年末。一年过去了,勒索软件的变种和态势变得更加疯狂。目前国内勒索软件趋势还不算严重,但防范于未然,不论是个人和还是企业都应该对勒索软件提高警惕以免中招好破财还丢失重要资料。
补充内容:
针对企业级用户建议购买NAS服务器将员工产生的数据与资料同步备份至NAS服务器,就目前来看勒索软件还没有能力威胁到NAS系统。
针对个人用户除了做好文件备份(例如Windows的历史文件记录)和云端备份(OneDrive类)外,还要做好物理方面的防御措施(硬盘隔离)。
毕竟对于未加密的硬盘即使备份了或者是备份至OneDrive了也同样会被感染且会被同步至云端导致文件报废。
现在的加密勒索病毒还是很猖狂的,一般有用户中招后病毒会直接向用户限时索要钱财。
软件开发者为了躲避追查甚至要求用户使用虚拟货币比特币(BTCoin)去支付,否则将可能永远无法打开被加密的文件。
从大多数加密勒索病毒的执行过程中看一般都是会向远程CC主机取得加密密钥,再暗中加密受害者电脑上的文件和档案。
这种过程像是先使用AES加密文件,再使用非对称密钥RSA加密来将AES密钥加密,且密钥长度为2048位、如果用户想使用爆破的方式来解密,哪怕是使用超级计算机也得好几年才能解开。
当用户电脑中的重要文件如Word、Excel、PowerPoint、PDF、JPG/PNG文件,近百种常见的文件格式都会被而已加密,加密后病毒就会弹出窗口索要钱财。
一般情况下这些加密勒索病毒只会给用户三天的时间考虑,如果超过三天没有支付就会销毁密钥,让用户再也没有办法解开文件。
同时加密勒索病毒在支付方式上更加隐蔽,为了隐藏身份和提高追踪难度,作者会要求用户使用虚拟货币比特币来支付。
当用户看到加密勒索信息时同时也会发现无法打开任何被加密的文件了,即便是文本文档内容也会被加密,打开会直接显示乱码信息。
而且新的变种加密勒索病毒更是变本加厉将文件扩展名也一起加密,这样用户直接无法分辨被加密的都是些什么文件,而用户担心无法解密文件从而去支付赎金。
加密勒索紧急应变之道
在遭受到加密勒索病毒入侵后真的没有办法破解了吗?答案是确实的,大部分加密勒索病毒都是使用经过2048位RSA和AES加密,想自己通过暴力破解取回文件的可能性几乎为0.
另一方面从安全软件厂商趋势科技的统计资料看出,中小企业为受害对象的比例明显增加,一旦中小企业真的面临加密勒索病毒威胁时应该如何解决呢?
处置原则一:中断网络连接
最近网上很多人都在咨询与查找如果中了加密勒索病毒该怎么办的信息。
安全软件厂商趋势科技与Symantec等专家都是建议先立刻中断网络连接,避免加密勒索病毒感染局域网中的其他机器,这是最简单易做的处理方式。
虽然大多数用户意识到被加密勒索病毒绑架时通常网络灾害已经发生了,但将受害的主机隔离仍然是不可或缺的首要处置原则。
文件无法使用用户心急是一定的,所以你如果是公司负责网络维护的工作人员可以询问一下当事人的情况,例如是否浏览了可疑的电子邮件、网站等。
请记住:沟通需要多一些耐心并安慰当事人,不要一味的指责,因为他们并不是专业的用户。
处置原则二:发现后应立刻关机、强制关机、断电
若是用户能够及时发现自己的文件存在异常、正在被篡改和加密,台湾内网安控厂商达友科技副总经理林皇兴表示这时首要的动作是关机,通过长按开机按钮强制关机或直接断开电源。
之后将该主机的硬盘取出通过外部连接的方式将未加密的文档先保存下来,这样可以最大程度上降低损失。
在这里也要提醒各位的是如果你将硬盘接入另一台设备Copy未被加密的文件时不要点击已经被加密的文件,以免这些文件里包含病毒感染你的设备。