当被勒索软件攻击时,问安全专家该怎么办。勒索软件是一种复杂的恶意软件,它会感染一个设备或网络,使用军用级别的加密来限制访问,并要求支付解密密钥。你通常会得到相同的答案:“永远不要支付赎金。”
但对很多人来说,这根本不是一个选择。例如,去年11月,田纳西州迪金森县治安部门的一名员工。他不小心点击了一个恶意广告,办公室网络就暴露在臭名昭著的CryptoWall勒索软件之下。侦探杰夫McCliss他告诉当地新闻频道5该公司已经加密了“你在调查中可能发现的每一种文件”,比如证人证词和证据照片。即使在与联邦调查局和美国军方协商后,麦克里斯告诉新闻电台,唯一的解决办法是向网络罪犯支付500美元,以取回他们的文件。
这并不是一个孤立的案件,例如,芝加哥郊区的一个警察局最近在遭遇类似的袭击后支付了600美元的赎金,据报道《芝加哥论坛报》。尽管从20世纪80年代末开始,勒索软件已经出现了一些(不太成功的)形式,但现代勒索软件的设计本质上是不可破解的。只有恶意软件的作者拥有私人解密密钥,这意味着对抗这种威胁的唯一方法就是提前做好准备。没有为勒索软件攻击做好充分准备的企业真的没有动机不支付。事实上,许多认为已经做好准备的人发现他们别无选择,只能与劫持人质的人谈判。
组织雇用实时备份和经常测试他们的工具通常生存勒索攻击毫发无损 - 他们可以简单地擦拭受感染的设备并恢复备份文件。
对于许多组织来说,这几乎不是现实,特别是对于没有IT资源的中型公司,或者甚至是IT人员分散的大型组织。安全培训公司KnowBe4的首席执行官斯图•斯尤沃曼(Stu Sjouwerman)说,即使是为这种情况做过准备的组织也经常发现他们的文件恢复功能无法正常工作。这家公司曾为勒索软件的受害者提供咨询和帮助。许多投资于文件备份解决方案的组织无法测试它们的恢复功能。当他们需要它工作时,他们发现他们不能恢复他们备份的所有文件,使备份努力无效。
“他们总是忽略了(对恢复功能的测试),”Sjouerwman说。“这是一种最好的做法,但是,正如你所知道的,它承受着很大的压力。他们被迫一整天都在灭火,与此同时也在启动新的系统。所以,在日常的it环境中,很难找到时间做这类事情。”
因此,支付的决定基本上取决于加密的数据的价值是否高于赎金要求。
在大多数情况下,支付赎金是一个“没脑子”的组织,Sjouwerman说。这是因为勒索是高度自动化的,要求约$ 500,以换取对所有受害者的解密密钥。对于公安部门的证据赎金可能是个人电脑用户的照片一样。
“勒索是网络犯罪的沃尔玛。他们只是决定自动化的全过程,” Sjouwerman说。“他们都在大规模网络钓鱼尽可能多的电子邮件地址和公司,因为他们可能可以对他们来说,他们已经想通了,商业模式是:。有些人会有备份,不会再有人不的人当中,它必须是一个没有脑子。”
这些攻击背后的网络罪犯关注的是最大限度地发挥他们的受害者支付赎金的可能性。从理论上讲,他们可以增加,他们已经加密的更有价值的数据的情况下支付。但关键是要确保他们付出了起来,并保持在合理的范围内,价格会增加成功的机会,更多的受害者将支付。
荣誉在小偷
沿着这些线路,很多背后的勒索人都致力于打造互联网上的誉守信,尊重所有的赎金,并放任受害人一旦交流已经取得进展。去年十二月,Sjouwerman告诉CSO约一种名为OphionLocker的勒索软件这是旨在表彰其在过去感染,使其不重复打相同的受害者的设备。而在他的经验,勒索受害人的工作,Sjouwerman说每一个已经支付了赎金要求受害人量没有发送支付的一个小时内收到他们的解密密钥,其中的大多数。
这样做的目的是为了让勒索软件的受害者尽可能容易地做出决定——如果他们支付了赎金,他们就可以访问自己的文件,从而可以把整个苦难抛在身后。Sjouwerman说:“如果他们没有做好准备而遭到袭击,他们中的大多数人将会付出代价。”
因此,这不是一个惊喜的是勒索软件已经发展得如此之快,因为CryptoLocker,现在已经不存在勒索株把这个模型到互联网,发布于2013年九月赛门铁克九月估计(PDF),其CryptoLocker风格的勒索软件在2014年迈克菲同比增长700%,最近报道(PDF) 2014年第四季度勒索软件增长155%。
IT安全社区可能会建议不要支付赎金去掉了激励犯罪分子从事这种骗局的手段。但是,这通常是在谁只想得到他们的文件备份和恢复工作的IT决策者心目中的最后一件事。对于那些面临失去周或数月的价值数据的组织,他们可以核销费用作为一个学习的经验。
“这是开玩笑,比别的更讽刺,但是你几乎要感谢东欧网络黑手党送你一个社会工程审计,测试你的员工和你的IT部门click-happy,同时如果最佳实践实施或完成,“Sjouwerman说。“这是一次非常便宜的审计,只要500美元。”