七夕云黑帽博客-专注互联网络安全-webshell七夕,七夕黑帽博客,QQ905690245

反击勒索软件的11种有效方法

2018-4-14 23:25 作者:Mr.刘 | 网络安全 | 标签: 反击勒索软件的11种有效方法

成为勒索软件的受害者可能会使您的重要业务或个人数据永久丢失。这些步骤可以帮助增强防御能力。



勒索软件仍然是Internet上最大的威胁之一。单击错误的链接可能足以引发一系列事件,这些事件以骗子对您的所有数据进行加密来结束,骗子只会将其解锁以换取巨额赎金-通常以比特币或另一种难以追踪的加密货币进行。

犯罪勒索软件团伙资金充裕(感谢所有这些比特币勒索),并采用了越来越复杂的策略。只有低级骗子才对一台PC加密感兴趣:大帮派寻找进入企业网络的后门,然后进行探索,直到他们准备通过在一个设备中加密尽可能多的设备来造成最大的混乱(和巨额的报酬)。

不仅仅是犯罪团伙注意到了勒索软件的威力:国家支持的黑客组织还使用勒索软件为其支持者制造混乱和获利。

我们正在看到的是骗子之间的军备竞赛,他们在寻找新的方式来攻陷系统和企业,以试图填补防御中的所有空白。

这种级别的威胁意味着无法绝对保护自己或您的企业免受勒索软件或其他任何恶意软件的侵害。但是您可以采取许多步骤来最大程度地减少攻击面。



11.确保您的反病毒软件是最新的

这似乎很明显,但偶尔会被较小的组织所忽略。现在,许多防病毒软件包都提供了勒索软件发现功能或附加组件,这些组件或附件试图发现所有勒索软件常见的可疑行为:文件加密。这些应用程序监视您的文件是否存在意外行为-就像一个奇怪的新软件试图对其全部加密-并试图防止这种情况。一些安全软件包甚至会复制受勒索软件威胁的文件。



10.了解整个网络正在发生的事情

从入侵防御和检测系统到安全信息和事件管理 (SIEM)软件包,有一系列相关的安全工具,它们可以使您洞悉网络流量。这些产品可以为您提供网络的最新视图,并且可以帮助您发现可能表明您已被黑客入侵的流量异常,无论它们是意图用勒索软件感染您的系统还是有其他目的还有其他想法。如果您看不到网络上正在发生的事情,则无法阻止攻击。



9.扫描和过滤电子邮件,然后再联系您的用户

阻止员工单击电子邮件中的勒索软件链接的最简单方法是使电子邮件永远不会进入其收件箱。这意味着要使用内容扫描和电子邮件过滤,这应该在许多网络钓鱼和勒索软件诈骗实际到达员工之前加以处理。



8.制定计划以应对RANSOMWARE攻击并进行测试

涵盖所有类型的技术灾难的恢复计划应该是业务计划的标准部分,并且应该包括勒索软件响应。这不仅是技术响应(清理PC并从备份中重新安装数据),而且还可能需要更广泛的业务响应。需要考虑的事情包括如何向客户,供应商和媒体说明情况。考虑是否需要通知监管机构,或者您应该致电警察或保险公司。仅凭文档还不够:您还需要测试所做的假设,因为其中一些假设是错误的。



7.付赎金之前,请考虑很长很长时间

勒索软件的骗子已经通过您的防御手段找到了解决之道,现在企业中的每台PC均已加密。您可以从备份中恢复,但是要花几天时间,犯罪分子只需要几千美元。有时间付款吗?

对于某些人来说,这可能是显而易见的结论。如果攻击者只希望获得相对较小的金额,那么在短期内,将业务付清可能是有意义的,因为这意味着企业可以快速恢复运营。但是,有些原因可能导致您不愿付款。

首先,无法保证犯罪分子在您付款时会交出加密密钥-毕竟他们是骗子。如果您的组织愿意付费,则可能会鼓励同一组或其他组织发起更多的攻击。还需要考虑更广泛的影响。从您自己的资金或通过网络保险支付赎金是为了奖励这些帮派的行为。这将意味着他们的资金更加充裕,并且能够针对您或其他组织开展更复杂的活动。它可能会在短期内为您节省一些痛苦,但是支付赎金只会助长勒索软件的流行。



6.了解您最重要的数据是什么,并建立有效的备份策略

拥有所有关键业务信息的安全且最新的备份是至关重要的防御措施,尤其是针对勒索软件。如果勒索软件确实危害了某些设备,则拥有最新备份意味着您可以还原该数据并快速重新运行。但是了解关键业务数据实际存放在何处至关重要。CFO的重要数据是否存在于台式机电子表格中,是否没有按照您的想法备份到云中?如果您备份了错误的内容,或者备份的频率太低而无用,那么备份就没有好处了。



5.了解您的网络连接

PC和服务器可能是您数据的存放地,但它们并不是您唯一需要担心的设备。得益于办公室wi-fi,物联网以及在家办公,现在有各种各样的设备连接到公司网络,其中许多设备将缺乏您期望从公司设备获得的内置安全性。设备越多,向黑客提供后门进入您的网络,然后利用这种访问权限将系统转移到较安全的打印机或智能自动售货机更有利的目标的风险就越大。另外,请考虑还有谁可以访问您的系统:您的供应商是否意识到勒索软件和其他恶意软件的潜在风险?



4.限制访问整个网络

勒索软件团伙越来越多地寻找最大的报酬。在一台PC上对数据进行加密不会使它们变得更丰富,因此它们很可能会获得网络访问权限,然后进行广泛探索,以便尽可能多地传播其恶意软件,然后再触发并加密所有内容。通过分段网络以及限制和保护具有广泛访问权限的管理员帐户的数量,使此操作变得更加困难。网络钓鱼攻击以开发人员为目标而闻名,仅因为它们具有跨多个系统的广泛访问权限。



3.培训人员以识别可疑邮件

勒索软件进入您组织的经典途径之一是通过电子邮件。这是因为将恶意软件散布到成千上万个电子邮件地址是勒索软件帮派尝试传播恶意软件的一种廉价且简便的方法。尽管这些策略具有基本性质,但它仍然令人沮丧。

培训人员识别可疑电子邮件可以帮助防止勒索软件和其他由电子邮件引起的网络钓鱼等风险。基本规则:请勿打开您不认识的发件人的电子邮件。如果您不确定电子邮件的链接是否合法,也不要单击该链接。尽可能避免使用附件,并提防要求您启用宏的附件,因为这是感染恶意软件的经典途径。考虑使用两因素身份验证作为附加安全层。



2.更改所有访问点的默认密码

单击电子邮件中的错误链接可能是感染恶意软件的最广为人知的方法,但绝非唯一的方法。根据F-Secure的研究,近三分之一的勒索软件是通过蛮力和远程桌面协议(RDP)攻击分发的。蛮力攻击 是黑客尝试通过尝试使用尽可能多的密码来访问服务器和其他设备的方法,通常是借助僵尸程序,以期达到头奖。

由于许多公司无法更改默认密码或使用容易猜测的组合,因此暴力攻击通常是有效的。RDP允许对PC进行远程控制,这是另一种常见的勒索软件攻击途径。您需要采取一些措施来降低通过RDP进行攻击的风险,从确保使用强密码,更改RDP端口,到仅将其限制为真正需要它的设备,等等。



1.申请软件补丁以保持系统最新状态

修补软件缺陷是一项痛苦,耗时且乏味的工作。这对您的安全也至关重要。恶意软件帮派将利用任何软件漏洞,并尝试在企业没有时间测试和部署补丁程序之前将其用作进入网络的一种方式。如果您没有足够快速地打补丁,将会发生的经典示例是WannaCry。这种勒索软件在2017年夏季造成混乱,包括严重破坏了英国的NHS。潜在的Windows Server消息块协议漏洞利用补丁已允许WannaCry传播到目前为止,该漏洞实际上已在勒索软件遭到攻击前几个月发布。但是,没有足够的组织将修复程序应用于其基础结构,并且感染了30万多台PC。这是许多组织仍在学习的教训:根据安全公司Tripwire的调查,三分之一的IT专业人员承认其组织由于未修补的漏洞而受到破坏 。



额外提示:不要插入随便的USB存储器...


  • blogger
分享本文至:

文章作者:Mr.刘 作者QQ:905690245
文章地址:http://www.blog.qixiwangluo.com/?post=42
版权所有 © 转载时必须以链接形式注明作者和原始出处!

发表评论:



如有侵犯您的版权请发送QQ邮件至905690245@qq.com

CopyRight 2018-2099 七夕云黑帽博客-专注互联网络安全.All rights reserved.

技术支持:攀枝花市七夕云网络