湛揚部落格

2017-05-19
如何保護自己免於勒索軟體侵害?

在2015年,網路罪犯利用勒索軟體從受害者手中詐取了5000萬美元。到了2016年底,根據FBI的預估,勒索軟體罪犯的獲利已達到10億美元。目前這群罪犯也正不斷的在網路上散布感染,以為害更廣泛的消費者和企業組織。

2017年5月 - 發生了有史以來最大規模的勒索軟體攻擊

5月12日,WannaCry在全球之間大舉肆虐破壞,感染範圍遍及150多個國家、逾25萬台電腦受害。這起有史以來最大規模的勒索軟體攻擊,不僅引起大眾關注,也讓一些知名企業組織傳出災情,包括聯邦快遞、西班牙電信、英國國民保健署、德國鐵路股份公司和LATAM航空等等。

雖然WannaCry的實際威脅終究會消退,但新型態的勒索軟體可能也在之後就接踵而來。

根據CNN報導,網路安全公司Network Box董事總經理Michael Gazeley表示:「日後的防護工作只會越加艱難。」

在此分享一個好消息是,現在想要針對勒索軟體建立強大的防禦機制也還有機會,底下我們將會說明是如何達成的。

眼看著未來,勒索軟體可能還是會利用類似手法來要脅受害者交出贖金,面對這樣令人困擾的威脅,究竟你能採取什麼方式來保護自己呢?

何謂勒索軟體?

相信大家都知道勒索軟體是世界上發展相當快速的網路安全威脅,但到底什麼是勒索軟體?

勒索軟體是一種惡意軟體,在感染設備之後,會封鎖使用者存取設備上的部分或所有資料。屆時想要解鎖,則需要支付贖金以換得解密金鑰。一般常見的勒索軟體主要分為兩大類:視窗封鎖程式(透過彈出快顯窗口來阻擋作業系統或瀏覽器)和加密型勒索軟體,但目前大多都將其統稱為勒索軟體。

來自KasperskyLab的研究報告資料

從上列的圖表中,你可以明確了解到資安產業、FBI等同業單位都一致認為勒索軟體威脅會變得日益普及的趨勢。

在面對勒索軟體攻擊時,能夠越早發揮有效阻擋,其保護效果越理想。所以,了解威脅資訊並搭配使用資料保護解決方案也就變得非常重要,因為不僅能夠讓安全團隊快速回應勒索軟體攻擊,同時也讓對網路使用者造成的作業影響降到最低。這項作法觀念,不但適用於企業用戶,也適用於一般消費者。

為了替用戶解決這個問題,Acronis提供了勒索軟體專屬的保護解決方案,協助企業和消費者抵制勒索軟體威脅,並可與你選擇的惡意軟體防護解決方案搭配使用。

Acronis Active Protection™是應對勒索軟體威脅的理想方案

Acronis Active Protection是適於Windows作業系統的的先進技術,Acronis也計劃將其擴充到Android和其他作業系統。現行絕大多數的勒索軟體攻擊都是針對Windows系統,其原因在於罪犯考量其開發成本和回收成效,所做出能夠實現利益最大化的選擇。

Acronis Active Protection™是一項正在申請專利的創新技術,能夠實現優異的資料保護架構。首先,我們先來了解一下它的運作原理,以及為什麼Acronis Active Protection應該成為你第一優先的勒索軟體防護工具的原因。

勒索軟體的啟發式偵測

Acronis Active Protection的核心是你可能曾在資訊安全產業聽到過的啟發式分析。啟發式分析比傳統的特徵碼方式更進階、更先進。因為一個特徵碼只能偵測到一個樣本,而啟發式可以偵測到屬於同樣家族或系列的檔案樣本(通常在行為模式上相似)。行為啟發式分析基本上是由程序完成一系列動作,然後將其與惡意行為模式進行比較。

 

行為啟發式分析會搭配各種程序的黑白名單。那為什麼需要白名單?因為啟發式能夠根據已識別的模式以及已知的模式,偵測出新的勒索軟體威脅。其必須加以調整結果,以減少實際上非勒索病毒的誤報偵測,這就是Acronis Active Protection需根據白名單和黑名單檢查任何可疑程序的原因。在用戶阻止潛在勒索軟體攻擊的同時,就會被列入黑名單,在之後用戶就不需要重複阻擋同類型的勒索軟體程序。

網路罪犯可能選擇加害檔案的另一種方法是,攻擊 Acronis True Image 程式本身,以破壞其建立的備份檔案。為了防止這種情況發生,Acronis 執行了強大的自我防禦機制,不讓犯罪分子干擾 Acronis 應用程式工作或備份檔案內容。

此外,Acronis Active Protection 還會監控 Windows 系統電腦的主開機記錄。它能阻止使你無法正確啟動電腦的任何非法更改。

Acronis Active Protection是否能夠適用於任何的勒索軟體攻擊?

是的,確實可以。但是,我們主要是因應以下3種勒索軟體活動來進行持續、有效的資料保護。

1.阻止對任何檔案發動的勒索軟體攻擊

一般來說可以利用先前備份的檔案來還原資料,以解決典型的勒索軟體問題。只不過,你可能還是會損失前次備份之後的資料,如果你是使用支援Acronis Active Protection的產品,當發生勒索軟體攻擊時,你就不會再遺失任何資料。

2.當勒索軟體攻擊本地備份檔案時

在此情況下,Acronis Active Protection會主動監控任何本地磁碟,並防止備份檔案被勒索軟體修改。

3.當勒索軟體變動雲端備份時

儲存在Acronis Cloud Storage的雲端備份檔案,是透過端對端加密和僅限於授權存取的Acronis軟體進行檔案修改,以防止惡意編碼的直接修改。

如何應對勒索軟體攻擊

以下列表中說明了勒索軟體的資料破壞技術和應對方法。

勒索軟體攻擊 說明 Acronis Active Protection回應
原地覆蓋 勒索軟體就地開啟並修改資料檔案。 當服務偵測到可疑的副本寫入時,會封鎖惡意程序,並還原任何損壞的檔案。
透過重新命名 勒索軟體建立新檔案、複製原始內容、修改新檔案、刪除原始檔案。 如上所述。
透過新增檔案 勒索軟體建立新檔案、複製原始內容、修改新檔案、刪除原始檔案。 如上所述。
主開機記錄覆蓋 勒索軟體開啟實體磁碟驅動、覆蓋MBR、系統重新啟動、HDD / MFT在重新啟動(偽裝chkdsk)後加密。 驅動程序監視到MBR的WRITE / SCSI操作,並透過RAW FS通知服務,服務會驗證程序並做出處置。
原地覆蓋/或重新命名/或新增檔案以載入已知的程序 勒索軟體載入到已知的程序,並執行惡意行為。 驅動程序向伺服器提供載入嘗試通知,服務指示驅動程序開始觀察程序,而不執行即時複寫。如果發現可疑行為,可以指示用戶從雲端中還原檔案。

為什麼Acronis Active Protection能夠優於防毒軟體和備份軟體?

可以用一個很簡單的概念來讓大家了解:這兩項獨立的產品都無法從勒索軟體攻擊中保存資料的原因,在於其中沒有任何理想的配套措施。任何採用傳統方式的惡意軟體防護解決方案並無法保留還原受影響的資料,是因為沒有惡意軟體防護解決方案會將檔案備份到雲端,同時也沒有能夠偵測惡意軟體的備份解決方案。而Acronis Active Protection能透過Acronis端點代理與Acronis Cloud溝通連接時,原始資料就可以從本地暫存、本地備份或雲端備份中還原,以解決勒索軟體帶來的威脅問題。

網路罪犯深知惡意軟體防護的局限性和架構弱點,並不斷鑽研出能夠規避偵測的運作設計,以讓自己有機會躲過惡意軟體防護的偵測。正如早先所提到的,只仰賴傳統的特徵碼偵測是不夠周全的,但現下許多的免費防毒仍然採用此方式。因此,這就是為什麼所有的資安防護廠商都會一致推崇必須使用備份的原因。另外還有個重點是,一般的雲端備份解決方案可以應付簡單的攻擊 - 僅止於本機電腦上的資料損毀,但是沒有辦法防範鎖定備份解決方案的針對性攻擊。

4/10更新

根據獨立資安研究機構AV Test的測試報告指出:「Acronis True Image 2017進階版是唯一能夠阻擋勒索軟體的備份解決方案。」

Acronis Active Protection能防範日後未來威脅

網路罪犯為何會選擇攻擊備份?因為他們預期能夠從中快速回收利益和金錢。而在www.nomoreransom.org/prevention-advice.html 頁面當中列舉了以下兩項既簡單又重要的預防建議,提醒使用者務必銘記在心:

1.記得持續備份資料

2.不要輕易支付贖金

眼下這群罪犯已紛紛將矛頭指向備份檔案,所幸的是,多半的備份解決方案都具有雲端儲存,讓在發生威脅攻擊時能保有多一道保障。再者如果想要感染雲端備份,就必須取得相關的存取憑證,而目前一般的勒索軟體和惡意軟體攻擊通常不會具有這些功能。

但在不久之後,犯罪者也會去思考到底要怎麼樣才能入侵到雲端,這答案顯而易見的就是透過裝置上的代理程式。從技術層面來看,有許多方法可以在本地代理中注入惡意編碼,進而危及雲端中的備份資料。現下唯一可以阻止日後未來攻擊的備份軟體,也就只有搭載Active Protection功能的Acronis產品能做到。

摘要介紹說明

Acronis Active Protection是新世代的資料保護功能,可提供:

●即時備份和保護Windows平台的勒索軟體攻擊。還原的檔案版本不會存有時間差距,因此你不會喪失任何的作業進度。

●能夠因應新型勒索軟體威脅的防護措施。

●友善易用的操作介面,近乎全自動的運作方式。

無論是現在或未來,Acronis Active Protection都會持續提供更豐富、更優質的資料保護,以防範現今和未來的勒索軟體攻擊。

圖片


上一則   |   回上頁   |   下一則