勒索软件变得越来越聪明,能够攻击备份以防止数据恢复。这可以通过采取一些简单的步骤来防止。尽管最近的攻击有所减少,但勒索软件仍然对企业构成重大威胁,本月对医疗机构的攻击就证明了这一点。而且它的能力越来越强。勒索软件编写者尤其意识到备份也是一种有效的防御,并且正在修改他们的恶意软件以追踪和消除备份。Malwarebytes恶意软件情报主管AdamKujawa表示,针对备份的勒索软件勒索软件现在会删除它在执行过程中碰巧遇到的任何备份。例如,勒索软件常用的一种策略是删除Windows创建的文件的自动副本。“所以,如果你正在进行系统恢复,就没有办法解决它,”他说。“我们还看到他们开始攻击共享网络驱动器。”带有备份的勒索软件的两个著名示例是SamSam和Ryuk。11月,美国司法部指控两名伊朗人使用SamSam恶意软件向包括医院在内的200多名受害者勒索超过3000万美元。起诉书称,攻击者通过在正常工作时间以外发起攻击并“加密受害者计算机的备份”,将损失最大化。Ryuk击中了几个引人注目的目标,包括洛杉矶时报和云托管提供商DataResolution。根据CheckPoint安全研究人员的说法,Ryuk包含一个可以删除影子卷和备份文件的脚本。“虽然这种特殊的恶意软件并不专门针对备份,但它确实使更简单的备份解决方案(导致数据驻留在文件共享上的解决方案)处于危险之中,”总部位于波士顿的技术公司BrianDowney说,他是Continuum的产品管理高级总监,表示该公司提供文件备份和恢复服务。JuniperNetworks威胁研究主管MounirHahad说,最常见的方法是通过MicrosoftWindows的先前版本功能。它允许用户恢复早期版本的文件。“但大多数勒索软件变体都会删除影子副本,”他补充说,并补充说大多数勒索软件还会攻击映射网络驱动器中的备份。BoozAllenHamilton的首席技术专家DavidLavinder说,勒索软件对备份的攻击是偶然的,而不是有针对性的当勒索软件寻找备份时,通常是偶然的而不是有意的。根据勒索软件的不同,它通常会爬行系统以查找特定文件类型。“如果它遇到备份文件的扩展名,它肯定会加密它,”他说。他说,勒索软件还试图传播以感染尽可能多的其他系统。该蠕虫的功能与WannaCry一样,是他希望在未来看到更多活动的地方。他说:“我们不希望看到任何有意针对备份的目标,但我们确实希望看到更多关注横向移动。”您可以通过采取一些基本的预防措施来保护您的备份和系统免受这些新的勒索软件攻击。用额外的副本和第三方工具补充Windows备份为了防止勒索软件删除或加密本地备份文件,Kujawa建议使用额外的备份或第三方工具或其他不属于Windows默认配置的工具。“如果你这样做,恶意软件就不知道在哪里删除备份,”他说。“如果您的员工感染了某些东西,他们可以将其删除(并从备份中恢复)。”隔离备份受感染的系统与其备份之间的障碍越多,勒索软件就越难进入。一个常见的错误是用户使用与在其他地方使用的备份相同的身份验证方法,首席执行官LandonLewis说位于印第安纳波利斯的网络安全服务公司Pondurance。“如果您的用户帐户受到威胁,攻击者要做的第一件事就是提升他们的权限,”他说。“如果备份系统使用相同的身份验证,他们就可以接管。”使用不同密码的独立身份验证系统会使此步骤更加困难。在多个位置保留多个备份副本刘易斯建议公司为重要文件保留三个不同的副本,使用至少两种不同的备份方法,其中至少一种需要放在不同的位置。他说,基于云的备份提供了一种易于使用的离线备份选项。“块存储在互联网上非常便宜。很难解释为什么有人不使用它作为额外的备份方法。如果你使用不同的身份验证系统会更好。”许多备份供应商还为文件的多个版本提供回滚或相同选项。如果勒索软件攻击并加密文件,备份工具会自动备份加密版本并覆盖完整版本,因此勒索软件根本懒得去获取备份。因此,回滚正在成为公司在决定备份策略之前应该检查的标准功能。“我肯定会将其添加到我的标准中,”刘易斯说。反复测试您的备份许多公司只是在遭受攻击后才发现他们的备份无法使用,或者太麻烦而无法返回。“如果你没有做过某种类型的修复工作,没有记录,也没有人熟悉它,我们会看到很多客户会考虑付费,在某些情况下确实会这样做,因为付费实际上是对攻击者来说操作上更便宜,”刘易斯说。提供备份解决方案的科技公司Kaseya的首席信息官BBobAntia还建议检查备份提供商是否可以检测勒索软件攻击,尤其是作为其产品的一部分的更新、更隐蔽的变体。他说,一些勒索软件被故意放慢速度,或者在加密之前处于休眠状态。“这两种技术意味着很难知道你需要从备份恢复到什么时间点,”他说。“我预计勒索软件将继续寻找更好的方法来隐藏自己,使恢复更加困难。”“我们最近没有看到像WannaCry和Petya这样的全球性大规模攻击,”Antia说。但当它真的发生时,它可能会造成极大的破坏,他说。“我们已经看到个别组织因最近的攻击而损失了数百万美元。”
