為什麼勒索病毒一再得逞?其策略和作法不僅僅是加密

研究顯示有公司在考慮要儲存比特幣(Bitcoin,以防遭到勒索病毒攻擊時能夠在短時間內回復重要檔案,這是個好方法嗎?

各行各業的大小企業要如何去準備對抗勒索病毒 Ransomware (勒索病毒/綁架病毒)攻擊?有一份最新的研究顯示有公司在考慮要儲存比特幣(Bitcoin),以防真的遇到攻擊時能夠在短時間內回復重要檔案。雖然趨勢科技並不建議屈從於支付贖金,因為這無法保證能夠讓檔案救回,而且之後還可能容易被當成勒索病毒的攻擊目標,但我們也不能怪這些大型機構和企業會如此做。勒索病毒攻擊可能會中斷業務運作和生產力,並且會造成公司的信譽損害,這一切都是付款取得解密工具之外的損失。

 

勒索病毒威脅手法
勒索病毒威脅手法

為什麼勒索病毒仍然繼續?

為了避免成為勒索病毒的受害者,最好是能夠了解它如何運作以及它為什麼會成功。當然,社交工程誘餌和商業等級加密是讓勒索病毒攻擊成功的重大因素,但是除此之外,最近幾波的勒索病毒還採用了其他惡意軟體行為,雖然技術尚不完全成熟,但結合在一起時還是造成了更大的破壞,讓IT人員更加頭痛,也得花費更多時間和精力來解決問題。

試想一下,某公司接到消息稱他們的檔案連同最核心的資料都已經被加密,必須支付贖金才能夠取回,IT人員作了該做的事情,將網路切割並且將受感染系統從網路隔離,他接著試圖清理受感染電腦和回復檔案,但他遇到了一些挑戰。

舉例來說,勒索病毒家族常見的作法是會刪除陰影複製(Shadow Copy),這可以透過下列指令做到:

 

vssadmin.exe Delete Shadows/All/Quiet

WMIC.exe shadowcopy delete/nointeractive

 

透過刪除陰影複製(Shadow Copy),它會移除檔案備份,讓你無法回復檔案,請注意,Windows 7和8作業系統加入了刪除陰影複製(Shadow Copy)功能;然而這在Windows 8使用者介面中看不到。CRYPWALLLockyCERBERCRYPTESLA等變種會使用這種技術。

其他行為可以大致分類為:修改啟動程序、散播以及防偵測機制:

修改啟動程序

覆寫或抹除開機磁區(MBR)可能會導致系統無法啟動,這種功能會增加使用者進入安全模式來回復系統的難度,PETYA是具備此功能的一種勒索病毒,而MATSNU則會執行後門指令來抹除開機磁區及鎖住螢幕。

散播策略

因為勒索病毒使用了加密演算法,想要回復單一系統的檔案已經有難度了,更何況有些勒索病毒能夠透過外接式硬碟和網路共享來散播,讓其他重要資料也被加密。被稱為Zcryptor的勒索病毒(ZCRYPT加密勒索病毒)可以透過外接式硬碟及網路共享散播。 繼續閱讀