如何偵測勒索軟體：了解感染徵兆

隨著勒索軟體日益精進,各組織始終面臨著資料遺失與外洩的威脅。根據 Statista 的數據,自 2018 年以來,每年遭受勒索軟體攻擊的組織數量持續增加,並於 2021 年達到高峰,達到 68.5% 企業。此外,2020 年偵測到的勒索軟體家族數量比 2019 年增加了 34%(相較於 2020年的127個家庭).

在這篇部落格文章中,我們將定義勒索軟體,並闡述主要的感染途徑及勒索軟體偵測技術。此外,我們也會探討如何識別勒索軟體、防止進一步感染,以及提升資料的韌性,以抵禦勒索軟體。

使用 NAKIVO 拒絕支付贖金

利用備份在遭受勒索軟體攻擊後快速還原資料。提供多種還原選項、不可變動的本地與雲端儲存、自動還原特點等。

探索解決方案

什麼是勒索軟體？

勒索軟體是一種用於入侵個人或企業資訊科技環境,並對資料進行加密或鎖定的惡意軟體。勒索軟體攻擊的目的是向受害者勒索贖金,以換取恢復其對被加密或鎖定資料的存取權限。

系統如何遭到勒索軟體感染:5 種感染途徑

為防止貴組織的 IT 系統遭到勒索軟體感染,您應了解惡意軟體最常見的傳播途徑。如此一來,您就能掌握哪些系統元件更容易暴露於風險中且易受勒索軟體攻擊,並學會如何及時偵測基礎架構中的勒索軟體活動。

貴組織可能成為勒索軟體受害者的途徑不勝枚舉。然而,以下是惡意軟體最常見的感染途徑:

• 可疑的email 誘使收件者點擊連結或下載含有惡意軟體的附件。
• 惡意網站 其設計目的是誘使人們瀏覽其網頁,並最終透過點擊惡意超連結而感染勒索軟體。
• 社群媒體 這些平台常被視為值得信賴且合法的管道,因此使用者往往會立即對其產生信任。一般而言,惡意軟體是透過社交媒體平台上的惡意應用程式、廣告、外掛程式及連結進行傳播。這些應用程式、廣告、連結及瀏覽器附加元件會誘使用戶下載惡意內容,例如勒索軟體或加密貨幣挖礦程式。
• 惡意廣告 這是一種含有惡意代碼的線上廣告形式。當您點擊看似合法網站上的連結時,您的電腦可能會自動感染惡意軟體。
• 行動裝置勒索軟體 透過植入惡意代碼的行動應用程式執行。一旦下載此類應用程式,惡意軟體便能在數秒內感染您的手機,並在您下次連接這兩台裝置時,將感染擴散至您的電腦。

勒索軟體偵測技術

為了偵測企圖入侵或已對您的 IT 環境造成干擾的勒索軟體,您可以運用一系列工具與技術,協助揭露惡意檔案及可疑活動。IT 專家將偵測技術分為以下幾類:

• 基於簽名的
• 基於行為的
• 欺騙

以下我們將詳細探討每種勒索軟體偵測技術。

基於簽名的偵測

基於簽名的 這些方法會將某種勒索軟體的樣本雜湊值與先前發現的簽名進行比對。這是防毒解決方案和安全平台常用的第一步技術。這些技術會在執行可執行檔之前,先檢查該檔案中封裝的資料片段。此技術旨在及早偵測類似勒索軟體的程式碼片段,並阻擋受感染程式碼的執行。

此方法用於建立組織的基本防禦機制。然而,儘管基於簽名的方法能有效偵測已知的勒索軟體變種,但面對新型惡意軟體時仍可能失效。 此外,駭客投入大量心力更新其惡意軟體及安全防禦工具,使得簽名檢測變得更加困難。

目前市場上有多家惡意軟體檢測軟體供應商相互競爭。每家都提供一套具有特點的勒索軟體檢測工具,在某種程度上確實有效。然而,根據 Sophos 的報告, 超過 50% 2021 年的勒索軟體攻擊中有 100% 成功,這意味著沒有任何惡意軟體偵測系統能百分之百地偵測出勒索軟體。

基於行為的偵測

基於行為的 勒索軟體的偵測方法是將歷史已知行為與新行為進行比對。專家與自動化工具會監控環境內使用者及應用程式的活動,以偵測檔案系統中的異常變動、異常流量、未知程序及 API 呼叫等跡象。

請確認並記住勒索軟體攻擊嘗試或成功感染系統時常見的行為跡象:

• 垃圾郵件與網路釣魚email:網路釣魚是 最常見的 駭客用來散布勒索軟體的手法。
• 效能下降: 若您的 IT 基礎架構節點運作速度低於預期,請務必對潛在的勒索軟體入侵採取應對措施。
• 持續出現可疑的登入活動:當登入失敗的嘗試頻繁發生,且涉及多個帳戶,並來自異常的位置和裝置時,極有可能有人正試圖未經授權存取貴組織的 IT 系統。
• 偵測到未經授權的網路掃描器: 當您不清楚是誰發起了網路掃描程序,以及其目的為何時,應加以調查,因為這可能是惡意活動。
• 潛在的測試攻擊:駭客可能會先對部分節點發動幾次小規模攻擊,藉此測試貴組織防護系統的韌性與反應時間,然後才發動全面攻擊。
• 停用或移除安全軟體: 任何防護系統的異常都絕不能忽視,因為即使是短暫的故障,也意味著為勒索軟體感染敞開了大門。
• 部分節點上的資料加密:若系統中任何節點的資料加密成功,這表示您的 IT 防護措施已出現漏洞,駭客可能藉此發動更嚴重的攻擊。
• 偵測到已知的駭客工具: 若您在貴組織的環境中發現 Microsoft Process Explorer、MimiKatz、IOBit Uninstaller 或 PC Hunter 等應用程式,應對每個節點進行全面的安全性檢查。
• Active Directory 周圍出現異常活動:有一種 已知案例 駭客利用遠端桌面協定(RDP)入侵石油與天然氣設施受保護的 Active Directory(AD)伺服器,並將 Ryuk 勒索軟體直接植入 AD 登入指令碼中。
• 備份損毀的嘗試:備份儲存平台是網路攻擊的首要目標之一。無論是在實體磁碟還是雲端環境中,若備份儲存系統出現任何可疑活動,都可能是潛在或正在進行的勒索軟體攻擊的徵兆。

基於欺騙的偵測

正如駭客經常試圖欺騙組織的數位威脅偵測系統,資訊安全專家也想出了誘捕惡意行為者的方法。其中最常見的誘餌之一被稱為"蜜罐":這是組織資訊技術環境中的一台伺服器或區域,其中存放著看似對駭客具有價值的資料。然而,此環境與主系統完全隔離,可用於 監控與分析攻擊 策略。

隨著威脅不斷演變,企業不得不運用所有可用的安全措施來防止資料外洩與資料損失,因此結合多種勒索軟體偵測方法已成為常見做法。此外,要有效偵測並主動防禦勒索軟體攻擊,關鍵在於理解攻擊者的策略並阻止其滲透。以下提供一些識別與防範攻擊的建議。

如何識別與預防攻擊

我們建議您採取以下措施,以防範勒索軟體攻擊。此外,我們也提供了相關建議,協助您在勒索軟體入侵組織環境時,降低資料遺失的風險。

• 鼓勵員工:
  • 了解勒索軟體及其他惡意軟體最常見的徵兆
  • 請使用強密碼,並定期更新
  • 點擊連結或檔案附件前,請先仔細檢查
  • 了解網路釣魚的運作原理,並檢查收到的email地址

• 請定期更新您的系統

您應確保作業系統和關鍵應用程式已安裝修補程式並保持最新狀態。請在更新發布後立即進行安裝。系統更新和安全性修補程式通常旨在修復先前版本的問題,並解決系統中已知的漏洞。

• 驗證第三方軟體

在安裝第三方軟體之前,請先確認該供應商是否為正規且值得信賴的廠商。為此,請安裝白名單軟體(例如 Bit9、Velox、McAfee、Lumension),這些軟體能夠判斷新應用程式是否足夠安全,可供您在系統中安裝並執行。

• 定期掃描您的基礎架構

安裝並使用防惡意軟體工具,該工具將通知您任何可能的威脅、識別潛在漏洞,並偵測您基礎架構中的勒索軟體活動。現代的防勒索軟體工具可讓您掃描整個系統,以檢查現有的病毒及活躍的惡意軟體威脅。此外,此類電腦掃描既可按需執行,也可根據您設定的排程進行,從而最大限度地減少您所需投入的管理工作。

• 建立蜜罐

蜜罐是極為有效的資安措施之一,可用於迷惑網路犯罪分子,並將其注意力從關鍵檔案上轉移開。透過設置蜜罐,您將建立一個偽造的檔案儲存庫或伺服器,對外部人士而言看似合法目標,對勒索軟體攻擊者而言則顯得格外誘人。如此一來,您不僅能保護檔案並迅速偵測勒索軟體攻擊,還能了解網路犯罪分子的運作模式。 接著,利用這些數據與經驗,強化系統的防護能力,以抵禦未來的網路攻擊。

• 限制對關鍵系統和應用程式的存取權限

在授予員工系統權限時,應遵循最小權限原則。該原則要求僅授予員工執行工作所需之檔案及系統資源的存取權限。任何非屬員工履行職責所必需的操作或存取行為,管理員均應予以禁止,以避免意外感染。

• 資料保護與備份測試

建立資料備份,並定期更新。 運用"3-2-1"法則 以加強保護並確保成功從勒索軟體攻擊中恢復受加密的資料。這項準則規定,您應備有 3 份資料副本,並將其儲存於 2 種不同的儲存媒體上,其中 1 份須存放於異地。資料備份完成後,請執行測試以確認備份檔案具有功能性且能成功還原。如此一來,即可避免系統還原過程中可能發生的失敗情況。

NAKIVO 如何協助您保護資料免受勒索軟體侵害

如今,導致組織數據無法使用的勒索軟體攻擊,已不再只是某種可能性,而是遲早會發生的事。而預防數據遺失事件,並在勒索軟體攻擊成功造成中斷後避免生產停機的最有效方法,就是備妥有效的備份以供還原。

部分 93% 在遭遇全球性資料遺失災難後,未實施備份與災難還原計畫的公司中,有 96% 會在一年內倒閉。另一方面,擁有可靠備份與還原策略的公司中,有 96% 成功從勒索軟體攻擊中還原營運。

NAKIVO Backup & Replication 這是一套資料保護解決方案,可協助您建立可靠的勒索軟體防護策略,並提升組織的韌性:

1. 為您的資料建立可靠且符合應用程式一致性備份。
2. 將備份資料儲存於本地、傳送至異地或上傳至雲端,以遵循"3-2-1 法則",並避免單點故障。
3. 為儲存於本地 Linux 儲存庫和／或雲端中的備份啟用不可變性,以確保即使備份基礎架構遭受勒索軟體攻擊,您的備份資料仍能保持不變且可供存取。
4. 啟用備份資料在傳輸中及儲存時的加密功能。此解決方案採用 AES-256 加密標準,以防止第三方存取您的備份資料。
5. 使用基於角色的存取控制(RBAC)為員工設定存取權限,並提升備份的安全性。
6. 當遭遇勒索軟體攻擊並導致原始資料遭加密時,請使用備份進行還原。您可以立即將完整的虛擬機器(VM)及實體機器復原為虛擬機器。使用 即時粒度還原 將個別檔案和應用程式物件還原至原始位置或自訂位置,以進一步縮短停機時間。
7. 透過複製、自動故障移轉及災難還原編排,確保系統與應用程式的快速可用性。

NAKIVO 解決方案讓您能夠透過單一控制面板,全面掌控並自動化備份與還原流程。您可設定每分鐘執行一次備份,以將資料損失降至最低。透過隨時可用的不可變備份,即使勒索軟體繞過您的安全系統並成功加密原始資料,您仍無需向駭客支付贖金。

1 年免費資料保護: NAKIVO Backup & Replication

2 分鐘即可部署,並保護虛擬、雲端、實體及 SaaS 資料。提供備份、複製與快速還原選項。

立即下載免費版本