針對(duì)勒索軟件，備份供應(yīng)商通常都會(huì)這樣建議用戶：“只需將系統(tǒng)回滾至感染發(fā)生前的那一刻，你就能在幾秒鐘內(nèi)恢復(fù)業(yè)務(wù)運(yùn)營。”但是問題是我們?cè)趺磾喽ǜ腥景l(fā)生在哪個(gè)具體時(shí)刻。

今天的勒索軟件正試圖讓感染更加難以檢測，從而最大幅度地提升收入。典型的感染并不是立即展現(xiàn)出來的，而需要有一段間隔時(shí)間，然后慢慢進(jìn)行破壞。Canary文件類型是防止勒索軟件的方式之一，能夠在攻擊滲透到網(wǎng)絡(luò)中時(shí)迅速通知到用戶。

勒索軟件攻防戰(zhàn)的演變

早期的勒索軟件會(huì)盡可能快的將一切數(shù)據(jù)加密，在有人反應(yīng)之前產(chǎn)生更大的破壞。這時(shí)應(yīng)用程序會(huì)立即停止工作，但是快速攻擊使得感染點(diǎn)更容易被檢測到，通常是未打補(bǔ)丁的桌面。

一些聰明的企業(yè)會(huì)讓他們的員工關(guān)閉電腦以減少感染的傳播。備份供應(yīng)商和他們的客戶擅長應(yīng)對(duì)這類感染。許多支持虛擬化的備份技術(shù)可以還原至最近一次備份點(diǎn)。這些虛擬機(jī)的回滾恢復(fù)非常迅速，并且所恢復(fù)的是整個(gè)虛擬機(jī)，而非單個(gè)文件。因此許多企業(yè)組織能夠在幾分鐘時(shí)間內(nèi)根除勒索軟件造成的感染?？焖贆z測和恢復(fù)操作可以完全取代贖金。于是，勒索軟件作者開始注意并改變其軟件工作模式。

今天的攻擊變得更為隱蔽，因此針對(duì)這類攻擊需要更為復(fù)雜的保護(hù)措施。攻擊或許只能封印其找到的備份文件，然后將其進(jìn)行壓縮。這樣做的目的是在程序被檢測出之前盡可能長時(shí)間的進(jìn)行封印。假如用戶需要一段時(shí)間才注意到有價(jià)值的文件遭到惡意加密，那么回滾操作便會(huì)更為困難。例如，假如我們需要將完整虛擬機(jī)恢復(fù)至一小時(shí)之前，那么在此期間所有的生產(chǎn)數(shù)據(jù)都將丟失。而如果我們要恢復(fù)一周之前的虛擬機(jī)，那么這便是一個(gè)天大的問題了。我們或許要識(shí)別出每個(gè)受感染的文件，僅將其逐一恢復(fù)，找到和選擇性恢復(fù)過程非常艱難，而且通常需要手動(dòng)完成。

恢復(fù)到一周前的數(shù)據(jù)，或者等待一周的時(shí)間來恢復(fù)正確的文件，這樣都需要耗費(fèi)大量的工作。在這種情況下，只用乖乖繳納贖金便變得更有吸引力。勒索軟件潛伏在你的環(huán)境中的時(shí)間越長，你支付贖金的概率便越大。

Canary文件類型：快速檢測感染

打擊這種潛伏模式的方式之一是盡可能快地發(fā)現(xiàn)感染。Canary文件類型能夠快速識(shí)別出感染的發(fā)生，有助于抑制勒索軟件。Canary文件類型就像是煤礦中的金絲雀：通過犧牲自己來測試出危險(xiǎn)。Canary共享文件類型成為了檢測勒索軟件感染的誘餌，但其數(shù)據(jù)對(duì)企業(yè)并無價(jià)值。該共享文件類型僅用于快速的感染檢測。

通常來說，文件的共享文件夾會(huì)和企業(yè)的實(shí)際數(shù)據(jù)混合存放。反惡意軟件會(huì)觀測Canary文件。緊盯住少量的Canary文件比追蹤企業(yè)組織中每個(gè)共享文件夾中的每個(gè)文件要容易許多。普通用戶和應(yīng)用進(jìn)程永遠(yuǎn)不會(huì)接觸到Canary文件。假如該文件出現(xiàn)任何更改，那么出現(xiàn)惡意軟件的幾率就大幅上升。變更文件的更新時(shí)間戳、文件大小、文件名或檢驗(yàn)碼都意味著其已遭篡改。

由于這些文件永遠(yuǎn)不會(huì)被真實(shí)的用戶訪問，任何讀寫操作都代表著威脅的出現(xiàn)。Canary文件甚至?xí)晃募呙璨僮饔|發(fā)，因?yàn)檎嬲挠脩敉ǔ２粫?huì)連接到它們。一旦出現(xiàn)可以訪問，檢測系統(tǒng)就可以進(jìn)入主動(dòng)模式，并開始隔離系統(tǒng)。經(jīng)過快速檢測，對(duì)整個(gè)虛擬機(jī)進(jìn)行恢復(fù)的影響減弱許多。

更復(fù)雜的Canary系統(tǒng)甚至?xí)?duì)自身進(jìn)行修改。由于惡意軟件開發(fā)者被迫在其行動(dòng)中變得更為隱蔽，以提防“金絲雀”。許多具有相同文件創(chuàng)造和最后訪問日期的文件會(huì)被惡意軟件認(rèn)識(shí)到是紅色禁區(qū)，因此看起來更像真實(shí)用戶訪問數(shù)據(jù)的金絲雀文件類型將更為有效。這些文件應(yīng)該定期更新、創(chuàng)造新的文件，而文件訪問日期戳在共享文件和文件夾中都應(yīng)是不同的。

一套具有異常嚴(yán)格訪問控制模式的金絲雀系統(tǒng)將非常有助于發(fā)現(xiàn)、識(shí)別出異常行為。而金絲雀文件不僅限于防范勒索軟件，其可應(yīng)用于其它各種類型的惡意軟件和入侵檢測。