勒索軟件Ransomware已經(jīng)成為一個(gè)突出的網(wǎng)絡(luò)安全威脅，他們往往會(huì)以加密文件的方式勒索高額的贖金。亞信安全在近日發(fā)布警示：勒索軟件攻擊的發(fā)起者已經(jīng)將攻擊延伸到中小企業(yè)(SMB)，因?yàn)橹行∑髽I(yè)往往不會(huì)像大型企業(yè)那樣部署復(fù)雜的安全解決方案，且與消費(fèi)者相比，中小企業(yè)也更有能力支付贖金。對此，亞信安全建議：中小企業(yè)員工不僅要提高安全意識(shí)，按照3-2-1法則備份文件，而且企業(yè)應(yīng)部署周密的網(wǎng)絡(luò)安全解決方案，通過偵測惡意文件和垃圾郵件并封鎖相關(guān)網(wǎng)址等技術(shù)，在各層面防御勒索軟件帶來的威脅。

想像一家擁有少于50名員工的公司，某天公司主管收到了一封內(nèi)嵌看似正常網(wǎng)址的電子帳單郵件，他們點(diǎn)擊鏈接而導(dǎo)致感染勒索軟件。不幸的是該公司并沒有備份信息，因此他們更傾向選擇支付贖金以解密文件，但這樣很可能會(huì)導(dǎo)致網(wǎng)絡(luò)犯罪分子在未來進(jìn)行更多輪攻擊。

在近期發(fā)現(xiàn)的勒索軟件中，亞信安全發(fā)現(xiàn)最大的威脅來自TorrentLocker和CryptoWall，他們都屬于Ransomware的變種。亞信安全通過統(tǒng)計(jì)點(diǎn)擊TorrentLocker和CryptoWall相關(guān)電子郵件內(nèi)惡意鏈接(2015年6月-7月)的用戶類型，發(fā)現(xiàn)中小企業(yè)在受害者中的比例最高。其中，點(diǎn)擊CryptoWall相關(guān)電子郵件內(nèi)惡意鏈接的用戶大多數(shù)屬于中小企業(yè)用戶。

　　【點(diǎn)擊CryptoWall設(shè)下釣魚郵件的被害者，近七成為中小企業(yè)用戶】

亞信安全還發(fā)現(xiàn)，大多數(shù)TorrentLocker相關(guān)惡意網(wǎng)址仍然是由中小企業(yè)(46.36%)點(diǎn)擊，但消費(fèi)者點(diǎn)擊的比例(42.15%)也居高不下。

　　【點(diǎn)擊TorrentLocker相關(guān)網(wǎng)址的用戶，中小企業(yè)仍然位居首位】

攻擊往往在上班時(shí)間發(fā)動(dòng)

由于勒索軟件攻擊主要以中小企業(yè)用戶為主，因此不法分子更傾向在上班的時(shí)間來發(fā)動(dòng)攻擊。亞信安全將用戶點(diǎn)擊CryptoWall網(wǎng)址的時(shí)間數(shù)據(jù)(2015年7月初)整理成下圖，可以看到目標(biāo)受害者一般在上午9點(diǎn)到下午1點(diǎn)之間點(diǎn)擊這些鏈接，與員工的上班時(shí)間恰恰吻合。

　　【攻擊爆發(fā)當(dāng)天的每小時(shí)惡意網(wǎng)址點(diǎn)擊量(2015年7月)】

用來滲透企業(yè)用戶的社交工程誘餌

今年大部分用于勒索軟件的社交工程(social engineering )誘餌都和企業(yè)活動(dòng)相關(guān)。例如，CryptoWall會(huì)利用簡歷、訂單和護(hù)照作為其垃圾郵件主旨。對此，亞信安全業(yè)務(wù)發(fā)展總監(jiān)童寧指出：“雖然CryptoWalll所用誘餌不會(huì)根據(jù)區(qū)域而有所不同，但TorrentLocker卻以針對區(qū)域定制化而知名，它們的社交工程誘餌會(huì)依受害國家設(shè)計(jì)，此類威脅通常會(huì)根據(jù)不同區(qū)域的特點(diǎn)，有針對性地假借郵遞服務(wù)、電信、公共事業(yè)和政府機(jī)構(gòu)通知的名義來制作誘餌。”

據(jù)亞信安全主動(dòng)式云端截毒技術(shù)的反饋信息，澳大利亞(31.54%)、意大利(26.60%)和土耳其(20.40%)是TorrentLocker相關(guān)電子郵件攻擊最流行的三個(gè)國家，并且在這三個(gè)國家中，勒索軟件所使用的誘餌有很大的不同。

值得注意的繞過安全防御戰(zhàn)術(shù)

勒索軟件將焦點(diǎn)變換到企業(yè)目標(biāo)的一個(gè)重要證據(jù)是其所使用的閃避技術(shù)，部分TorrentLockerr變種具備自毀功能，以防止IT人員采集樣本建立安全措施。勒索軟件網(wǎng)頁還會(huì)要求用戶使用驗(yàn)證碼登錄，這讓自動(dòng)抓取工具和沙箱技術(shù)更難識(shí)別惡意軟件樣本。同時(shí)，他們會(huì)選精心擇攻擊時(shí)間來攻擊更多的企業(yè)用戶。而另一個(gè)被用在TorrentLocker和CryptoWall的戰(zhàn)術(shù)是利用淪陷網(wǎng)站來隱藏重新導(dǎo)向，進(jìn)而避免在受感染系統(tǒng)上被偵測。

亞信安全建議：保護(hù)你的企業(yè)環(huán)境

在近幾年的演化過程中，勒索軟件已經(jīng)從簡單的恐嚇軟件演化成會(huì)加密文件、系統(tǒng)的加密勒索軟件，最終達(dá)到讓受害者支付贖金的目的。由于勒索軟件攻擊會(huì)給不法分子帶來巨大的收益，因此有理由相信勒索軟件會(huì)持續(xù)改善其戰(zhàn)術(shù)，以感染更多的企業(yè)。

　　【從恐嚇軟件到加密勒索軟件】

亞信安全業(yè)務(wù)發(fā)展總監(jiān)童寧還建議：“勒索軟件會(huì)給企業(yè)帶來機(jī)密信息泄露的嚴(yán)重風(fēng)險(xiǎn)。然而，中小企業(yè)可以通過提高員工安全意識(shí)來保護(hù)自己的網(wǎng)絡(luò)，例如，在打開電子郵件時(shí)先驗(yàn)證發(fā)件人，在點(diǎn)擊網(wǎng)站前先檢查其信譽(yù)評比，不要啟用巨集以避免CryptoWall執(zhí)行。我們也再三強(qiáng)調(diào)過備份文件的重要性，最佳做法是按照3-2-1法則：針對每一份重要數(shù)據(jù)都備份三份數(shù)據(jù)副本，以兩個(gè)不同的格式存儲(chǔ)這些數(shù)據(jù)，并保持一份在異地。”

此外，亞信安全提醒中小企業(yè)主，必須部署周密的網(wǎng)絡(luò)安全解決方案，通過偵測惡意文件和垃圾郵件并封鎖相關(guān)網(wǎng)址等技術(shù)，在各層面防御勒索軟件帶來的威脅。