勒索软件是骇客攻击的新趋势,兼谈防范措施及各种误解

文章目录

★名词解释:啥是“恶意软件”?
★名词解释:恶意软件的分类(基于传播方式)
★“勒索软件”可以组合不同的传播类型
★“勒索软件”增多的主要原因 — — 更诱人的经济效益
★“勒索软件”未来的进化
★如何防范“勒索软件”?
★关于“防范勒索软件”的几个观念上的【误区】

先插播一个通告:
前一篇博文分享了一批电子书。之后有读者反馈:打开微软网盘的网址,显示一个出错页面。
此情况曾经出现过,据猜测是因为:很多人同时去俺的微软网盘下载,导致服务器超载。此现象在上一篇博文发布后,持续了大约两三天,之后已经正常。
此现象也间接说明了 — — 分享的电子书比较受欢迎 :)

前几天(5月12日)爆发的 WannaCry 勒索软件,大伙儿应该都听说了吧。作为一个经常谈论信息安全话题的博客,俺正好借这个机会聊聊【勒索软件】。
考虑到 WannaCry 相关的报道已经很多,针对该蠕虫的防范措施,网上已经有很多了。所以俺就不再讨论 WannaCry 相关的话题。今天要聊的是:【勒索软件】将成为黑色产业链的最爱,它的危险性,以及菜鸟们的防范措施。

★名词解释:啥是“恶意软件”?

★名词解释:恶意软件的分类(基于传播方式)

捆绑形式
这种类型的恶意软件,通常是捆绑在某些正常软件中,以此来获得传播。
举例:
想当年,360的老板周鸿祎就是靠“3721上网助手”(后改名“雅虎助手”)起家的。这个 3721 在当时真可谓臭名昭著。它就是靠捆绑的方式(捆绑在某些免费共享软件中),来获得巨大的装机量。

病毒形式(viruses)
“病毒”这玩意儿,大伙儿应该比较熟悉了(尤其是经历过 DOS 时代的 PC 老用户)。
“病毒”的主要特色是“传染性” — — “文件型病毒”可以从一个文件扩散到另一个文件;“引导型病毒”可以从一个磁盘(硬盘/软件)扩散到另一个磁盘。

蠕虫形式(worms)
“蠕虫”这个概念,熟悉的人就比较少了。
“蠕虫”也具备传染性(导致很多人把“病毒”跟“蠕虫”混淆)。这两者的差别在于 — — 蠕虫的传染是【主动】且【实时】,不需要人为介入;而病毒的传染相对而言是被动的(需要人为介入)。
比如说:文件型病毒要想获得传播机会,前提是:病毒所感染的宿主文件要被用户打开,病毒才能得到运行机会;相比之下,蠕虫可以在【无人介入】的情况下,通过网络在电脑主机之间进行扩散(而且这种扩散可以实现【指数级增长】)。
举例:
这次的“WannaCry 勒索软件”就是以蠕虫形式传播。

木马形式(trojan horses)
“木马”相比“病毒”和“蠕虫”的主要差别就是 — — 木马【不】具有传染性。
举例:
俺曾经聊过一款很高级的木马,名叫“黑暗幽灵”,由咱们天朝六扇门(公安部)隆重出品。具体介绍参见这篇博文

逻辑炸弹形式(logic bomb)
“逻辑炸弹”这个概念,即使在信息安全行业中,听说的人也不多。
“逻辑炸弹”也是【不】具有传染性的(这点与“木马”类似)。它跟“木马”的差别在于:
木马是【外来】的 — — 必须通过某种方式(比如:系统漏洞、欺骗)侵入电脑主机;而“逻辑炸弹”通常是由【内部人员】(比如软件系统的开发人员或维护人员)植入到软件系统中。
为了通俗地理解,你可以把“逻辑炸弹”想象成某种数字化的定时炸弹 — — 在达到某个特定的逻辑条件时就会被触发,然后执行破坏性的动作。
举例:
(为了让大伙儿加深印象,说一个国外的知名案例)
某公司的程序员负责维护本公司的人事系统。此人担心自己有一天会被解雇,所以就在人事系统中植入一个“逻辑炸弹”。
这个“逻辑炸弹”每天都会去判断人事系统中的解雇人员名单,一旦名单中包含此人的名字,逻辑炸弹就“引爆” — — 把整个服务器的硬盘格式化掉。

★“勒索软件”可以组合不同的传播类型

★“勒索软件”增多的主要原因 — — 更诱人的经济效益

◇打击面非常广

◇网络匿名技术(“暗网”及其它)

◇比特币

◇兼谈【技术的两面性】

★“勒索软件”未来的进化

◇更智能地选择加密对象

◇【透明地】加密

“潜伏期很长”还【不是】此类勒索软件的杀手锏。它更危险之处在于:可以让受害者的【备份策略失效】。
啥意思捏?因为受害者无法察觉到【透明加密】,所以受害者还是会如往常一样进行文件备份(备份到“网盘、外置硬盘”)。结果捏,备份出去的文件已经是被加密的了(已经废了)。

◇劫持网络帐号

◇对于“劫持网络帐号”,【两步验证机制】是可以被搞定滴

◇针对企业的威胁 — — 基于【逻辑炸弹】形式的勒索软件

★如何防范“勒索软件”?

◇针对【个人用户】而言

◇针对【企业用户】而言

2、审计机制
(此处所说的“审计/audit”指的是【安全审计】)
管理方面比较成熟的企业,应该有内部的安全审计。有些安全审计有助于在【事前】发现内鬼;即使无法在“事前”发现内鬼,安全审计也有助于【事后追溯】(查出是谁干的)。

3、分权机制
良好的分权机制,首先是可以降低内鬼植入勒索软件的概率;退一步讲,就算被植入了,良好的分权机制也可以降低勒索软件引爆之后的破坏性。
比如说:如果有两台服务器,一台运行的是业务系统,另一台用来【备份】前者的业务数据。那么,这俩台服务器的管理员【不能】是同一人。

4、员工素质
前面提的这些机制,最终都需要落实到【人】。所以“员工素质”是前面所有这些机制的基础与保障。越庞大的企业系统,【人】就越发成为最大的弱点。这也就是为什么 — — 在入侵企业的过程中,【社会工程学】手法总是屡试不爽(不了解“社会工程学”的读者,可以看“这里”的扫盲)。
顺便插一个八卦:
因为曝光了“棱镜门丑闻”而享誉全球的斯诺登,原先只是 NSA(美国国安局)的某家外包公司的雇员。他本来是没有足够的权限来接触到这么多 NSA 的机密材料。但是他很善于使用【社会工程学】,于是就获得足够多的权限。

★关于“防范勒索软件”的几个观念上的【误区】

◇误区之1:交了赎金就可以拿回文件(文件解密)

上次有个读者问俺:如果被勒索软件加密的文件非常非常非常宝贵(重要的定语说3遍),咋办?
俺的观点是:如果你真的想通过交赎金的方式拿回文件,也要先设法跟勒索软件的作者建立某种沟通方式,然后讨论出一种类似于【分期付款】的形式。比如说:你先支付 20% 的赎金,让对方解密 20% 的文件(你可以把加密文件发给对方,让对方解密完再发回),然后你再给 20% 赎金,对方再解密 20% 文件 (以此类推)。在这种形式之下,即使对方耍流氓,你的现金损失也小很多。

◇误区之2:装了杀毒软件,就不会中招

◇误区之3:苹果系统(macOS/iOS) 不会中招

◇误区之4:Linux 系统不会中招

◇误区之5:隔离的内网不会中招

俺博客上,和本文相关的帖子(需翻墙)
如何防止黑客入侵(系列)
如何隐藏你的踪迹,避免跨省追捕(系列)
扫盲操作系统虚拟机(系列)
社会工程学扫盲(系列)
如何对付公安部门的“网络临侦”? — — “黑暗幽灵(DCM)木马”之随想

版权声明
本博客所有的原创文章,作者皆保留版权。转载必须包含本声明,保持本文完整,并以超链接形式注明作者编程随想和本文原始地址:
https://program-think.blogspot.com/2017/05/Ransomware-Cyber-Attack.html

Written by

编程随想的blogspot镜像,欢迎关注!编程随想:IT宅,热衷于:抹黑党国、揭露洗脑、普及翻墙。 偶尔会谈点技术。

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store