这是一个让许多计算机用户心生恐惧的词,尤其是考虑到几乎每天都有关于受影响公司的头条新闻。 这让我们想知道为什么这种情况不断发生在大大小小的用户和企业身上。
但是您可以做很多事情来保护自己或您的企业。
[相关:如何在 Windows 10 中保护您的隐私]
小心你点击的内容
大多数时候,影响个人的勒索软件发生在有人点击了他们不应该点击的东西之后——可能是与网络钓鱼相关的电子邮件或安装了恶意文件的网页。 在商业环境中,攻击通常来自攻击者追求开放远程访问协议,使用暴力或获取凭据。 一旦进入网络,他们就可以禁用备份并等待攻击的最佳时机。
勒索软件并不新鲜。 它的历史可以追溯到1989年,当时的诱饵是一张装有病毒的软盘,第三天要钱要回电脑信息。 最近,它被用于攻击东海岸的一家天然气输送管道公司 Colonial Pipeline。 那次袭击导致了加油站的挤兑、加油站关闭、愤怒的司机和管道公司的不良宣传(据报道,该管道公司遭受了数百万美元的损失)。 这是勒索软件可以对企业做什么的真实示例。
备份,备份,备份
我共同主持了一个关于安全和勒索软件主题的 Facebook 小组。 通常,当用户来找我们询问如何从勒索软件攻击中恢复时,我们唯一的建议是询问他们是否有良好的备份。 就此而言,我的意思是定期运行并存储在与您的计算机“气隙”的外部硬盘驱动器上。 如果您可以访问存储备份的驱动器,那么您的攻击者也可以。 因此,请确保您轮换备份媒体并始终有一份离线且未连接到您的系统的副本。
调查您的备份软件是否具有反勒索软件功能也很好,该功能可确保备份进程以外的任何人都无法访问驱动器。
[‘IT 有一个新的’It Crowd’:加入 CIO Tech Talk 社区]
尽管 nomoreransom.org 跟踪已知的攻击,但没有撤消勒索软件的神奇修复方法; 如果攻击者向公众发布了加密密钥,或者某些机构接管了命令和控制服务器——从而获得了对加密工具的访问权限——解密工具将存储在该站点上。
欺骗攻击者
如果您比较冒险,可以考虑添加一个工具,例如 Raccine,这将防止勒索软件使用 vssadmin 删除所有卷影副本。 它在 Windows 7 或更高版本上运行并拦截请求并终止调用进程。 悄悄删除备份并停止备份过程通常是攻击者正在攻击您的系统的第一个迹象。
始终确保跟踪备份过程的成功或失败。 我个人用我的备份软件设置了警报,所以我会收到涉及我的关键基础设施的成功和失败的通知。 跟踪备份的完成情况是跟踪系统运行状况的关键方法。
您可以用来抵御攻击者的另一个技巧是在您的系统上安装俄语键盘。 虽然 Darkside 勒索软件没有专门检查其实例,但基于俄罗斯的恶意软件通常会检查它的安装位置并避开基于俄罗斯的系统。 (你不必使用键盘,你最终会在系统托盘上看到“EN”。但这可能只是诱骗攻击者让你绕过。)
在最近一次攻击中吓跑攻击者的另一个安全工具是 Sysmon。 这是 Microsoft 的免费工具,可增强 Windows 计算机上的安全事件日志。 当攻击者利用 Solarwinds 漏洞审查他们想要攻击的公司时,如果系统上安装了 Sysmon、Procmon、Procexp 或 Autoruns,攻击者将不会攻击公司,因为他们不想被发现。 特别是对于小型企业,我建议使用 Sysmon 来增强系统上的日志文件。
你可以做什么
最重要的是,不要让攻击者轻易将您变成另一个勒索软件统计数据。 这是您可以采取的措施来减少攻击的机会”
确保定期做好备份,并有多个外部硬盘驱动器轮换使用,以确保至少有一份文件副本始终处于离线状态。
让您的浏览器保持最新,并确保它们独立于操作系统进行更新。
确保您的电子邮件经过良好的过滤,来自您的 ISP(如果它提供您的电子邮件)或使用 Gmail 或 Outlook。
如果您在小型企业中使用远程桌面协议,请考虑将 Duo Authentication 添加为远程访问的双因素身份验证。 在远程访问方面,不要只允许你和外界之间的密码。
这些可能无法确保您完全免受勒索软件的侵害,但至少可以降低您被勒索软件攻击的可能性。
