Sophos提出协助企业防范加密勒索软体的实务建议报告

由达友科技代理的 Sophos 信息安全大厂，新出炉一份文章，针对目前日益猖獗的加密勒索软体，例如 Cryptowall, TeslaCrypt 以及 Locky...等，提供防范的实务建议。完整的建议报告请按此下载

 

目前的加密勒索软体，其感染的过程与情境，大多是如下的流程:

1. 使用者收到钓鱼的电子邮件，透过伪造的寄件人与社交工程情蒐的内容，让收件者更容易相信，并引诱点开其中的附件或超连结。

2. 这些钓鱼邮件透过一系列的技术，来规避既有的 SPAM 垃圾过滤、Anti-Virus防毒、IPS 等防护机制检查。

3. 邮件的附件可能是 MS WORD 或 EXCEL 含有恶意巨集或软体漏洞的利用(如Exploit Kit)。因此使用者开启后，恶意程式会驱动，并连线到预藏的网址去下载更多的恶意程式下来并驱动执行。

4. 恶意程式会尝试连到 C&C 中继站，回传该受害者的相关系统讯息，并依此产生独一无二的加密用公开金钥(Public Key)，并下载使用。

5. 扫描本地硬碟中或网路芳邻的各种文件档案，并用取得的 Public Key 加密取代。

6. 删除作业系统内建的自动备份(Shadow Copy)，以避免让使用者可以自行恢复文件的机会。

7. 在使用者电脑桌面中，显示勒索警告讯息，并提示赎金交付方法。为躲避追查，一般是指示以彼特币(BitCoin) 来交付。金额落于新台币 7000~17000 不等(美金 200~500)。并且限时72小时之内缴付赎金，否则就永久无法解密。

 

文件中也说明了，为何这类的攻击会如此成功?

1. 采用了一系列复杂与先进的技术

2. 公司的信息安全与防护意识之不足，包含

  ● 没有资料或不足够的备份(无法即时备份，备份没有离线..)

  ● 作业系统或应用程式没有定期修补、更新

  ● 使用者具有过高的本地管理者权限，甚至在网路芳邻中具备有过高的权限，可以存取大部分目录与文件

  ● 缺乏信息安全意识，这些可疑的文件与连结也都轻易点开

  ● 必要信息安全防护系统没有布署，或者没有适当的设定

  ● 便宜行事(明知一些作法不安全，但这样做比较省事)

文中并提及如何透过 Sophos 一系列的产品进行纵深防御，并对各产品提供建议的安全设定。包含 Sophos Endpoint Protection, Sophos Email Appliance (Email Gateway), Sophos UTM (含 Web Gateway, 防火墙, IPS) 等。