Post Jobs

勒索软件的核心是相同的,卡巴斯基云端分析系统还可以对勒索软件的对抗手段进行检测

图片 4

[PConline
杂谈]大众真正见识并意识到勒索软件的威力,是在2017年爆发的那场WannaCry,使政府、教育、医院、能源、通信、制造业等众多关键信息基础设施领域遭受到了前所未有的重大损失。现在来看,这仅仅是个开始。实际上,自WannaCry后,又出现了SimpleLocker、SamSam、NotPetya和LockerGoga等新版本并迅速发展。

5 月 28 日,卡巴斯基实验室亚太区病毒中心负责人董岩对外宣布,”
卡巴斯基的检测与防御技术发展有了新的进展。在云端,卡巴斯基的恶意软件分析系统所拥有的自主虚拟化平台可以避开恶意软件对虚拟化平台的检测,而且恶意软件在虚拟分析系统中的运行速度与真实环境无异。”

图片 1

他同时表示,除了对勒索软件的特定行为、代码进行检测外,卡巴斯基的分析系统还可以针对勒索软件的一般行为进行分析检测,这使得它能够检测未知的勒索软件。比如,WannaCry
最初的版本就是由这种技术检测出来的。此外,卡巴斯基云端分析系统还可以对勒索软件的对抗手段进行检测,如长循环与反射加载。

我们说,勒索软件感染破坏的一般过程是,勒索软件作者使用对称加密算法加密用户文件,用非对称加密算法保护密钥;如果密钥长度足够的话,可以说是无法破解的。另一方面,勒索软件的快速发展,也使得签名、模式匹配等传统技术越来越难以成功检测勒索软件。

图片 2

那么,当勒索软件变化越来越快的时候,我们应该如何应对?

卡巴斯基实验室亚太区病毒中心负责人董岩

其实,勒索软件的核心是相同的,它们通过钓鱼邮件或与之类似的策略进入端点系统,并安装恶意软件获取加密代码,进而加密整个网络系统上的数据,之后便会向受害者索要赎金。我们说,相比个人,组织或机构受到勒索软件攻击后的代价更高昂。在2017到2018年间,勒索软件攻击的数量虽然有所下降,但却呈现出更具针对性的发展态势,而其所针对的正是企业。

2017 年,陆续爆发的永恒之蓝 ( WannaCry ) 、坏兔子、Petya
等勒索软件,使政府、教育、医院、能源、通信、制造业等众多关键信息基础设施领域遭受到了前所未有的重大损失。

显然,黑客心里十分清楚,并不是每个组织都会及时修补系统中存在的漏洞,即便是使用“旧款”勒索软件也能凑效。不过旧的勒索软件通常被那些规模较小的网络犯罪组织使用,而对于现在大多数的恶意软件,则要么由国家运行,要么由专业的犯罪组织运行,他们的目标是那些严重依赖自己数据并有支付能力的公司。

正当企业下定决心将防护勒索软件攻击进行到底时,勒索软件已经开始了默默的反击。2018
年以来,勒索软件复杂性和变种的速度均有所增加,并通过使用各种混淆技术、更精细的设计确保攻击的准确性。

图片 3

图片 4

过去,我们通常使用签名和模式匹配等传统技术进行防御,但却发现使用这些方法越来越难以成功检测。因为我们看到,现在的勒索软件更多的是试图逃避防御技术的多台恶意软件。显然,随着勒索软件的不断发展,对它的防御也
必须随之水涨船高。

最初 WannaCry 版本的朴素界面

我们可以通过网络上的行为分析功能对其进行检测,在它从受感染的系统传播到网络的其他各处之前,将其关闭。从分析角度来看,我们需要找到那些不寻常的网络行为。如今的黑客,很擅长隐藏自己的恶意软件,一旦进入网络,它们看起来就像一个拥有证书的合法用户。显然,恶意软件不会轻易暴露自己,因此行为分析是反击的关键方法,尤其是当数据被加密时,分析则变得非常重要。

当今网络世界,勒索软件威胁持续发生,卡巴斯基实验室对勒索软件的研究从来没有停止过,近期,卡巴斯基实验室就解析勒索软件的发展与攻防技术做了很好的诠释。

在Web浏览器等应用程序正在转向TLS加密的同时,我们看到恶意软件也在做同样的事情,而行为分析与观察加密网络流量等可检测恶意软件的存在,并进一步限制其可能造成的威胁与损害。

自 1989 年 AIDS/PC Cyborg
勒索病毒开始。勒索软件通常由两种形式:一是锁屏类,即锁定用户计算机或手机,要求受害用户支付赎金解锁
;
二是加密类,即加密用户文件,要求受害用户支付赎金解密文件。目前我们遇到的基本都是文件加密类的勒索软件。

发表评论

电子邮件地址不会被公开。 必填项已用*标注

相关文章

网站地图xml地图