我注意到围绕Stack Exchange的勒索软件问题的频率越来越高。我很了解的一些人最近也感染了他们的设备。

我开始担心。当人们问我如何避免病毒时,我通常会告诉他们诸如不要从可疑网站和文档以外的附件中下载文件的事情。但是,假设感染者在计算机上执行了可疑文件,对我而言真的正确吗?

尤其是当我在Stack Exchange上看到来自此处感染者的问题时,这种担忧尤其严重。意识到这一点的人显然也同样容易受到攻击。

勒索软件可能如何进入他们的计算机?什么是防止这种情况发生的好方法?

评论

被解雇的人员列表。xls.exe

@AndréBorie-这正是为什么我仍然对Windows中的默认设置为“隐藏已知文件类型的扩展名”感到震惊的原因。这是一个非常糟糕的主意,令我惊讶的是还没有有人对此开除。首先,我对任何新安装进行更改。

评论不作进一步讨论;此对话已移至聊天。

@AndréBorie对于.exe文件如何将其图标设置为类似于文档并为USB驱动器启用自动运行的方式,我有相同的看法。多年来,错误的选择仍然存在。

#1 楼

根据《 IBM X-Force威胁情报季度报告》(2015年第四季度),勒索软件攻击的主要来源是未修补的漏洞,偷渡式感染和鱼叉式网络钓鱼电子邮件:

来源:IBM X -Force
如何防止勒索软件攻击
用户培训
教育您的用户不要从未知联系人中下载文件。通常,勒索软件是通过电子邮件发送的,这些电子邮件要求带有Word文档的未决发票。当您打开文档时,勒索软件将被安装并开始执行其工作。
扫描和过滤邮件服务器
扫描邮件服务器以阻止网络钓鱼尝试到达预期的收件人。
定期备份数据
/>请确保定期备份您的关键数据并保护它们的安全。这将帮助您避免支付赎金,并减少恢复时间。
漏洞?立即收到重要软件和操作系统的补丁
在收到通知后立即为您的关键软件(例如浏览器,浏览器插件,电子邮件客户端和操作系统)进行补丁。您是否知道巴拿马文件泄漏(2.6 TB数据)是由于易受攻击的Web服务器和邮件服务器而发生的?
看看过去三年中勒索软件的增长情况:

来源: McAfee Labs,2015年。

评论


@immibis,不,不是针对您的,而是针对线程中除您以外的所有注释的。我同意你的评论。如果您认为将答案添加到答案中会有所帮助,则可以考虑建议对包含该信息的答案进行编辑。

– D.W.
16年4月15日在8:18

请注意,某些恶意软件会伪装成软件更新。因此,在知道要单击的内容之前不要立即单击。

–lepe
16年4月25日在7:28

勒索软件也可能攻击您的备份,因此请选择不允许覆盖备份文件的备份解决方案。 theregister.co.uk/2016/03/22/pc_world_knowhow_shortcomings和security.stackexchange.com/questions/131708/…

– Jesvin Jose
16 Dec 9'在17:14

#2 楼

尽管您在问题中描述的措施没有错,但它们也不正确:


文档也不安全打开。


漏洞通常以interestingFile.txt.exe的形式出现。
默认情况下,Windows隐藏.exe会导致用户在确实执行代码时认为这只是文本文件。
还有其他方法可以防止可执行代码被隐藏也被用户认可。例如,也使用PlasmaHH在注释中建议的使用Unicode和从右至左的标记。


Office产品有多种宏恶意软件。




驱动器攻击
不仅对使用2-3个网站而且每个人都盲目跟随链接,这些都是对每个人的实际威胁。
确实如此,因为(很多?)零日漏洞是公众未知的,因此尚未修复。甚至有pwn2own之类的事件,都实时显示了这种剥削-可以访问准备好的网站。


实际上,正如Philipp在评论中正确指出的那样,感染可能发生基本上在任何网站上都包含其他地方的内容-例如广告。
问题的另一部分往往是

为什么现在有这么多勒索软件而没有那么多那么,以前有很多感染吗?

好吧,因为勒索软件比使用感染建立僵尸网络更有利可图-多数用户通常不会注意到(正是这一点)。
所以感染没有真正增加,只是感染可见性增加。

从注释中解决操作系统问题
Windows通常是-因为它具有最大的市场份额-攻击最频繁(针对所有恶意软件),但也存在针对* NIX的勒索软件。这包括Mac OS X和Linux。
如果我没记错的话,在今年Pwn2Own中显示了被偷用的Mac OSX。

评论


信誉良好的网站已经存在过路过的恶意软件感染的情况。它们通常来自第三方广告。

– Philipp
16年4月13日在8:58

@Philipp就像福布斯的补充

– Memor-X
16年4月13日在10:36

这不是Windows受到攻击的唯一原因-隐藏的扩展名和文件执行的便利性都是AFAIK的问题

– Tim
16年4月13日在13:34

@tim安装过程无关紧要,单个可执行文件可以在任何地方执行。稍有不同的是,* nix系统使用可执行文件权限,而不只是扩展名,而是将其放在zip / tar / dmg / etc中。可以保留这些权限。 OS X还具有内置功能,即使您尝试从zip / DMG / etc等运行下载的文件,也可以发出警告。

–亚历山大·奥玛拉(Alexander O'Mara)
16-4-13在14:30



@ AlexanderO'Mara有趣的是,只要浏览器设置了“不安全来源” ADS,Windows也会警告您是否运行了已下载的exe文件,包括使用内置zip工具提取的文件。我知道IE和Firefox可以做到,但对Chrome不确定。当然,到目前为止,基本上已经培训了用户忽略这些警告。

–鲍勃
16-4-14在15:49



#3 楼

仅通过不下载可疑文件就可以免受勒索软件攻击吗?

不幸的是,仅通过不从可疑网站下载文件就可以使您免受勒索软件保护。

例如,就在上个月,流行的BitTorrent客户端Transmission(v2.90)的OS X版本被勒索软件感染。通过Transmission的官方网站(其主服务器已被盗用)分发了受感染的Transmission版本一两天,因此任何下载它的人都将被感染。出乎意料的是,尝试在应用程序内进行更新(传输使用Sparkle框架)将是安全的,因为攻击者显然并未在受感染的版本中更新Sparkle的校验和,从而导致(可能是自动的)应用程序内更新失败签名不匹配。

不幸的是,我几乎被这种勒索软件所吸引。由于当时已披露了Sparkle框架中的漏洞,因此我正在手动更新所有使用Sparkle框架的应用程序,而不是在应用程序内进行更新,并且包括通过从手动下载来更新到Transmission v2.90的方法。官方网站。多亏了在服务器入侵发生前几天下载它,我才得以毫发无损。老实说,几天后发现折衷方案后,我感到非常害怕。我想说的是,我在这里中学到了宝贵的一课,那就是您永远都不能盲目地信任从Internet下载的应用程序,即使您信任的开发人员也是如此(除非您自己审核源代码)。

减轻勒索软件的损害

勒索软件的问题在于它会加密您的所有文件。如果您有办法阻止应用程序读取或写入系统上的任何文件(例如,通过在沙箱中运行所有下载的应用程序),那么从本质上讲应该可以使勒索软件变得无害。在Windows上,您可以使用Sandboxie沙箱应用程序。在OS X上,您可以通过Hands Off拦截来自系统上运行的应用程序的所有读取和写入操作! (在此处演示)。另一个解决方案是使用Qubes OS,它是一个操作系统,从本质上讲,您可以通过它非常优雅的方式在不同虚拟机中沙箱化不同的活动/应用程序。它还支持在其中一个虚拟机中使用Windows7。

评论


最后,我查看了《 Hands Off》,它有很多问题会导致内核死锁,特别是在大量使用的情况下,例如从源代码编译python(他们声称已经进行了性能修复,但我没有对其进行再次测试)。根外壳(pkg安装程序常见)也可以毫无问题地卸载它,甚至不会发出警告。我尝试就第一个问题与他们联系,但没有得到任何答复,所以我放弃了他们。

–亚历山大·奥玛拉(Alexander O'Mara)
16-4-14在7:52



审查源代码是不够的,您还需要验证所使用的二进制文件实际上是从该源代码构建的。如果下载服务器遭到破坏,则替换后的二进制文件可能与随附的源代码不匹配(如果有任何源代码)。审查的最简单方法是使用受信任的编译器自己编译源代码,然后使用该二进制文件而不是预先构建的二进制文件。如果没有可用的源代码,则反编译(根据许可证可能是不允许的)或签名的二进制文件也可能起作用。

– 8bittree
16年4月14日在14:40

@ 8bittree让我想起了可移植性(我认为这是该工具的名称,在喜欢Linux的源代码中)

– Xen2050
16年4月14日在18:51

#4 楼

它如何到达您的问题的一部分已经得到了很好的回答,所以我将采取一些保护自己的方法,尽管真正安全的唯一方法是不要使用连接到互联网的计算机,甚至如下所述不是100%安全的。



除非您期望收到该文件,否则请不要从任何地方打开该文件,也不要从该特定人员/公司打开该文件。
如果您不希望成为那种偏执狂,只打开可信赖来源(即您认识的人并经常与之交流*)中的文档,或者从您信任并明确要求从中下载文档(或发送给您)的网站中打开文档。
浏览互联网时,请在虚拟机上^。在进行任何浏览之前,请克隆一个标准映像,无论您始终信任的是哪个网站。完成后,删除克隆,这样您可能已经感染的所有病毒都消失了,并且您仍然可以进行标准安装。
请备份所有您宝贵的东西。不要总是依赖外部云提供商,因为它们可能会一直保持文档声明状态的时间,甚至没有版本控制以回滚到未感染您的时间点。
请保持您的计算机最新。许多攻击将依赖于某些应用程序中的漏洞。如果这些被修补,则它们将无法通过该向量工作。如果您不更新软件,则这些漏洞将留给您。

可能有更多的负载,但是这些负载马上就会浮现在脑海。

*我提到您认识的人的频繁交流部分,就好像他们被感染一样,他们最终可能会在不知情的情况下发送带有被感染附件的电子邮件。如果您通常没有从他们那里收到电子邮件或附件,请不要信任它。

^这是一个很长的路要走,对于很多人来说不是一个选择,还是大多数人不想要的

评论


我很想知道为什么谁投票支持我。如果此答案有错误或误导性的信息,这对我自己和其他人很有用。我不为名声所困扰,但是我对受过教育很感兴趣

–gabe3886
16年4月13日在13:58

这里没有不足之处,但是虚拟机并不总是像听起来那样安全,存在虚拟机转义。我不认为操作系统在虚拟机中运行并不是什么秘密,通常有一些“附件”使共享文件或剪贴板之类的事情变得容易。

– Xen2050
16年4月13日在16:57

@ Xen2050是提早说明所列方法并非100%安全的原因之一。我相当确定可以写一本书,讲述如何保护自己免受勒索软件的侵害以及每个防御措施的缺陷。

–gabe3886
16年4月13日在21:22

甚至气隙不全的机器也不能完全免受恶意软件的侵害,只需询问伊朗核计划(Stuxnet)。

–亚历山大·奥玛拉(Alexander O'Mara)
16年4月13日在21:28



@ Xen2050这实际上可能会有所帮助-有趣的是,我看到许多恶意软件的报告,当它检测到VM中存在恶意软件时,有意避免攻击,这显然是因为这延迟并阻碍了IDS / IPS,AV供应商和其他防御者的检测。

–dave_thompson_085
16-4-14的3:19