2016年7月14日,亚信安全发布了最新的勒索软件风险研究报告,分析了2015年9月-2016年6月的勒索软件增长以及防治态势。报告指出,在监测的十个月内,全球传播的勒索软件数量增长了15倍,中国勒索软件数量增长更是突破了67倍,这凸显了勒索软件日益严峻的威胁形态。安全专家提醒企业用户,要将勒索软件治理策略摆在更重要的位置,并在电子邮件与网页、终端、网络、服务器等多个层面搭建完整的多层防护机制,以保护企业信息资产的安全不受侵犯。
勒索软件出现爆发式增长 中国成为重灾区
报告显示,在2015年9月~2016年6月期间,勒索软件出现了爆发式增长,亚信安全在全球范围内监测到的勒索软件数量从不足100万增长到如今的1500万。对于国内用户来说,此报告还透露了一个尤为危险的信号:在中国传播的勒索软件已经从过去的可以忽略不计,增长到如今的数以万记,通过网页链接(URL)检测的勒索软件数量从283个增长到18990个,增长超过67倍,并成为勒索软件感染最严重的10大国家之一。
【勒索软件在全球范围内的发展态势】
【中国区勒索软件的增长情况(URL检测)】
而且,勒索软件威胁有很大的可能在未来几个月继续蔓延,亚信安全技术总经理蔡昇钦指出:“与其它网络安全威胁一样,勒索软件在发展初期主要集中在欧美国家,但是随着中国互联网经济的繁荣,以及更多本地化勒索软件攻击套件的发布,会有更多的中国用户成为勒索软件的受害者。因此,国内企业用户需要密切关注网络威胁的发展动向,并提早部署安全有效的防御措施。”
电子邮件与URL成为“最受欢迎”的传播方式
从报告中还可以发现,在过去十个月中,勒索软件主要是通过电子邮件、URL、文件这三种方式进行传播。其中,通过电子邮件传播的勒索软件数量出现了较为显著的增长,占比从不足5%增长到46%,仅次于通过URL传播的比例(52%)。
据亚信安全病毒监测实验室分析:电子邮件与URL是勒索软件传播者尤为喜欢的两种传播途径,主要是因为这两种方式简单有效,通过大规模群发的方式,不仅能够降低传播成本,还便于利用社交工程攻击的方式来吸引更多人点击。而且,这两种方式要比很多人想象中的更有效果,因为黑客会利用漏洞攻击套件(Exploit Kit)攻击操作系统及应用程序的漏洞,若用户电脑没有更新补丁,只是浏览一般网页就可能会被勒索软件感染。
防范勒索软件威胁 多层防护机制是关键
由于勒索软件可以通过多种途径来传播,因此基于单一层面的防护机制都无法有效防范勒索软件。亚信安全发布的勒索软件风险研究报告同样显示,在综合部署电子邮件、URL、文件等多层防护机制之后,在防护边界对于勒索软件的检测率可以达到99%。
【多层防护机制可检测出99%的勒索软件】
蔡昇钦指出:“勒索软件作者会不断改变程序代码来绕过过滤程序,并且尝试通过电子邮件、URL链接、文件等多种方式来入侵网络。同样,黑客也开始将恶意软件目标放到服务器基础设施上,与最近攻击医疗行业的‘SAMSAM’雷同,它们无需与 C&C 服务器联系也能加密档案。简言之,并没有万灵丹来防止这类网络威胁,企业用户需要尽可能地降低风险,并通过多层防护机制来进行检查和拦截。”
亚信安全建议用户从以下几个维度入手,构建深层次的防御体系:
文件:企业最好采取3-2-1规则对重要文件进行备份,即至少做三个副本,用两种不同格式保存,并将副本放在异地存储。此外,亚信安全还推出了针对勒索软件加密文件的解密工具,可以有效应对CryptXXX、TeslaCrypt、SNSLocker、AutoLocky等流行的勒索软件及其变种的加密行为。
电子邮件和网页:部署涵盖恶意软件扫描和文件风险评估、沙箱恶意软件分析技术、文件漏洞攻击码侦测、网页信誉评估技术在内的防护技术,侦测并封堵通过电子邮件和网页进行攻击的勒索软件。
终端:少部分勒索软件可能会绕过网络/电子邮件防护,这也是为什么终端安全防护十分重要的原因,终端防毒系统可以监视可疑行为、配置应用程序白名单和使用弱点防护来防止未经修补的漏洞被勒索软件利用。亚信安全防毒墙网络版(OfficeScan)的Aegis行为检测功能可以检测部分的勒索软件加密行为,并能够对未知勒索软件的防御起到积极作用。
网络:勒索软件也可能通过其他网络协议进入企业网络进行散播,因此,企业最好部署能够对所有网络流量、端口和协议进行高级侦测的网络安全防护系统,来阻止其渗透和蔓延。
服务器:通过虚拟补丁防护方案,来确保任何尚未修补漏洞的服务器,有效防范“零日攻击”。
网关:在网关层面进行有效拦截,是企业最经济型的防御体系。亚信安全深度威胁安全网关Deep Edge具有极其简洁的部署和管理方式,但却包含了最重要的勒索软件攻击抑制能力。其拥有专门针对加密勒索软件、C&C违规外联及可疑高级恶意程序的监控窗口,还改进了和亚信安全深度威胁发现设备(TDA)及亚信安全深度威胁分析设备(DDAN)的产品联动,能够通侦测、分析和拦截功能的融合,建立针对加密勒索软件攻击路径的有效“抑制点”。