勒索软件攻击的早期迹象可能取决于攻击是自动的还是人为操作的。以下是在您的系统上需要注意的事项。尽管人们经常将勒索软件攻击视为“刚刚发生”的事情之一,但通常有警告迹象表明勒索软件攻击正在进行中。在本文中,我将分享几个可用于检测系统感染的勒索软件指标。
自动勒索软件与人工勒索软件
作为背景,重要的是要了解勒索软件通常分为两类:自动和人工操作。
自动勒索软件感染往往会给个人带来问题。这些类型的攻击纯粹是机会主义的,通常遵循一种模式:用户通过单击链接或附件下载勒索软件,然后勒索软件会加密该人的数据并执行其设计的任何其他操作。最终,勒索软件向用户显示勒索消息。
人为操作的勒索软件要复杂得多。在这种情况下,勒索软件团伙会找到闯入公司网络的方法。一旦进入,该团伙将花费大量 时间研究组织的系统并计划攻击。到该团伙发出赎金要求时,它已经深入了解了该组织的内部运作。我最近听说了一个人为勒索软件的案例,其中攻击者甚至知道受害者的数据保险单的细节(例如,保费、保单福利等)。从最初的违约到发出赎金要求可能需要数周甚至数月的时间。
自动勒索软件的警告信号
当涉及到自动勒索软件时,通常会误认为用户单击链接并立即被感染。每个勒索软件变种都是不同的,但在大多数情况下,受害者不会立即收到赎金要求。
这样做的原因是攻击者希望在发出赎金要求之前造成最大的损害。如果攻击者在攻击开始时提出赎金要求,受害者可以想像会拔掉他们计算机上的插头并阻止攻击,从而最大限度地减少损失。这就是为什么大多数勒索软件攻击者在通知用户感染之前尝试造成损害的原因。这是强迫受害者付款的一种方式。
同样,每个勒索软件变体都是不同的,但用户可以通过发现某些违规行为来检测正在进行的勒索软件攻击的迹象。自动勒索软件攻击的最大迹象是磁盘活动异常激增。请记住,勒索软件将解析每个文件夹以进行数据加密。根据攻击的具体情况,受害者(以及网络上的其他人)也可能会注意到系统变得反应迟钝。
尽管勒索软件攻击曾经只针对受害者的硬盘,但现代勒索软件变种通常也会尝试加密网络共享上的数据。如果组织使用连续数据保护 (CDP)备份技术,备份服务器的活动将急剧增加。CDP 产品设计用于在文件被修改时备份文件(或者更确切地说是构成文件的存储块)。恶意加密过程将修改存储块,从而导致 CDP 备份系统更加努力地跟上所有这些更改。
人为勒索软件的警告信号
人为操作的勒索软件往往比自动勒索软件更难发现。这仅仅是因为攻击发生在数周或数月的时间内。如上所述,这些攻击需要这么长时间的主要原因是攻击者研究了组织及其网络。然而,另一个原因是攻击者故意缓慢移动以避免被发现。即便如此,您仍然可以寻找勒索软件活动的迹象。
一旦攻击者破坏了网络,他们可能会创建一个后门。后门将让他们在需要时重新进入网络。在这种情况下,您应该注意创建新帐户(尤其是特权帐户)。
您还应该注意未经授权的软件安装。MimiKatz、Process Explorer、PC Hunter 或其他黑客工具的存在是你受到攻击的一个致命的赠品。
勒索软件攻击的另一个迹象是,通常行为正常的系统是否突然出现故障。如前所述,攻击者的目标是造成最大伤害并尽可能长时间地避免被发现。因此,攻击者可能会尝试关闭与安全相关的服务或篡改备份。如果您发现与安全相关的服务无缘无故地不断关闭,那么是时候让您的安全团队立即参与进来了。同样,如果您一直可靠的备份应用程序突然开始产生大量错误,您不应该认为这只是故障。攻击者通常会尝试禁用或破坏组织的备份,以迫使他们支付赎金。
当然,任何类型的与黑客相关的活动都可能表明勒索软件攻击正在进行中。来自网络内部的端口扫描以及访问网络共享或基础设施设备的失败尝试都可能表明即将发生攻击。