首頁 > 最新消息 >Sophos提出協助企業防範加密勒索軟體的實務建議報告

最新消息

2016-03-16

Sophos提出協助企業防範加密勒索軟體的實務建議報告


由達友科技代理的 Sophos 資安大廠,新出爐一份文章,針對目前日益猖獗的加密勒索軟體,例如 Cryptowall, TeslaCrypt 以及 Locky...等,提供防範的實務建議。完整的建議報告請按此下載

 

目前的加密勒索軟體,其感染的過程與情境,大多是如下的流程:

1. 使用者收到釣魚的電子郵件,透過偽造的寄件人與社交工程情蒐的內容,讓收件者更容易相信,並引誘點開其中的附件或超連結。

2. 這些釣魚郵件透過一系列的技術,來規避既有的 SPAM 垃圾過濾、Anti-Virus防毒、IPS 等防護機制檢查。

3. 郵件的附件可能是 MS WORD 或 EXCEL 含有惡意巨集或軟體漏洞的利用(如Exploit Kit)。因此使用者開啟後,惡意程式會驅動,並連線到預藏的網址去下載更多的惡意程式下來並驅動執行。

4. 惡意程式會嘗試連到 C&C 中繼站,回傳該受害者的相關系統訊息,並依此產生獨一無二的加密用公開金鑰(Public Key),並下載使用。

5. 掃描本地硬碟中或網路芳鄰的各種文件檔案,並用取得的 Public Key 加密取代。

6. 刪除作業系統內建的自動備份(Shadow Copy),以避免讓使用者可以自行恢復文件的機會。

7. 在使用者電腦桌面中,顯示勒索警告訊息,並提示贖金交付方法。為躲避追查,一般是指示以彼特幣(BitCoin) 來交付。金額落於新台幣 7000~17000 不等(美金 200~500)。並且限時72小時之內繳付贖金,否則就永久無法解密。

 

文件中也說明了,為何這類的攻擊會如此成功?

1. 採用了一系列複雜與先進的技術

2. 公司的資安與防護意識之不足,包含

  ● 沒有資料或不足夠的備份(無法即時備份,備份沒有離線..)

  ● 作業系統或應用程式沒有定期修補、更新

  ● 使用者具有過高的本地管理者權限,甚至在網路芳鄰中具備有過高的權限,可以存取大部分目錄與文件

  ● 缺乏資安意識,這些可疑的文件與連結也都輕易點開

  ● 必要資安防護系統沒有佈署,或者沒有適當的設定

  ● 便宜行事(明知一些作法不安全,但這樣做比較省事)

文中並提及如何透過 Sophos 一系列的產品進行縱深防禦,並對各產品提供建議的安全設定。包含 Sophos Endpoint Protection, Sophos Email Appliance (Email Gateway), Sophos UTM (含 Web Gateway, 防火牆, IPS) 等。

 

 

達友科技股份有限公司 版權所有 Copyright ©2015 Docutek Solutions , Inc.