软件|面对勒索软件，备份真的是“万灵丹”？如何实现备份安全？低薪|中薪|勒索软件|灵丹|面对

文章插图
根据恶意软件实验室Emsisoft发布的一份报告显示，2020年第一季度和第二季度成功的勒索软件攻击数量呈大幅下降趋势。
在COVID-19危机期间，美国公共部门成功的勒索软件攻击次数在2020年1月至2020年4月之间有所减少，但这种趋势如今再次出现了逆转。部分原因可能在于解除了限制以及大批员工返岗。
该研究还指出，自去年11月以来，包括DoppelPaymer、REvil / Sodinokibi和NetWalker在内的团体数量一直在稳定增长，它们不再单纯地加密美国公共部门的数据，还会进一步窃取并威胁公开泄露数据。
对此，Emsisoft的首席技术官Fabian Wosar警告称，
“2020年不应该继续步2019年的后尘。对于人员、流程和IT方面进行适当的投资，将导致勒索软件事件的发生率大幅降低，即便真的发生了勒索事件，其影响力以及破坏成本也会低得多。”
黑客声誉潜在利润=更多勒索软件
勒索软件的成功商业模式以及受害者支付的巨额利润，使其受欢迎的程度持续飙升。与其他恶意软件商业模式不同，攻击者会窃取数据，然后在暗网上出售数据；利用勒索软件作为攻击媒介的黑客直接就可以从受害者那里获得赎金。他们通过破坏受害者的网络环境就可以实现这一点，而数字货币（通常是比特币）提供的匿名性也使他们获取报酬的行为成为可能。
此外，针对外行的定制解决方案，例如勒索软件即服务（RaaS）以及自制（DIY）套件，也提供了“开箱即用”的便捷性，利用这些工具发起攻击，进一步推动了勒索软件的增长。
总之，与勒索软件有关的犯罪才刚刚开始，攻击者的潜在利润是巨大的，且还有更多新的领域等待发掘利用。
勒索软件进化论
虽然目前绝大多数勒索软件仍然集中在文件加密（即加密文件，并要求支付赎金解密）上，但仍然出现了一些更为高级的攻击策略，因为一些攻击者已经领悟到，将文件作为“人质”，只是赚钱的一种方法。攻击——无论是通过破坏、窃取还是渗漏——然后要求受害者支付赎金以停止或恢复攻击，很可能才是恶意软件领域的未来。
数据损坏
文件和数据库损坏
目前，最常见的勒索软件攻击类型是使用加密API的文件损坏（加密）。但是，我们也看到了针对MongoDB和MySQL等数据库的损坏攻击。由于数据库通常是组织最敏感数据所在的地方，因此对数据库的勒索软件攻击可能会进一步增加。
请记住，加密只是损坏的一种表现形式。它还可以是：
· 完整的文件清除；
· 删除所有数据库表；
· 任何数据篡改（例如，更改数据库记录）
备份加密或完全清除
作为针对勒索软件的缓解技术，拥有备份非常重要。但是，依赖备份并不是理想的选择——主要是需要花费很多时间才能使系统恢复正常运行（显然，它们无法用作预防机制）。对于员工和客户而言，这种停机时间可能会造成巨大的损失——勒索软件锁定旧金山公共交通售票机就是一个例子。
尽管如此，在勒索软件攻击已经发生后，备份仍然是不错的缓解措施之一。拥有备份的企业也往往选择拒绝支付赎金，也正因如此，一些针对备份的勒索软件攻击开始出现，以最大限度地获得赎金。
如今，多种勒索软件——包括WannaCry和新变种的CryptoLocker都会删除微软Windows操作系统创建的卷影备份——卷影备份是微软Windows为方便恢复提供的简单方式。在 Mac上，攻击者从一开始就把备份作为目标。研究人员发现，2015年功能还不全面的首个Mac勒索软件就已经针对了使用名为时间机器的Mac OS X自动备份流程的磁盘。其机制很直接：加密备份数据以切断企业对勒索软件的控制，迫使他们支付赎金。攻击者越来越倾向于破坏备份。
此外，像SamSam和Ryuk同样是针对备份的勒索软件。去年11月，恶意行为者使用SamSam恶意软件，加密受害者电脑的备份，向包括医院在内的200多名受害者敲诈了3000多万美元。Ryuk则通过一个可以删除影子卷和备份文件的脚本，攻击了包括洛杉矶时报和云托管提供商Data Resolution在内的多个目标。
好消息是，如今，针对备份的勒索软件攻击还大多是偶然的，而不是有针对性的。Booz Allen Hamilton首席技术官David Lavinder表示，根据勒索软件的不同，它通常会通过爬取系统来寻找特定的文件类型，那么如果它遇到了备份文件的扩展名，就一定会加密它。
数据渗漏
数据渗漏这种方式，就像一片尚未发掘的“金矿”在等待恶意行为者。