Sophos对于如何方法locky恶意软件的一些建议
首先我们先简单的剖析一次关于locky的攻击模式:
1.会受到一封包含附件的电子邮件。
(1)这个附件看起来像是正规文档;
(2)这个文件会建议你在(资料编码不正确时,启用巨集);
(3)犯罪分子会要求您点击上方选项按钮。
2.当按下[选项]按钮之后,locky就会开始在电脑上执行
3.当其准备好向您勒索赎金时,会改变您电脑的桌面图案。
要求的形式可能有所不同,但是结果是一样的。
Locky与其家族:CTBlocker、Teslacrypt、CryptoWall、TorrentLocker。
案例截图:
两种主要攻击渠道
1.垃圾邮件(通过社交工具)
(1)看似正常的发件人;
(2)含有如“发票,包裹送货单”等附件;
(3)附件包含内嵌巨集;
(4)当打开附件时,巨集会下载并执行勒索软件并自动安装;
(5)Locky·TorrentLocker与CTB-Locker所使用。
2.入侵程式套件
(1)用来轻松产生可入侵已知或位置弱点的黑市工具;
(2)经常锁定网页浏览器用户端的弱点;
(3)CryptoWall、TeslaCrypt、CryVault、TreatFinder所使用。
剖析一次攻击方式
进入:来自被劫持网站的偷渡式下在,或是内涵恶意链接的电子邮件;
散布:一开始恶意软件会根据系统环境(Windows/MAC、IE/Safari、Java等)进行转
向;
入侵程式:入侵程式套件会试图利用一些系统的弱点;
感染:下载一个恶意程序;
执行:恶意软件会回传敏感资料;
Sophos深度防御的预防政策
1.进入层级:阻挡不请自来的未知网站、阻挡网页和电子邮件中的恶意网站、控制工作效率
和频率;
2.散布:跟上攻击者技术的发展;
3.入侵程式:实施一个最小化的标准网页应用程式浏览器。PDF阅读器和Java等;定期安
装补丁,保持更新;
4.感染:最后一道防线,端点防护与HIPS活动信号;
5.执行:采用进阶型微信防护来找出并组织网络上受到感染的系统继续备份资料,一遍阻断
感染病毒的进一步传播。
防护恶意软件,安全人员必须要做的事:
1.部署防护保护;
2.阻挡垃圾邮件;
3.使用沙箱解决方案;
4.阻挡高风险的文件;
5.使用URL筛选;
6.使用HTTPS筛选;
7.使用主机型入侵防护服务;
8.启用用户端防火墙;
9.使用应用程式控制。
预防恶意软件的最佳做法:
1.定期备份并在本地随时保持一份最新的备份复件;
2.不要启动电子邮件附件中的巨集;
3.小心未知来源邮件附件;
4.不要给用户超过其所需权限的登录授权;
5.安装Microsoftoffice监视器;
6.经常修复补丁,保持版本更新;
7.正确安装安全防护产品。
其他方面
1.员工警觉性培训;
2.加密公司资料;
3.使用安全分析工具,随时监测。
OTPUB领先IT学习
|
|
