新科技速遞
全球勒索病毒Ransomware攻擊再創新高。上月,著名勒索病毒Ryuk出現了新變種,並且入侵美國海事管理機構。據美國海事防衛隊公佈,該次入侵源頭是釣魚郵件,並且加密該海事機構所有檔案,無使用重要檔案。
Ryuk攻擊後美國港口控制貨運轉運工業系統,停頓了超過30小時。Ryuk病毒也在聖誕節期間攻擊了全球數家零售連鎖,導致大量系統無法營運。
今年7月,英國的網絡及基建保安局已發出有關勒索病毒的預防通告。不過Ryuk的加密法會令大型檔案完全無法復修,即使受害者付了贖金,也無法復修。不過Ryuk也有新的加進版,遇到Windows內的Linux檔案,就不會加密,以免即使用戶交了贖金,亦無法取回檔案。
據說Ryuk是俄羅斯黑客組織Grim Spider運營,針對大型企業及組織進行針對性攻擊,最初也是靠釣魚軟件,後來改以Emotet或TrickBot等惡意軟件,以銀行木馬等假網站傳播。
Ryuk以網絡攻擊傳播,甚至針對企業進行零日攻擊,不是只靠釣魚軟件,較難以防範,勒索目標也只集中有能力支付贖金的企業。Ryuk變成商業化模式經營,有專業的營運模式,甚至售後服務,但贖金相對為高。
現在勒索病毒趨勢,已從普通用戶轉向大型企業和政府機構。多份安全報告均顯示,從2018年6月迄今,全球針對企業的勒索攻擊,增加超過3.5倍。
一般而言,攻擊愈高明,贖金愈高。Sodinokibi勒索病毒贖金在3個比特幣(大約2萬美元)起;Ryuk勒索病毒則叫價15個比特幣(大約10萬美元)起;問題是付贖金後能否取回數據,又是另一疑問。
市場上對付勒索病毒,主要還靠數據備份和虛擬化,今年的勒索病毒一度回落,但Ryuk加強版和Sodinokibi等出現,近期再度活躍。
以備份保護數據,仍然會有一段時間數據損失,恢復數據仍要一段時間,引起業務停頓,美國FilingBox Mega推出的FilingBox NAS,專門針對勒索病毒,儲存數據自動改成唯讀模式,情況就有如將所有數據燒錄在光碟一樣,不能隨便修改。如果用戶修改檔案,必須在Windows Explorer打開,或以新名字命名檔案,用戶也不能以DOS指令修改或刪除。
FilingBox之所以可以保護數據,因為只容許特定應用打開檔案,並且由指定應用才能將檔案,從唯讀切換為可修改甚至刪除。一般勒索病毒以Full Disk Encryption (FDE),即使系統人員在作業水平控制應用如何存取檔案,也無法遏止攻擊。
其他保護方式包括放在白名單上的應用,才能有修改數據權限,每次有新應用加入,系統人員又要修改白名單,非常不便。FilingBox檔案系統屬於網絡儲存,用戶毋須要管理白名單,檔案儲存在FilingBox內,自動變成唯讀,比較方便,管理工作也較少。