網(wǎng)絡(luò)威脅聯(lián)盟(CTA)進(jìn)行了關(guān)于Crytowall 3.0勒索軟件攻擊的一項(xiàng)研究，研究表明該攻擊非常有利可圖，不過(guò)專(zhuān)家講還是有方法可以緩解該風(fēng)險(xiǎn)的。

[[155004]]

CTA是去年成立的一個(gè)行業(yè)組織，成員包括Intel安全、Palo Alto Networks、Fortinet以及Symantec，旨在研究新興網(wǎng)絡(luò)威脅。在就Cryptowall 3.0進(jìn)行的研究中，CTA發(fā)現(xiàn)與勒索軟件相關(guān)有4046種惡意軟件樣本、839個(gè)指令和控制URL、49個(gè)活動(dòng)的代碼標(biāo)識(shí)符，406887次嘗試攻擊并預(yù)估造成3.25億美元的損失。

研究發(fā)現(xiàn)網(wǎng)絡(luò)釣魚(yú)攻擊是在感染向量中占了三分之二，剩下的為利用套件。整體損失相當(dāng)大，而個(gè)人的損失也從幾百美元到一千美元不等。

有趣的是，盡管發(fā)現(xiàn)有49個(gè)不同的活動(dòng)代碼ID，CTA稱(chēng)該攻擊活動(dòng)可能源于單一來(lái)源。

“測(cè)驗(yàn)該金融網(wǎng)絡(luò)的結(jié)果表明許多主流的錢(qián)包被共享。進(jìn)一步證實(shí)該觀點(diǎn)的是所有的活動(dòng)，無(wú)論其活動(dòng)ID如何，都由相同的實(shí)體操作。”

FBI波士頓辦公室網(wǎng)絡(luò)和反間諜項(xiàng)目助理特工Joseph Bonavolonta稱(chēng)因?yàn)镃ryptowall使用的加密特別好，通常FBI只是建議人們支付贖金就是了。

賽門(mén)鐵克安全響應(yīng)主管Kevin Haley稱(chēng)，賽門(mén)鐵克強(qiáng)烈建議不要付贖金，雖然不付贖金會(huì)造成極大的損失。

“Cryptowall是目前最賺錢(qián)的勒索軟件之一。一旦染上，它會(huì)將機(jī)器中的文件加密，然后向受害人索要付款以換取密鑰解密，”Haley說(shuō)道。與其他勒索軟件一樣，Cryptowall盯準(zhǔn)機(jī)器上的敏感文件，包括財(cái)務(wù)記錄、業(yè)務(wù)信息、數(shù)據(jù)庫(kù)和個(gè)人/情感內(nèi)容(像照片和稅收文件等)。

專(zhuān)家認(rèn)為，支付贖金會(huì)助長(zhǎng)攻擊者繼續(xù)利用這些伎倆的囂張氣焰，不過(guò)受害者好像除了支付贖金贖回重要的信息外別無(wú)選擇。專(zhuān)家稱(chēng)期待執(zhí)法部門(mén)從犯罪指令和控制服務(wù)器端獲取加密密鑰，并依賴(lài)法律途徑恢復(fù)數(shù)據(jù)的可能性比較小。

當(dāng)然，仍舊可以率先采取一些積極的措施避免麻煩的。

DataGravity產(chǎn)品負(fù)責(zé)人Perry Dickau表示，控制勒索軟件風(fēng)險(xiǎn)的主要方法就是要從教育開(kāi)始。

“Crypto這類(lèi)的病毒通常是通過(guò)網(wǎng)絡(luò)釣魚(yú)郵件觸發(fā)的，企業(yè)理所應(yīng)當(dāng)在培訓(xùn)其員工方面進(jìn)行投入以幫助他們更好地認(rèn)識(shí)到這類(lèi)病毒常用的惡意簽名，”Dickau說(shuō)道。“如果員工能意識(shí)到他們面臨的威脅，識(shí)別出來(lái)它們是什么，就有可能在第一時(shí)間避免上當(dāng)。”

一些專(zhuān)家指出，Windows系統(tǒng)恢復(fù)可以通過(guò)系統(tǒng)的快照和恢復(fù)備份保護(hù)用戶(hù)不受損失。不過(guò)也有人指出，勒索軟件已先下手毀了這些快照，因而這不是一個(gè)萬(wàn)全之策。

Malwarebytes實(shí)驗(yàn)室惡意軟件情報(bào)主管Adam Kujawa表示除了教育，定期建立備份也是緩解這類(lèi)勒索攻擊風(fēng)險(xiǎn)的一個(gè)重要的做法。

“應(yīng)對(duì)這類(lèi)特定的惡意軟件需要用戶(hù)使用在線(xiàn)或云備份，”Kujawa說(shuō)道。“如果用戶(hù)使用加密的云存儲(chǔ)保存?zhèn)€人信息或者一天/一周使用USB這類(lèi)的驅(qū)動(dòng)器備份文件一次，Cryptowall這類(lèi)的惡意軟件可造成的損失則是非常有限的。”