应用Canary文件类型阻击勒索软件
针对勒索软件,备份供应商通常都会这样建议用户:“只需将系统回滚至感染发生前的那一刻,你就能在几秒钟内恢复业务运营。”但是问题是我们怎么断定感染发生在哪个具体时刻。
今天的勒索软件正试图让感染更加难以检测,从而最大幅度地提升收入。典型的感染并不是立即展现出来的,而需要有一段间隔时间,然后慢慢进行破坏。Canary文件类型是防止勒索软件的方式之一,能够在攻击渗透到网络中时迅速通知到用户。
勒索软件攻防战的演变
早期的勒索软件会尽可能快的将一切数据加密,在有人反应之前产生更大的破坏。这时应用程序会立即停止工作,但是快速攻击使得感染点更容易被检测到,通常是未打补丁的桌面。
一些聪明的企业会让他们的员工关闭电脑以减少感染的传播。备份供应商和他们的客户擅长应对这类感染。许多支持虚拟化的备份技术可以还原至最近一次备份点。这些虚拟机的回滚恢复非常迅速,并且所恢复的是整个虚拟机,而非单个文件。因此许多企业组织能够在几分钟时间内根除勒索软件造成的感染。快速检测和恢复操作可以完全取代赎金。于是,勒索软件作者开始注意并改变其软件工作模式。
今天的攻击变得更为隐蔽,因此针对这类攻击需要更为复杂的保护措施。攻击或许只能封印其找到的备份文件,然后将其进行压缩。这样做的目的是在程序被检测出之前尽可能长时间的进行封印。假如用户需要一段时间才注意到有价值的文件遭到恶意加密,那么回滚操作便会更为困难。例如,假如我们需要将完整虚拟机恢复至一小时之前,那么在此期间所有的生产数据都将丢失。而如果我们要恢复一周之前的虚拟机,那么这便是一个天大的问题了。我们或许要识别出每个受感染的文件,仅将其逐一恢复,找到和选择性恢复过程非常艰难,而且通常需要手动完成。
恢复到一周前的数据,或者等待一周的时间来恢复正确的文件,这样都需要耗费大量的工作。在这种情况下,只用乖乖缴纳赎金便变得更有吸引力。勒索软件潜伏在你的环境中的时间越长,你支付赎金的概率便越大。
Canary文件类型:快速检测感染
打击这种潜伏模式的方式之一是尽可能快地发现感染。Canary文件类型能够快速识别出感染的发生,有助于抑制勒索软件。Canary文件类型就像是煤矿中的金丝雀:通过牺牲自己来测试出危险。Canary共享文件类型成为了检测勒索软件感染的诱饵,但其数据对企业并无价值。该共享文件类型仅用于快速的感染检测。
通常来说,文件的共享文件夹会和企业的实际数据混合存放。反恶意软件会观测Canary文件。紧盯住少量的Canary文件比追踪企业组织中每个共享文件夹中的每个文件要容易许多。普通用户和应用进程永远不会接触到Canary文件。假如该文件出现任何更改,那么出现恶意软件的几率就大幅上升。变更文件的更新时间戳、文件大小、文件名或检验码都意味着其已遭篡改。
由于这些文件永远不会被真实的用户访问,任何读写操作都代表着威胁的出现。Canary文件甚至会被文件扫描操作触发,因为真正的用户通常不会连接到它们。一旦出现可以访问,检测系统就可以进入主动模式,并开始隔离系统。经过快速检测,对整个虚拟机进行恢复的影响减弱许多。
更复杂的Canary系统甚至会对自身进行修改。由于恶意软件开发者被迫在其行动中变得更为隐蔽,以提防“金丝雀”。许多具有相同文件创造和最后访问日期的文件会被恶意软件认识到是红色禁区,因此看起来更像真实用户访问数据的金丝雀文件类型将更为有效。这些文件应该定期更新、创造新的文件,而文件访问日期戳在共享文件和文件夹中都应是不同的。
应用Canary文件类型阻击勒索软件相关推荐
- 如何看exe文件源代码_杀进程、删文件...看新型勒索软件RobbinHood如何干掉杀毒软件...
网络安全公司Sophos于近日发文称,该公司旗下研究安全团队日前发现了一种此前从未被公开披露过的勒索软件,并将其命名为"RobbinHood". 文章指出,这种新型勒索软件不仅能够 ...
- 勒索软件好多都使用恶意LNK链接文件欺骗用户 来看趋势科技分析新型LNK-PowerShell攻击...
当你在桌面或者邮件中看到一个熟悉的图标快捷方式,你估计不会想到一个1.2K的文件,就足以让你中招勒索软件.本文就是给你展示这么小的文件中,会包含多少恶意信息.在文章的开头,先让我们来看两个概念,Lnk ...
- 赛门铁克发布针对WannaCry勒索软件的更新预警
赛门铁克发现两个WannaCry勒索软件与Lazarus犯罪团伙的潜在联系: 已知的Lazarus使用工具和WannaCry勒索软件共同出现:赛门铁克发现,Lazarus组织在设备上使用的专有工具同时 ...
- 【翻译】旧技术成就新勒索软件,Petya添加蠕虫特性
原文链接:https://blogs.technet.microsoft.com/mmpc/2017/06/27/new-ransomware-old-techniques-petya-adds-wo ...
- ESET最近发现了一款新的Android勒索软件,它通过向受害者的手机的联系人列表发送恶意短信继续传播
最近ESET研究人员发现了一个新的Android勒索软件家族,它们试图通过向受害者的手机的联系人列表发送恶意短信继续传播. 在Android勒索软件遭遇两年的衰退之后,一个新的Android勒索软件家 ...
- 全方位解析俄语系勒索软件的生态系统
本文讲的是全方位解析俄语系勒索软件的生态系统, 勒索软件的发家史 毫无疑问,近两年,以敲诈勒索为目的的文件加密恶意软件逐渐成为恶意软件中的主力军,勒索软件是当今网络攻击中一种最主要的攻击工具,对政府组 ...
- 解读全球最严重的5起勒索软件攻击
本文讲的是解读全球最严重的5起勒索软件攻击, 在最近几年间,说起令人厌烦的软件攻击类型,勒索软件已经成为不容忽视的一种存在了. 所谓勒索软件其实就是一种恶意软件,可以感染设备.网络与数据中心并使其瘫痪 ...
- Android勒索软件研究报告
360安全卫士 · 2016/04/13 9:14 Author:360移动安全团队 0x00 摘要 手机勒索软件是一种通过锁住用户移动设备,使用户无法正常使用设备,并以此胁迫用户支付解锁费用的恶意软 ...
- 2023年七大最佳勒索软件解密工具
勒索软件是当下最恶毒且增长最快的网络威胁之一.作为一种危险的恶意软件,它会对文件进行加密且无法破解,并用其进行勒索来换取报酬,很多企业都遭受到了类似威胁,之前某士康几十亿勒索的案例相信大家应该听过. ...
最新文章
- centos php fpm 内存,CentOS下yum安装PHP-配置php-fpm服务
- 第一章 计算机系统概述 1.2.3 计算机的多级层次结构 [计算机组成原理笔记]
- 项目人力资源管理重点梳理
- 算法时间复杂度分析专题一(帮助快速解题)
- python char 相等_用 Python 实现 Excel文本函数
- 斗鱼赴美上市 穷途末路还是绝处逢生?
- nina数据库的采样频率_急求!!!什么是时域采样定理和频域采样定理?
- ssl2206 最小花费
- 开放式社区?太小儿科了,智慧城市才是重点
- python写诗代码_牛逼了,用Python写个会做诗的机器人
- PS进阶篇——如何PS软件给图片部分位置打马赛克(四)
- iOS安全逆向之旅---逆向基本知识概要介绍
- Java高频面试题(2022) - Java、Mysql、JUC、JVM、SSM
- Java爬虫爬取wallhaven的图片
- [VB.NET源码]学习教程(PDF)
- 即刻app 点赞效果实现
- 项目管理探究之挣值管理常见计算
- 数学分析教程史济怀练习7.1
- 百胜图Barsetto自助咖啡机畅享咖啡新生活
- 净水器市场,300亿体量就到头了?