主要感染方式是带有恶意附件的网络钓鱼电子邮件。这些电子邮件旨在模仿合法企业的外观以及虚假的 FedEx 和 UPS 跟踪通知。
图片
攻击者伪装 CryptoLocker 附件,诱骗毫无戒心的用户单击激活攻击的电子邮件附件。然后受害者必须支付赎金才能解密他们的文件。CryptoLocker 在 2013 年 9 月上旬至 2014 年 5 月下旬期间传播。[2]
历史
CryptoLocker 勒索软件攻击发生在 2013 年 9 月 5 日至 2014 年 5 月下旬之间。它被识别为特洛伊木马病毒(伪装成无害的恶意代码),针对运行多个版本的 Windows 操作系统的计算机。它通过旨在模仿合法企业外观的虚假电子邮件以及虚假的 FedEx 和 UPS 跟踪通知来访问目标计算机。
一旦计算机被感染,CryptoLocker 删除就成为一项艰巨的任务,因为该病毒会发现并加密位于共享网络驱动器、USB 驱动器、外部硬盘驱动器、网络文件共享甚至某些云存储驱动器中的文件。截至 2013 年 11 月初,CryptoLocker恶意软件已感染约 34,000 台计算机,其中大部分位于英语国家。[3]
2014 年为此发布了免费加密工具。但各种报告表明 CryptoLocker 勒索了超过 2700 万美元。[4]
预防
US-CERT 建议用户通过对重要文件进行例行备份并离线存储备份来防止 CryptoLocker 勒索软件。用户还应该维护最新的防病毒软件,并让操作系统和软件保持最新的补丁。
用户也不应该点击电子邮件中未经请求的网络链接,并在打开电子邮件附件时务必小心。并且,一如既往,在浏览网页时遵循安全做法。[5]
删除密码锁
一旦您的用户检测到勒索软件需求或病毒,他们应该立即断开网络连接。如果可能,他们应该将一直使用的计算机带到 IT 部门。只有 IT 安全团队才应尝试重新启动。
您的回应的核心是是否支付赎金。该决定应基于攻击类型、网络中的哪些人受到了威胁,以及受感染帐户的持有者拥有哪些网络权限。[6]
Cryptolocker 勒索软件攻击是一种犯罪行为,如果组织成为受害者,应致电执法部门。取证技术人员可以确保系统不会以其他方式受到损害,收集信息以更好地保护组织的未来,并尝试追踪攻击者。
有时,安全研究人员会提供可以免费解锁文件的解密器,但它们并不总是可用,并且不适用于所有勒索软件攻击。
如果组织遵循最佳实践并维护系统备份,他们可以快速恢复系统并恢复正常的工作操作。[4]
[1] 美国计算机应急准备小组 (US-CERT),“ CryptoLocker 勒索软件感染”
[2] Dan Goodin (Ars Technica)。“你被感染了——如果你想再次看到你的数据,请支付 300 美元的比特币”
[3] Ryan Naraine (SecurityWeek)。“ CryptoLocker 感染呈上升趋势”
[4] Proofpoint。“勒索软件是大生意”
[5] US-CERT。“ CryptoLocker 勒索软件感染”
[6] Proofpoint。《勒索软件生存指南》