故事分享 | 来自勒索病毒的暴击

2017-07-10

安克诺斯 数据保护 网络安全

我是Tom,是一家中型的制造公司的软件应用专家,我公司共有150多名员工,我负责公司的企业资源计划(ERP)应用程序以及其他大多数的日常软件,主要包括ERP相关业务流程的实现、配置、管理、订制报告、用户培训和支持。

不寻常的一天

事情就这样发生在最平常的工作日清晨。原本一切工作都在有序地进行着,咖啡、早间音乐,检查电子邮件和开始日常工作生活……直到我们的电话突然被打爆,电子邮箱开始被邮件塞满。这一切都发生的如此突然。显然发生了一件重要的事,生产车间,负责制造的同事突然发现产品图纸没有了。质量和工程部门在尝试从共享的网络驱动器中打开Excel文件时,不断弹出Windows错误的对话框。

很快我们意识到了我们已经被勒索软件攻击了,因为我们共享的很多文件已经被重命名了,还有一些文件无法打开。我们马上需要做的是找到并禁用可疑的工作站。

停下来深呼吸

冷静过后,我开始思考如何找回被加密的文件。然后我们想到了备份。这将是解决这个问题最快、最简单的方案。我们曾在NAS 设备上对所有共享的网络驱动器进行了夜间备份。用户工作站并没有备份,但是庆幸没有存储太多的东西,我们也就无需担忧这部分的损失。

我们当时所用的备份软件性能并不是很好,但就当时的情况来说,有总比没有要好。我的同事开始梳理备份文件并启动恢复。这个过程棒极了,然而没有想到的是,最后的恢复并没有成功。显然,备份的可用性未得到验证,并且在前六个月中从未成功完成过。

我们没有有效的恢复计划

下面来说说损坏的严重程度。由于加密的文件重命名是一致的,所以我们能够通过Windows的搜索来看看有多少损害的文件。刚刚开始时,一千个文件出现了,然后是五千个,两万个,五万个,最后竟超过了十万个文件。在如此糟糕的情况下,显然支付赎金将是我们最好的选择。

赎金的金额将近4000美元的比特币,对于一个没有比特币账户和没有任何比特币交易经验的人来说,这是一个令人惊讶,又令人沮丧的挑战。绝望过后,我们最终还是找到本地黑市比特币市场中一个独立经销商。

整个过程充满了财务风险,因为我们的网络上有大量的财务及相关的珍贵数据。在向黑客支付了赎金之后,另一件危险的事情是看着黑客的解密工具在我们的网络上运行,而不知道它到底在干什么,而且我们发现有上百个文件并没有被解密。

我们究竟为何遭受到勒索病毒的袭击?结果是由于一个用户收到了一封附有附加链接的PDF电子邮件。这个PDF看起来像是一个完全合法的发票或是报价请求,因此用户在点击文档中的链接时犯下了这个严重的错误。

事情变得越来越糟糕

猜猜结果怎样?我们面临着更糟糕的局面。我们开始备份验证的工作,却在四周后经历了其他的类似攻击。这第二次攻击袭击了我们NAS设备上的备份文件,同时对它们进行了加密。这是我们甚至没有意识到的问题!我都能想到比特币经销商的人在面对我们第二次兑换时的对我们的嘲笑。

第二次的攻击是由某人通过一个Windows 远程桌面连接登陆到我们服务器时引起。我们的解密脚本存在问题(当然,我们之后也为此进行了支付),因为它不支持我们所拥有的操作系统。我开始回忆起我们第一次运行解密脚本的时候。这似乎有些巧合,“第二黑客”可以轻易地进入我们的网络,而且还知道如何进入我们的安全NAS。

这几次的攻击让我们损失了价值数十万美元,同时也使我们在同事、客户和供应商眼里变得愚蠢又无能。此外,我们花费了近8000美元的勒索费,这无疑帮助了这些黑客继续延续这些恶意攻击。清理工作花费了我们一整夜的工作时间。同时,还给公司的领导层带来了很多麻烦。

吸取的教训

最后,我们学到了一些非常重要的经验教训。我们选择了专业、可靠且性能强大的安克诺斯备份软件来保护我们的数据,维护生产过程稳定,它为我们减轻了很多的压力,因为它拥有可抵御勒索攻击的 Active Protection 创新技术,可在Windows计算机上实时监控用户数据,防止未经授权的修改,并且有效地阻止恶意分子攻击产品本身。还可将重要的数据和系统镜像备份到“安全区”内,并且我们还运行了一款具有多安全层级保护的新型防火墙,预防勒索病毒侵袭。

现实的工作中所面临着的这些威胁与漏洞让我们惊醒。我知道我们不是唯一的一家自认为备份工作做得很好的公司。我们大多数人都超负荷工作,所以很容易把备份放到我们优先级列表的最底部。然而,这次教训过后,我们懂得了积极主动的对未发生的灾难做出准备要比事后做弥补容易得多,从金钱和时间上来说,需要的成本也少得多。

关于安克诺斯

通过AnyData引擎驱动的技术,以及优秀的镜像技术,安克诺斯能够为所有文件、应用程序和操作系统提供在任何环境下(包括虚拟,物理,云和移动环境)方便、完整、安全的备份服务。

公司成立于2002年,安克诺斯为全球超过145个国家的500万个人用户及50万家企业用户提供数据保护服务。拥有超过100项专利,安克诺斯产品被Network Computing、TechTarget和IT Professional 评为年度最佳产品。其产品涵盖众多功能,包括迁移,克隆和复制等。