凛冬将至 勒索病毒“坏兔子”如同异鬼来袭

2017-10-31

安克诺斯 数据保护 网络安全

“凛冬将至”,相信喜欢《权利的游戏》的人对这句话一定不陌生,这是史塔克家族的族语,似乎很多人碰到险恶的处境时,都喜欢说这句话。“凛冬将至,暗夜无边”,给人一种透骨的孤独与绝望之感。提起寒冬,曾记得小学语文课本里有一篇《寒号鸟》的文章。故事讲得是:冬天来了,树叶干枯凋零了,天气越来越冷。寒号鸟的邻居喜鹊在每个稍暖的早晨就早早出门盖房子,而寒号鸟总在温暖的阳光下享受。大雪纷飞,它错过了一个个盖房的机会,在“哆罗罗,哆罗罗,寒风冷死我,明天就垒窝”的唠叨中,终被冻死了。

很明显这则故事告诉我们要事前准备,长远打算,不要真的拖延到凛冬,或者说灾难到来的那一天才知道后悔未能提前防范。刚说完寒号鸟,又来了一个“坏兔子”,虽说都是动物名字,这只却让人不寒而栗,因为它是最新勒索病毒变种,被称为 Bad Rabbit 的加密勒索软件。

这款软件目前已被广泛认定为 Petya 勒索软件的新变种。截至目前,尚无法确定“坏兔子”攻击活动的幕后黑手。但无论其真实身份如何,几乎可以肯定其属于《权力的游戏》的粉丝,其源码中包含了很多《权利的游戏》中的角色名,如 Grayworm。此外,该勒索软件设定的三个任务名就叫 Drogon,Rhaega l和 Viserion,这是权游中的三条龙的名字。

从 WannaCry 到 Petya,再到 Bad Rabbit,接二连三的勒索病毒如同异鬼(权游中永冬之地的恶毒生物)来袭,凛冬将至,对勒索病毒来说如同探囊取物般的数据到底面临怎样的命运?

从数据丢失情况来看,目前,主要在俄罗斯和乌克兰的东欧,以及保加利亚,德国和土耳其等地的数十个政治,媒体,交通运输等目标受到一系列的勒索软件感染。对部分计算机信息进行加密的勒索软件为 Diskcoder.D—— Petya 勒索软件的一个全新变种。这种文件加密型恶意软件自今年6月起已经开始影响到全球范围内的多家组织机构。Bad Rabbit 勒索病毒通过一些俄语系的新闻网站进行挂马传播,当中招者访问这些被挂马的网站,浏览器就会弹出伪装的 Adobe flash player 升级的对话框,一旦用户点击了“安装”按钮,就会自动下载勒索病毒。值得注意的是,Bad Rabbit 还是一种磁盘编码器,和 Petya 及 NotPetya 类似。Bad Rabbit 首先加密用户计算机上的文件,然后替换掉 MBR(主引导记录)。完成以上任务之后,它会重启用户电脑,而此时,用户电脑的 MBR 也被写入了勒索提示信息。用户需要使用特定的浏览器访问一个暗网链接才能获得解锁用的密钥。初始赎金为0.05 比特币(约280美元),随时间的推移会进一步增加赎金。

恶意软件的攻击和防御,不断地在演变。正如我们所担忧的那样,当备份被证明可以有效、可靠地防护勒索软件后,网络犯罪分子也开始研发可以攻击备份数据的勒索软件变种。然而,据防病毒独立测试机构 NioGuard Security Lab 最新的报告指出,绝大多数的防恶意软件解决方案尚未准备好抵御新一代勒索软件攻击的措施。

而在安克诺斯最新推出的 Acronis Active Protection 中,创新结合了机器学习技术,将人工智能应用到了防勒索领域,简单地说,它会通过分析良性和恶意软件样本,找出恶意软件中可能会出现的因素组合。遭遇新软件时,该系统会计算其是恶意软件的概率,根据既定阈值进行屏蔽或放行。若有恶意软件潜入,只需调整计算或重设阈值即可,所以即使恶意分子发现新的漏洞或另外可以渗透系统的方法,机器学习将检测恶意软件的进程并停止。

因此,任何包含 Acronis Active Protection 的产品均能够抵御 Bad Rabbit 的进攻,如 Acronis True Image 和 Acronis Backup 12.5 能够实时监控并阻止威胁,并在几秒钟内恢复受损数据。

上图为 Acronis Active Protection 保护 Master Boot Record(MBR)

上图为 Acronis Active Protection 监测并阻止 Bad Rabbit 勒索病毒

网络犯罪份子为了阻止用户恢复系统,正在将攻击目标不断地瞄准备份文件,而安克诺斯基于人工智能的技术的出现给他们了一个沉重的打击。事实证明,这是一款结合备份和安全的最全面的数据保护解决方案,是目前市场中独有而无法比拟的备份产品。

最后,面对勒索病毒,我们想说:

你过来啊

关于安克诺斯

通过AnyData引擎驱动的技术,以及优秀的镜像技术,安克诺斯能够为所有文件、应用程序和操作系统提供在任何环境下(包括虚拟,物理,云和移动环境)方便、完整、安全的备份服务。

公司成立于2002年,安克诺斯为全球超过145个国家的500万个人用户及50万家企业用户提供数据保护服务。拥有超过100项专利,安克诺斯产品被Network Computing、TechTarget和IT Professional 评为年度最佳产品。其产品涵盖众多功能,包括迁移,克隆和复制等。