DearCry 勒索軟體如何運作?
2021 年 3 月,微軟發布了針對Microsoft Exchange 伺服器內四個關鍵脆弱性的修補程式。 這些脆弱性在各種攻擊活動中被積極利用。 DearCry 是一種勒索軟體變體,旨在利用這些易受攻擊的 Microsoft Exchange 伺服器。
此惡意軟體執行磁碟機枚舉,以識別受感染電腦的所有可存取儲存媒體。 對於每個驅動器,DearCry 勒索軟體將使用 AES 和 RSA-2048 加密某些類型的檔案(基於檔案副檔名)。 加密完成後,DearCry 將顯示勒索字條,指示使用者向勒索軟體操作者發送電子郵件以了解如何解密其電腦。
如何防範 DearCry 勒索軟體
當 DearCry 贖金字條顯示時,損害已經造成。 應對 DearCry(或任何類型的勒索軟體)的最佳方法是在資料加密開始之前檢測並阻止勒索軟體。
部署反勒索軟體保護是實現這一目標的最有效方法。 Check Point 的威脅模擬等工具使用行為分析來識別勒索軟體攻擊的警告訊號,使用戶能夠在造成任何損害之前修復威脅。 由於所有勒索軟體都需要執行某些操作(例如加密檔案)來實現其目標,因此這種方法對所有類型的勒索軟體都有效。
然而,針對特定類型勒索軟體的保護有助於提高組織回應的速度和有效性。 除了針對勒索軟體的通用威脅模擬防護(成功阻止 DearCry)之外,Check Point 還針對以下產品發布了兩種專用防護:
這些專用檢測工具可以更快、更輕鬆地檢測和根除組織系統上潛在的 DearCry 感染。
勒索軟體預防最佳實踐
為了防禦 DearCry 勒索軟體,有針對性的保護(如威脅模擬和 Harmony 端點中部署的保護)是針對主動攻擊的最有效的解決方案。 更通用的勒索軟體防護也可以偵測到這種威脅,對於識別和阻止零時差勒索軟體攻擊至關重要。
然而,組織應該實施深度防禦,以最大限度地減少勒索軟體攻擊的潛在成本和影響。 預防勒索軟體的一些最佳實踐包括:
- 修補程式管理: DearCry 勒索軟體利用了 Microsoft Exchange 伺服器中的關鍵脆弱性。 保持裝置的補丁和最新狀態對於最大限度地減少攻擊者可以利用的潛在進入向量至關重要。
- 員工教育:勒索軟體通常透過網路釣魚和其他利用員工的技術來傳播。 培訓員工識別並正確應對這些類型的攻擊可以顯著降低組織遭受勒索軟體和其他類型攻擊的風險。
- 電子郵件安全:電子郵件是所有類型惡意軟體(包括勒索軟體)的主要感染媒介。 電子郵件安全解決方案可以使用機器學習和沙箱模擬在電子郵件到達使用者收件匣之前識別並刪除電子郵件中的惡意內容。
- 安全遠端存取: COVID-19 大流行使虛擬私人網路 (VPN) 和遠端桌面協定 (RDP) 成為最受歡迎的勒索軟體交付機制。 保護組織的遠端工作基礎設施可以幫助阻止這種潛在的攻擊媒介。
- 端點資安:勒索軟體可以透過多種媒體傳播。 端點資安解決方案能夠偵測和阻止勒索軟體和其他類型的惡意內容,有助於最大限度地減少組織面臨這些威脅的風險。
使用 Check Point 阻止勒索軟體攻擊
勒索軟體威脅情勢不斷演變。 DearCry 是已存在多年的威脅的最新版本之一,它利用了最近在廣泛使用的產品中發現的脆弱性。 組織需要有針對性的反勒索軟體解決方案,能夠跟上並減輕最新的勒索軟體威脅。
勒索軟體攻擊端點,因此端點應該是任何反勒索軟體策略的重點。 Check Point 的 Harmony 端點是一個完整的端點資安解決方案,可提供針對勒索軟體的全面保護,包括基於一般行為的偵測和針對特定變體的保護。
其威脅搜尋支援(映射到 MITRE ATT&CK 框架)也使組織的安全團隊能夠主動搜尋和調查其網路內的潛在威脅和入侵。 要了解有關使用 Harmony 端點進行威脅追蹤的更多信息,請查看此演練。
Harmony 端點提供 DearCry 勒索軟體等威脅的全面保護。 要了解有關其功能的更多信息,請查看此產品之旅。 也歡迎您索取個人化演示,親自體驗 Harmony 端點的強大功能。
反映意見