2019年12月23日 ─ 全球网络及端点安全领导厂商 Sophos 发布了防御者手册How Ransomware Attacks，解释了勒索软件变种如何攻击和影响受害者。该手册是对11月4日发布的《2020 威胁报告》的补充，并详细分析了11最经久不衰的软件家族，包括Ryuk，BitPaymer和MegaCortex。

SophosLabs的研究着重揭示了勒索软件如何通过滥用受信任的合法流程来试图躲避安全控制措施，然后利用内部系统加密最大数量的文件，并在IT安全团队发现之前禁用备份和恢复过程。

本手册涵盖相关工具和技术：

主要勒索软件家族的主要分发模式。勒索软件常通过这三种方式之一进行分发：以加密蠕虫的方式分发，可以将自身快速复制到其他计算机以发挥最大影响（例如WannaCry）；勒索软件即服务（RaaS）的方式，在暗网上以分发工具包的形式出售（例如Sodinokibi）；或通过自动的主动对手攻击分发，攻击者在对网络进行自动扫描后，对有弱点的系统手动部署勒索软件。报告中显示，这种自动的主动的攻击方式是顶级家族中最常使用的方法。

密码代码签名勒索软件通过购买或是窃取得来的合法数字证书，获得安全软件的信任而免于被系统分析。

特权升级利用随时存在的漏洞（例如EternalBlue）来提升访问权限。这使攻击者可以安装程序，例如远程访问工具（RAT），查看、更改或删除数据，创建具有完全用户权限的新帐户并禁用安全软件。

在整个网络中横向移动和搜寻文件并进行服务器备份，同时为了释放勒索软件攻击的全部影响而保持低调。攻击者可以在一小时内创建脚本，在网络端点和服务器上复制并执行勒索软件。为了加快攻击速度，勒索软件可能会优先处理远程/共享驱动器的数据，首先将较小的文档定为目标，然后同时运行多个加密过程。

远程攻击。文件服务器本身通常没有感染勒索软件，相反，威胁通常在一个或多个缺乏抵抗力的端点上运行，滥用特权用户帐户对文档进行远程攻击，有时通过远程桌面协议（RDP）或锁定远程监视和管理（RMM）解决方案，通常由托管服务提供商（MSP）来管理客户的IT基础架构和/或最终用户系统。

文件加密和重命名。有多种不同的文件加密方法，包括简单地重写文档，但是大多数都伴随着备份或原始副本的删除，从而阻碍了恢复过程。

该手册揭示了11个勒索软件家族是如何实现这些技术和应用这些工具的，这些勒索软件包括：WannaCry, GandCrab, SamSam, Dharma, BitPaymer, Ryuk, LockerGoga, MegaCortex, RobbinHood, Matrix 和 Sodinokibi。

报告的作者，Sophos威胁环节技术工程总监Mark Loman表示：“勒索软件的创建者非常了解安全软件的工作原理并据此相应地调整攻击。所有的设计都旨在避免检测，同时恶意软件会尽快加密尽可能多的文档，使情况变得艰难且有可能无法恢复数据。在某些情况下，攻击发生在IT团队在家睡觉的夜晚，当受害者意识到遭受了攻击，为时已晚。拥有强大的覆盖所有端点、网络和系统的安全控制、监视和响应系统，并在每次发布时安装软件更新十分重要。”

如何防范勒索软件

• 检查您是否拥有连接到网络的所有设备的完整清单，以及在这些设备上使用的任何安全软件是否为最新版本

• 始终在可行的情况下尽快在网络上的所有设备上安装最新的安全更新

• 按照以下说明，验证您的计算机是否针对WannaCry中使用的EternalBlue漏洞进行了修补： 如何验证机器是否易受EternalBlue攻击 - MS17-010

• 在脱机存储设备上定期备份最重要和最新的数据，因为这是避免在勒索软件影响下必须支付勒索的最佳方法

• 管理员应在支持该功能的所有管理系统上启用多因素身份验证，以防止攻击者在攻击期间禁用安全产品

• 安全没有灵丹妙药，分层的安全模型是所有企业实施的最佳实践

• 例如，Sophos Intercept X采用全面的纵深防御方法来进行端点保护，结合多种领先的下一代技术来提供恶意软件检测，漏洞利用保护以及内置的端点检测和响应（EDR）

完整的How Ransomware Attacks手册，SophosLabs Uncut文章，以及最具破坏性的勒索软件如何规避IT安全检测均已上线。