过去,黑客们通过攻击手段破坏世界引起灾难的场景只局限于电影中,但如今却开始逐渐成为现实。2016年电影《零日》就是一部围绕美国针对伊朗发起网络战展开,讲述“震网”计算机蠕虫病毒攻击伊朗设施的故事。故事的剧情是:
有一个叫做"震网"的病毒,这个病毒在2010年出现,是世界上首个专门针对工业控制系统编写的破坏性病毒,能够利用对windows系统和西门子SIMATIC WinCC系统的7个漏洞进行攻击。特别是针对西门子公司的SIMATIC WinCC监控与数据采集(SCADA) 系统进行攻击。最大的历史贡献是曾造成伊朗核电站推迟发电。虽然时至今日,"震网病毒"已经被消灭了,但是它所留下的余威却一直未曾消灭。病毒之于计算机和网络,就像是打开了潘多拉的魔盒一样,令人不寒而栗。自此以后,没有任何政治动机的关键基础设施被攻击的事件频频发生。
最近的案件就是Industroyer (工业毁坏者),这是一个更加复杂,更加厉害的专门攻击电网系统基础设施的恶意程序,并被认为是继Stuxnet以来最大的工控系统威胁。我们最大的过程控制系统的OEM合作伙伴咨询我们,安克诺斯最新的防勒索技术Acronis Active Protection是否可以预防此类攻击? 我们的答案: Acronis Active Protection主动防御技术是可以的。
Industroyer到底是什么?
乌克兰最近成为最新恶意软件的攻击的试验场,是受害最严重的国家。并且2016年12月发生的乌克兰电网黑客袭击的罪魁祸首很有可能就是Industroyer工控恶意程序。此恶意程序可以破坏供电系统。它可以控制各地的变电站的系统无法启动,导致数据的永久丢失。
2017年6月,研究人员分析了Industroyer并指出能源开关和断路器。并且它其中的一个模块可以删除关键的注册密钥,覆盖文件数据,使它是一个高度定制化且可以攻击任意工业系统的恶意程序,甚至它的一个专门的目的就是破坏数据,使工业系统完全瘫痪。
在最近的乌克兰攻击事件中,黑客利用了一个数据擦除组件,在攻击后隐藏了攻击痕迹,让数据难以恢复。这个组件包含的文件叫做haslo.dat或者haslo.exe,可能会由一个启动程序组件执行或者作为一个单独的恶意工具使用。
新时代的勒索
这为我们带来了新类型的攻击。因为这个组件可以扰乱或者完全打乱文件内容,被用于勒索攻击后索要赎金。这时,你就永远得到不到数据,因为它已变为一个正在的网络武器而不是一个破坏工具。类似我们最近提到的Peyta恶意变种。
保护数据免受网络武器攻击
截至到目前为止,新Petya之后还没有发现更多的变种,更多的都是加壳和修改版。病毒作者似乎销声匿迹,与WannaCry的发作和最终沉寂方式相似,一样是疯狂传播,一样是没有通过赎金真正获利,但是对全球造成的破坏确是存在的,造成破坏似乎还隐藏了更大的阴谋。这两次病毒的大面积爆发,更像是黑客攻击“预演”和“实战”。
虽然,勒索病毒“潘多拉盒子已打开”,无论未来又会出现怎样的新的,防不胜防的病毒,提醒广大用户和企业,要更加重视安全问题,养成良好的备份习惯,谨防更大更猛烈的病毒攻击。
如果你有安克诺斯企业版和个人版产品,如带有Active Protection技术的Acronis Backup 12.5和Acronis True Image,就可以实时检测、停止并封锁Industroyer的恶意行为并恢复被感染的文件。如下图所示:
您还可将备份文件存储在安克诺斯安全区中,阻止勒索病毒的无法访问,其强大且专有的加密技术,阻止勒索病毒的再次加密。另外,选择一款第三方安全产品并及时地升级,还要及时地安装Windows、Office公布的安全漏洞补丁。做到多重保护措施,避免潘多拉病毒造成的数据之殇。
关于安克诺斯
通过AnyData引擎驱动的技术,以及优秀的镜像技术,安克诺斯能够为所有文件、应用程序和操作系统提供在任何环境下(包括虚拟,物理,云和移动环境)方便、完整、安全的备份服务。
公司成立于2002年,安克诺斯为全球超过145个国家的500万个人用户及50万家企业用户提供数据保护服务。拥有超过100项专利,安克诺斯产品被Network Computing、TechTarget和IT Professional 评为年度最佳产品。其产品涵盖众多功能,包括迁移,克隆和复制等。