Wipers是一種惡意軟件,可以刪除或破壞組織對文件和數(shù)據(jù)的訪問權(quán)限。這種類型的惡意軟件通常用作破壞和中斷的工具,因為關(guān)鍵信息的丟失可能會使組織無法維持業(yè)務(wù)運營或執(zhí)行某些操作。
Wipers是如何工作的?
Wipers的目的是使數(shù)據(jù)無法訪問和使用。但是,與勒索軟件不同的是,其目的不是在支付贖金后恢復(fù)訪問。Wiper 會永遠銷毀數(shù)據(jù),這可以通過多種方式實現(xiàn):可以加密或覆蓋文件的內(nèi)容,或者攻擊者可以通過攻擊操作系統(tǒng)本身來使它們無法訪問。
使用Wipers的原因
Wipers 不會讓攻擊者賺錢,這是網(wǎng)絡(luò)攻擊最常見的動機。攻擊者可能選擇使用Wipers的破壞力的一些原因包括:
- 破壞:如果Wipers破壞了重要數(shù)據(jù)或破壞了重要軟件,組織可能無法繼續(xù)業(yè)務(wù)運營。
- 銷毀證據(jù):Wipers 可用于銷毀網(wǎng)絡(luò)攻擊、間諜活動或攻擊者不希望公開的其他活動的證據(jù)。
- 網(wǎng)絡(luò)戰(zhàn):在沖突期間,針對組織部署了多個Wipers變體,表明這種類型的惡意軟件越來越多地被用作戰(zhàn)時破壞的工具。
Wipers技術(shù)
Wipers旨在以幾種不同的方式銷毀數(shù)據(jù),包括:
- 覆蓋文件:擦除文件的最常見方法之一是用其他數(shù)據(jù)覆蓋它們。例如,一個文件的內(nèi)容可能被替換為 NULL (0x00) 字節(jié)或 1 和 0 的隨機組合。
- 加密文件: Wipers 可以通過加密文件和破壞原始版本來模仿勒索軟件。然而,Wipers會破壞解密密鑰,使得即使受害者支付贖金也無法解密數(shù)據(jù)和檢索內(nèi)容。
- MBR 損壞:主啟動記錄 (MBR) 告訴計算機如何啟動,因此損壞或覆蓋它會使系統(tǒng)無法啟動。但是,計算機的所有文件都保留在磁盤上,并且可以在初始中斷后恢復(fù)。
- MFT 損壞:主文件表 (MFT) 是計算機內(nèi)存中每個文件存儲位置的索引。與 MBR 一樣,損壞 MFT 會導(dǎo)致文件無法訪問,但如果它們保留在磁盤上,它們?nèi)匀豢梢曰謴?fù)。
如何防止Wipers
組織可以采取各種措施來保護自己免受Wipers造成的數(shù)據(jù)丟失。一些最佳實踐包括以下內(nèi)容:
- 數(shù)據(jù)備份:Wipers旨在破壞組織的數(shù)據(jù),造成中斷。如果組織有另一個副本,那么攻擊的長期影響就會最小化,因為數(shù)據(jù)可以從備份中恢復(fù)。
- 員工培訓(xùn): Wiper 和其他類型的惡意軟件通常通過網(wǎng)絡(luò)釣魚攻擊傳播。網(wǎng)絡(luò)意識培訓(xùn)可以幫助員工識別和應(yīng)對未遂的Wipers感染。
- 電子郵件安全:電子郵件是網(wǎng)絡(luò)釣魚內(nèi)容最常見的傳遞媒介之一。電子郵件安全解決方案可以識別并阻止包含惡意附件或指向傳送惡意軟件的網(wǎng)站的鏈接的郵件。
- 補丁管理: Wipers 還可以利用未打補丁的漏洞訪問公司系統(tǒng)。及時安裝更新和補丁有助于彌補這些漏洞,以免它們被攻擊者利用。
- 賬戶安全:網(wǎng)絡(luò)罪犯還可能使用受損憑據(jù)遠程訪問員工賬戶并直接植入惡意軟件。實施多因素身份驗證 (MFA) 和零信任安全原則可以降低成功攻擊的風險。
- 端點安全:端點安全解決方案可以檢測和阻止諸如Wipers之類的惡意軟件。此外,這些解決方案可能有助于減輕和補救活動性感染。
