我如何保护自己免受“赎金”攻击，比如影响传输用户的攻击？

Question

传输BitTorrent客户端2.90版本的下载程序被一种名为KeRanger的恶意软件感染，该软件对计算机上的文件进行加密，并要求一个比特币赎金来解除它们的加密。

首先，抛开这是如何进入下载程序的问题，一个典型的Mac用户如何防范这种攻击呢？该文件来自受信任的源，因此对不访问恶意站点的建议在这里不适用。

是时候给我的Mac买一个防病毒程序了吗？还是我只需要勤奋地进行时光机备份，并随时准备从备份中恢复？

Answer 1

再也没有“可信赖的来源”这种东西了。可能从来都不是。你只是一个远离感染的剥削者。如果软件生产商被破坏，或者对应用程序商店的自动扫描被绕过，你就会被感染。

安全常常是由补丁和升级中的前向运动造成的幻觉。在过去的六个月里，我们在基础设施维护、服务器维护和端点维护方面出现了几次近乎完美的失误。

唯一真正的保护是多个版本化备份。并希望您能够退一步到预开发版本。

Answer 2

正如你已经注意到的，现在已经没有预防感染的保证了:虽然有有效的方法来保护基础设施，但是它们是如此昂贵，并且对生产力产生如此大的影响，以至于几乎没有人能够负担得起。

因此，最好的成本效益防御从标准“使用反病毒和网络保护系统，教育你的用户并保持警惕”开始，然后设计一个有效的恢复系统。

系统应该从备份开始。它们应该是版本化的，并存储在离线媒体上(如果系统可以访问它们，则恶意软件可以访问它们)。一个很好的实用解决方案是使用磁盘到磁盘到磁带或磁盘到磁盘(对本地备份系统进行备份，以便在需要时方便地访问这些备份，并将这些备份复制到脱机媒体-定期交换的外部驱动器或磁带系统-以确保安全)。

然后是恢复计划本身:随时准备重新部署基础设施。最简单、最便宜的方法是将环境重新安装到脱机媒体(包括备份软件、重要软件和操作系统的原始媒体)上的工作状态。然后有一个计划，如何恢复每个系统单独和作为一个整体。不要忘记根据需要经常更新该计划(在我个人的经验中，一年两次似乎是许多小型基础设施的一个很好的平衡，但根据您的需要做出决定)。

如果您在有价值的环境中工作，则可以将重新部署包含在实际工作过程中:而不是修补/更新一组服务器，您可以从您维护的中心映像重新部署它们(用户工作站也是如此)。

Answer 3

此外，上述答案，我想建议使用虚拟机。

在Mac上运行的这类软件的例子包括甲骨文的VirtualBox、Parallels和VMWare Fusion --它们中的任何一个(或任何替代的)都适合您的需要(可能也值得检查它们的安全性)。

使用虚拟机的优点是，如果某些恶意软件最终被下载和/或安装在“虚拟”操作系统上，它只会影响这样的系统，从而使基本系统更加安全。至少在理论上，由于在虚拟化软件中发现了一些漏洞，但是这样的攻击并不容易执行。因此，虽然它没有提供100%的安全性，但它提供了足够重要的安全性来考虑它。我相信你提到的恶意软件不能在虚拟机/基础操作系统之间移动(至少Google快速搜索似乎表明了这一点)。

我认为适合您需要的方式是安装一些虚拟机软件，使用它运行虚拟操作系统，并使用这些操作系统下载文件/程序并使用它们。例如，您可以将传输BT客户端下载到您的虚拟操作系统，并在这种环境中理想地运行它。您仍然可以将Mac用于常规用途，或者--如果安全性是一个极端的优先级，您可以完全避免将软件下载到基本操作系统(在本例中是OS )。就像我说的，这并不能保证完全的安全--但它确实提供了一个值得考虑的程度。

最后注意--尽管上述技术可以提供优势，但不应将其视为通过备份来保护重要数据的替代品(例如，冷库备份、多个独立设备上的备份等)。