針對勒索軟件，備份供應(yīng)商通常都會這樣建議用戶：“只需將系統(tǒng)回滾至感染發(fā)生前的那一刻，你就能在幾秒鐘內(nèi)恢復(fù)業(yè)務(wù)運營。”但是問題是我們怎么斷定感染發(fā)生在哪個具體時刻。

今天的勒索軟件正試圖讓感染更加難以檢測，從而最大幅度地提升收入。典型的感染并不是立即展現(xiàn)出來的，而需要有一段間隔時間，然后慢慢進行破壞。Canary文件類型是防止勒索軟件的方式之一，能夠在攻擊滲透到網(wǎng)絡(luò)中時迅速通知到用戶。

[[193442]]

勒索軟件攻防戰(zhàn)的演變

早期的勒索軟件會盡可能快的將一切數(shù)據(jù)加密，在有人反應(yīng)之前產(chǎn)生更大的破壞。這時應(yīng)用程序會立即停止工作，但是快速攻擊使得感染點更容易被檢測到，通常是未打補丁的桌面。

一些聰明的企業(yè)會讓他們的員工關(guān)閉電腦以減少感染的傳播。備份供應(yīng)商和他們的客戶擅長應(yīng)對這類感染。許多支持虛擬化的備份技術(shù)可以還原至最近一次備份點。這些虛擬機的回滾恢復(fù)非常迅速，并且所恢復(fù)的是整個虛擬機，而非單個文件。因此許多企業(yè)組織能夠在幾分鐘時間內(nèi)根除勒索軟件造成的感染?？焖贆z測和恢復(fù)操作可以完全取代贖金。于是，勒索軟件作者開始注意并改變其軟件工作模式。

今天的攻擊變得更為隱蔽，因此針對這類攻擊需要更為復(fù)雜的保護措施。攻擊或許只能封印其找到的備份文件，然后將其進行壓縮。這樣做的目的是在程序被檢測出之前盡可能長時間的進行封印。假如用戶需要一段時間才注意到有價值的文件遭到惡意加密，那么回滾操作便會更為困難。例如，假如我們需要將完整虛擬機恢復(fù)至一小時之前，那么在此期間所有的生產(chǎn)數(shù)據(jù)都將丟失。而如果我們要恢復(fù)一周之前的虛擬機，那么這便是一個天大的問題了。我們或許要識別出每個受感染的文件，僅將其逐一恢復(fù)，找到和選擇性恢復(fù)過程非常艱難，而且通常需要手動完成。

恢復(fù)到一周前的數(shù)據(jù)，或者等待一周的時間來恢復(fù)正確的文件，這樣都需要耗費大量的工作。在這種情況下，只用乖乖繳納贖金便變得更有吸引力。勒索軟件潛伏在你的環(huán)境中的時間越長，你支付贖金的概率便越大。

Canary文件類型：快速檢測感染

打擊這種潛伏模式的方式之一是盡可能快地發(fā)現(xiàn)感染。Canary文件類型能夠快速識別出感染的發(fā)生，有助于抑制勒索軟件。Canary文件類型就像是煤礦中的金絲雀：通過犧牲自己來測試出危險。Canary共享文件類型成為了檢測勒索軟件感染的誘餌，但其數(shù)據(jù)對企業(yè)并無價值。該共享文件類型僅用于快速的感染檢測。

通常來說，文件的共享文件夾會和企業(yè)的實際數(shù)據(jù)混合存放。反惡意軟件會觀測Canary文件。緊盯住少量的Canary文件比追蹤企業(yè)組織中每個共享文件夾中的每個文件要容易許多。普通用戶和應(yīng)用進程永遠(yuǎn)不會接觸到Canary文件。假如該文件出現(xiàn)任何更改，那么出現(xiàn)惡意軟件的幾率就大幅上升。變更文件的更新時間戳、文件大小、文件名或檢驗碼都意味著其已遭篡改。

由于這些文件永遠(yuǎn)不會被真實的用戶訪問，任何讀寫操作都代表著威脅的出現(xiàn)。Canary文件甚至?xí)晃募呙璨僮饔|發(fā)，因為真正的用戶通常不會連接到它們。一旦出現(xiàn)可以訪問，檢測系統(tǒng)就可以進入主動模式，并開始隔離系統(tǒng)。經(jīng)過快速檢測，對整個虛擬機進行恢復(fù)的影響減弱許多。

更復(fù)雜的Canary系統(tǒng)甚至?xí)ψ陨磉M行修改。由于惡意軟件開發(fā)者被迫在其行動中變得更為隱蔽，以提防“金絲雀”。許多具有相同文件創(chuàng)造和最后訪問日期的文件會被惡意軟件認(rèn)識到是紅色禁區(qū)，因此看起來更像真實用戶訪問數(shù)據(jù)的金絲雀文件類型將更為有效。這些文件應(yīng)該定期更新、創(chuàng)造新的文件，而文件訪問日期戳在共享文件和文件夾中都應(yīng)是不同的。

一套具有異常嚴(yán)格訪問控制模式的金絲雀系統(tǒng)將非常有助于發(fā)現(xiàn)、識別出異常行為。而金絲雀文件不僅限于防范勒索軟件，其可應(yīng)用于其它各種類型的惡意軟件和入侵檢測。