云同步产品能否保护您免受勒索软件攻击?
自上一篇关于勒索软件历史与影响的文章《保护个人与企业免受勒索软件攻击》发布后,我收到了一些关于云同步产品(如Dropbox、Box、iCloud和OneDrive)是否能防护勒索软件攻击的疑问。需要明确的是,云同步产品与云备份解决方案(如Mozy、Backblaze或Carbonite)存在本质区别。备份解决方案会在特定时间点对整个硬盘进行快照,因此即使勒索软件加密了您的硬盘且备份同步将加密文件上传至云端,您仍可访问感染前的文件——只需选择感染前的还原点即可恢复。
云同步的工作原理与攻击场景
要理解云同步产品的差异,让我们逐步分析攻击场景的可能发生方式以及云同步的工作机制。云同步在计算机上创建文件夹结构,并监控这些文件夹中的文件变更(创建、编辑、更新或删除)。一旦检测到变更,它会用新版本替换云中的版本,并通知所有其他同步的用户和设备获取新版本。
如前所述,加密型勒索软件通过使用唯一密钥加密每个文件并删除先前版本来运作。大多数勒索软件还会将文件名更改为随机字符串。当勒索软件加密文件并删除原始版本时,这会向本地同步服务发出两个事件信号:添加加密文件、删除原始文件。由于勒索软件更改了文件名,它还破坏了许多云同步产品提供的文件版本控制功能,这将阻止您还原到先前版本。
如果您的云文件夹与多个人或设备共享,变更将自动传播,同步服务将删除原始文件并同步加密文件。
各云服务的防护能力对比
如果您拥有Office 365订阅,OneDrive会在勒索软件攻击后检测并提醒用户。Dropbox和OneDrive包含帮助从较早时间点还原文件夹的功能,可用于恢复。Box用户报告称能够通过提交工单联系Box支持以从先前版本恢复文件,但快速还原所有文件的功能尚不存在。如果您选择Box提供的“自带密钥”(BYOK)功能,这可能会进一步复杂化。iCloud不保留文件或文件夹的过去版本,且无法还原到特定时间点。
我创建了一个快速对比表以助理解:
| 服务名称 | 检测功能 | 恢复功能 |
|---|---|---|
| OneDrive | 是(需订阅) | 是 |
| DropBox | 否 | 是 |
| Box | 否 | 需联系支持 |
| iCloud | 否 | 否 |
技术建议与未来展望
在我看来,同步服务处于独特位置,能够快速检测并提醒用户勒索软件攻击,通常在造成过多损害之前。运行一项检测大量文件被快速删除和添加的服务可能是一个很好的初步措施,双重检查上传的文件是否全部加密将是确认恶意软件感染的有效方式。我假设OneDrive正在做类似的事情,并且希望看到这种功能内置到所有免费层的不同云同步服务中。在此实现之前,请考虑采用强大的备份解决方案,并保持计算机清洁无病毒。