勒索軟件如今成為對所有組織的持續威脅。當人們努力加強防御并制定應對網絡攻擊的戰略計劃時，惡意行為者將會發起更復雜的攻擊，從而增加了防御的難度。

勒索軟件通常旨在通過在整個網絡中擴展來癱瘓組織。這種威脅使一些組織損失數百萬美元。以下了解勒索軟件攻擊，例如它是如何工作的、是如何啟動的、如何響應，以及如何降低風險。

什么是勒索軟件以及它是如何工作的？

勒索軟件是一種惡意軟件，它對個人、組織或機構的關鍵數據、文件和操作系統進行加密，并需要支付一筆贖金才能對其進行解密。它是一種網絡操縱形式，惡意行為者會在其中找到易受攻擊的漏洞并將其用于攻擊組織，從而使他們無法訪問其計算機、數據庫、服務器、應用程序和文件。

勒索軟件通過多種方式控制系統，例如網絡釣魚電子郵件或有針對性的攻擊。一旦它獲得了攻擊向量并在端點上建立了控制，它將一直潛藏在那里，直到其任務完成。

勒索軟件在系統內部建立據點后，它會將惡意二進制文件放入系統，然后系統會發現并加密數據文件，例如文檔、PDF、多媒體文件和數據庫存儲。勒索軟件還可能利用網絡或服務器漏洞在其他系統中傳播，并可能試圖感染整個組織。

當勒索軟件攻擊者隨意支配組織的數據時，他們試圖勒索受害方以支付所需的贖金來解密文件，否則將面臨數據和潛在系統丟失的嚴重后果。如果組織沒有可靠及時的數據備份并拒絕支付贖金，他們唯一的選擇就是承擔時間、資源的損失以及客戶關系的潛在損害、品牌損害、股東訴訟和監管罰款等后果。

為什么勒索軟件如此普遍？

雖然有許多原因增加了勒索軟件攻擊的可能性，但新冠疫情無疑在導致勒索軟件攻擊顯著增加方面發揮了重要作用。它迫使個人、企業和公共部門機構迅速轉向數字技術以繼續其業務運營。但是，即使沒有新冠疫情引入的漏洞，勒索軟件也已成為日益嚴重的威脅。

防御措施，勒索軟件攻擊的威脅占上風。以下是一些禁用復雜的反技術以防止勒索軟件攻擊的因素：

• 網絡犯罪分子現在非常老練，可以使用最新的資源、工具和技術。
• 市場為網絡犯罪分子提供惡意軟件工具包，即使是技術最低的黑客也能將其部署到受害者身上。

勒索軟件即服務(RaaS)

勒索軟件即服務(RaaS)是一種以固定價格作為服務提供的勒索軟件分發模型。它是一項基于訂閱的付費服務，可為惡意人員提供部署勒索軟件攻擊所需的工具。這聽起來像是超現實主義，但這是部署勒索軟件攻擊的一種高效且實用的方法。

勒索軟件即服務(RaaS)運營商與網絡犯罪分子有關聯，為他們提供必要的設備、工具、支付門戶以接收贖金，以及偶爾的技術支持。勒索軟件即服務(RaaS)提供商通過合同協議或按使用付費協議獲得部分贖金利潤。

為什么很難抓住勒索軟件犯罪分子？

網絡犯罪分子通常使用比特幣等加密貨幣進行貨幣交易。憑借其所有優點，加密貨幣無法追蹤，這使其對犯罪分子有利。資金追蹤是追蹤犯罪和犯罪分子的最有效方法之一。由于加密貨幣提供匿名性，法律機構很難追蹤資金流動。

此外，勒索軟件的設計是多態的，不會留下任何殘留物，并且可以輕松繞過傳統的基于簽名的保護。網絡犯罪分子通常成群結隊，這使得追蹤攻擊者變得更加困難。

針對勒索軟件的保護措施

某些做法可以極大地幫助減輕勒索軟件攻擊。一些常見的做法包括：

(1) 數據備份

定期備份關鍵數據是防御勒索軟件犯罪分子的第一步。為確保組織不會被鎖定在其系統和數據文件之外，他們應該始終并且經常將數據備份副本存儲在外部硬盤驅動器或云存儲中。萬一被勒索軟件感染，雖然可能需要很長時間，但可以對電腦進行格式化，通過備份將數據文件全部完整上傳。這樣，可以避免因贖金要求而造成的損失。雖然備份數據不能阻止這些攻擊，但它可以提供一定程度的保護。

(2) 保護備份

網絡犯罪分子也在制定策略來破壞、加密或刪除備份系統。因此，僅僅依靠備份是不夠的。許多組織使用特權訪問解決方案來保護他們的備份，因此只有某些獲得授權的人才能訪問或修改它。

(3) 安裝和維護安全軟件

較舊的軟件版本為網絡者提供了易受攻擊的接入點來控制系統。這就是為什么在整個組織中配置全面的安全軟件以保護所有系統和軟件至關重要的原因。盡早并經常更新所有設備和軟件。

(4) 安全上網

這種做法意味著用戶不要點擊不必要的鏈接，只回復合法的電子郵件。在大多數情況下，勒索軟件通過網絡釣魚進入，誘使用戶打開包含惡意軟件或其他病毒的危險文件。

(5) 采有安全網絡

不安全的公共Wi-Fi網絡也構成威脅，因為每個人都可以訪問它們，包括惡意行為者。無論用戶身在何處，安裝虛擬專用網絡(VPN)都可以提供安全的互聯網連接。但是，VPN無法防范設法進入內部網絡的黑客。

(6) 保持警惕

隨時了解最新的勒索軟件威脅并保持警惕，以便企業能夠警惕潛在的攻擊。此外，了解市場上可用的解密工具，如果企業成為勒索軟件的受害者，這些工具將有所幫助。

(7) 網絡安全意識計劃

許多員工可能不完全了解網絡安全的概念以及他們的某些活動將會增加網絡攻擊風險。因此，企業需要定期進行演練、模擬活動和培訓員工，這樣他們就可以警惕網絡釣魚和其他社會工程攻擊。

如何在勒索軟件攻擊期間做出響應

在發生網絡攻擊時，企業必須迅速采取行動以限制影響。有一些緩解措施需要遵循：

(1) 隔離受攻擊設備以阻止傳播

當勒索軟件感染一個系統時，它可能會造成中等程度的威脅。然而，當災難蔓延到整個組織時，就開始出現災難性事件。事件響應時間決定了造成損害的程度。因此，快速反應以隔離受感染的設備并將其與網絡、服務器和其他設備斷開連接至關重要。此外，還應立即關閉無線連接(如藍牙、WiFi、熱點等)，以限制感染。

(2) 評估損害

由于勒索軟件可能已存在于其他設備中，因此建議評估所有數據文件和任何可疑活動。例如，最近使用奇怪擴展名加密的文件、具有奇怪文件名的報告或用戶無法打開的文件。一旦發現受感染的文件，將它們與網絡斷開連接以控制感染。

評估的目標是全面報告所有潛在的攻擊媒介、端點設備、存儲等，以便采取適當的保護措施。鎖定所有文件共享將停止正在進行的加密行為，以防止其進一步傳播。

(3) 識別零號病人

零號病人是傳染源，通常是網絡犯罪分子首先針對的設備或系統，勒索軟件感染通過這些設備進入環境。在找到零號病人之前，遏制感染的行動將繼續進行。企業要獲得可見性，需要檢查反惡意軟件和其他監控平臺發出的任何警報。

由于網絡釣魚電子郵件和惡意附件通常會發起攻擊，因此需要向員工詢問他們可能收到和打開的任何可疑電子郵件。還需要仔細查看文件屬性，這將提供有關入口點的線索。

(4) 識別勒索軟件變種

在深入研究安全防御之前，了解可能會攻擊系統的勒索軟件變種會有所幫助。有多種工具可以掃描加密文件，并提供對所涉及變體的深入了解。企業需要進行研究以更好地了解它，并提醒所有員工注意其行為和跡象，以識別他們是否已成為攻擊目標。

(5) 向執法部門構報告

網絡攻擊是一種違法行為，應盡快提請執行部門進行監管。執法部門需要及時準確的詳細信息，以便他們可以進行徹底的調查。

(6) 恢復數據備份

在采取所有預防措施之后，現在是繼續響應過程的時候了。正確快速地實施上述步驟，將提供完整且無感染的備份。下一步是使用反惡意軟件來消除勒索軟件以防止進一步傳播。一旦清除了勒索軟件的所有痕跡，就可以使用備份恢復系統數據。

(7) 考慮其他解密選項

許多企業發現自己沒有可行的備份，或者是因為已被勒索軟件破壞，或者是因為他們未能及時備份數據。而在任何一種情況下，即使沒有備份，使用解密工具重新獲得對數據的訪問權限的機會也很小。有幾種可用的密鑰和應用程序可以解密被勒索軟件鎖定的數據。但是，這是一個漫長的過程，如果運氣好的話，被鎖定的數據可能會在幾天內恢復。

如果沒有可行的備份，也沒有解密工具的幫助，情況就會變得非常困難，面臨的損失可能是巨大的，而從頭開始重建并不容易，因為必須處理損失以及在重建過程投入大量的時間、資源和費用。

為什么支付贖金并不明智？

數周或數月處理數據恢復的漫長而復雜的過程可能會稀釋資源的價值。這就是一些企業選擇支付贖金的原因。然而這不是一個明智的決定，其原因如下：

• 即使支付了贖金，也不能保證黑客會發送解密密鑰。有很多企業在支付贖金后被欺詐的例子。而當按照罪犯的規則行事時，并不能保證他們會遵守交易規則。
• 在通常情況下，一旦支付了所要求的贖金，網絡犯罪分子就會索要更多錢財。他們知道解決勒索攻擊的緊迫性和意愿，而受害者只能任由他們擺布。
• 即使不法分子停止交易并向受害者提供解密密鑰，也不能保證該密鑰會起作用，尤其是在損壞嚴重且無法修復的情況下。
• 如果支付贖金，企業也可能遭遇另外的勒索攻擊，因為其他的網絡犯罪份子發現他們很容易成為犧牲品。
• 支付贖金會鼓勵犯罪活動，并使勒索軟件成為一種可行的商業模式。如果受害者拒絕支付贖金，網絡犯罪分子將不得不尋找其他的創收方式。