勒索软件是目前存在的最突出和最具破坏性的恶意软件类型。一次攻击可能造成数百万美元的损失，并且需要数百小时的恢复才能让受害者再次开始使用受感染的设备。本文 介绍勒索软件和勒索软件的危害。我们解释了这种恶意软件是什么以及它是如何工作的，检查当前的勒索软件环境，并就如何最好地应对这种网络威胁提供建议。

勒索软件定义

勒索软件是一种不断发展的恶意软件，它会阻止对文件或设备的访问，直到受害者支付赎金。大多数勒索软件使用加密使数据无法使用，从而使攻击者可以索要金钱以换取解密密钥。如果受害者忽略了请求，攻击者会删除密钥，从而使所有加密数据变得无用。

勒索软件可以感染单个 PC 或移动设备，但攻击也可以针对整个网络。动机通常是金钱，但一些攻击主要旨在破坏目标。勒索软件的后果可能是毁灭性的，并导致：

• 业务和客户数据丢失。
• 允许数据泄露的法律后果。
• 停机时间延长。
• 声誉受损导致客户流失。
• 一个代价高昂的恢复过程，需要数周时间才能将网络恢复到攻击前的状态。
• 对基础设施的长期破坏。

赎金要求从几百美元到数百万美元不等。大多数攻击者要求用比特币付款，这是一种允许犯罪分子在收到钱后保持匿名的货币选择。

黑客使用勒索软件攻击中小型企业、企业、公共组织和个人用户。这种类型的恶意软件也对所有操作系统构成​​威胁，包括 Windows、Linux和 Mac。没有任何业务或系统是安全的，因此勒索软件预防必须成为每个网络安全策略的一部分。

勒索软件的现状

随着犯罪分子采用新的策略来利用云计算、虚拟化和边缘计算的进步，勒索软件不断发展。以下是目前塑造勒索软件格局的最显着趋势：

• 对 MSP 的压力： 犯罪分子比以往任何时候都更针对托管服务提供商 (MSP)。破坏单个 MSP 为感染客户端创造了机会，并允许攻击者通过一次破坏来追踪多个目标。
• 更好的防御：公司正试图通过新策略保持领先于黑客。改进的启发式、行为分析和诱饵文件正在帮助公司预测攻击而不是响应危险。
• 瞄准在家工作的公司：黑客继续攻击远程操作的团队。使用个人设备在家工作的员工是主要目标。
• 专注于混乱的行业： 攻击者继续掠夺受到大流行打击的行业。医疗保健和教育机构最容易受到攻击，因为犯罪分子知道他们的数据很有价值，而且很可能保护不力。
• 比以往更多的 RaaS：勒索软件即服务是一种基于订阅的“服务”，允许黑客使用第三方工具进行攻击。工具创建者获得每次成功违规的一定比例，而“客户”则完全专注于传播恶意软件。
• 最大威胁：2021 年最突出的勒索软件是 Conti、Avvadon、REvil（前 Sodinokibi）、Netwalker和 Babuk。最常见的攻击媒介仍然是 网络钓鱼电子邮件、RDP 漏洞利用和软件漏洞。

勒索软件如何运作？

当恶意负载进入系统时，所有勒索软件攻击都从初始感染开始。一旦程序进入系统，勒索软件就会执行恶意二进制文件。根据恶意软件的类型，有效载荷的目标是：

• 自动搜索目标数据（Microsoft Word 文档、图像、数据库等）并开始加密。
• 连接到黑客的 C&C 服务器并授予对系统的直接控制权。
• 自动锁定操作系统和设备。
• 搜索有价值的数据并设置渗透过程。

一旦程序完成其任务，用户将失去对文件或整个计算机的访问权限。该设备显示一条消息，说明系统是勒索软件的受害者，重新获得控制或检索数据的较早方法是支付赎金。程序显示此消息的两种常见方式是：

• 变成赎金票据的背景。
• 每个加密目录中的文本文件。

通常，每笔赎金都有两个期限来向受害者施加压力。靠前个截止日期是黑客威胁要双倍赎金的时候，另一个是攻击者计划删除解密密钥的时候。

大多数勒索软件依赖于 非对称加密。这种类型的密码学使用一对较早的密钥来加密和解密数据。一个密钥加密受害者的文件，检索数据的较早方法是使用存储在黑客服务器上的密钥。大多数勒索软件程序对每个目标文件使用不同的解密密钥。

勒索软件是如何传播的？

以下是犯罪分子用来传播勒索软件的最常用方法：

• 传播损坏链接或附件的电子邮件网络钓鱼活动。
• 具有高度针对性的鱼叉式网络钓鱼攻击。
• 不同形式的 社会工程（诱饵、恐吓软件、借口、社交媒体上的把戏等）。
• 恶意广告。
• 恶意网站上的漏洞利用工具包。
• 利用系统弱点（例如错误的 RDP 设置或由于服务器管理不善导致的缺陷）的自定义蠕虫。
• 受感染的硬件（即 USB 和笔记本电脑）。
• 下载期间不需要的附加组件。

大多数优秀级勒索软件可以在感染初始受害者后通过网络传播。在许多情况下，受感染的设备是一个端点，而不是攻击的目标。典型的目标是数据库和服务器，因此大多数程序使用自传播机制传播到其他系统。

勒索软件的目标是谁？

勒索软件犯罪分子可以攻击任何人，但他们的主要目标是那些似乎愿意迅速支付巨额赎金的公司。大多数攻击针对的受害者是：

• 保留有价值的客户数据（例如，银行或律师事务所）。
• 要求立即访问文件（医院和诊所）。
• 拥有不可替代的数据（***机构）。
• 依靠人手不足的安全团队（公共机构和中小企业）。
• 拥有不同的用户群和大量文件共享（大学）。

如果您的业务不符合这些标准，请不要感到安全。犯罪分子是投机取巧的，不会放过任何机会去追捕任何易受伤害的人。此外，一些勒索软件会在互联网上自动传播，因此每家公司都是潜在的目标，无论其规模、行业或收入水平如何。

有多少种勒索软件？

虽然所有勒索软件程序都遵循类似的蓝图，但 这些网络攻击主要有两种类型：

• Locker 勒索软件（计算机锁）： 一种将用户锁定在设备之外并阻止计算机启动的恶意软件。通常，锁定的系统允许有限的访问，以便受害者可以与黑客进行交互。
• 加密勒索软件（数据锁）： 一种对有价值数据进行加密而不将用户锁定在设备之外的攻击。通常的目标是财务数据、私人客户信息、大型工作项目、照片、税务信息、视频等。

Locker 勒索软件是不太危险的类型，因为这些攻击不会通过网络移动或损坏文件。这种恶意软件也更容易在不支付赎金的情况下被删除，这就是为什么储物柜黑客经常充当**来迫使受害者迅速付款的原因。

当公司开始依赖更好的数据备份时，犯罪分子开始研究一种新的勒索软件变体。Doxware 攻击旨在 从目标系统中窃取数据。如果程序对数据进行加固，攻击者会以泄露文件或将文件卖给出价最高者的威胁要求赎金。

一些程序可以先泄露数据，然后加密文件。加密和 Doxware 功能的组合允许攻击者使用这两种勒索策略。

如何避免勒索软件？

勒索软件可能很难阻止，但员工意识、主动响应计划和基本安全卫生的结合可以提供帮助。以下是每个企业应实施以防止勒索软件的优秀实践：

• 使用最新的安全补丁使设备和系统保持最新。
• 确保团队使用强大的电子邮件安全实践。
• 组织安全意识培训 ，以确保团队了解勒索软件的工作原理。
• 使用网络分段来防止系统之间的横向移动。
• 确保员工知道如何使用反恶意软件和病毒解决方案。
• 强调安全上网的重要性，以避免恶意广告和偷渡式下载。
• 提高整体网络安全性。
• 依靠零信任策略和多因素身份验证来保护重要系统和数据库。
• 监控网络活动中的可疑行为。
• 确保端点不会成为定期更新和流量监控的入口点。
• 创建事件响应计划。

将勒索软件威胁降到最低的优秀方法是使用不可变备份。这种类型的备份是不可编辑的，因此入侵者无法加密、删除或更改信息。每天多次备份数据，以最大程度地降低勒索软件来袭时丢失数据的风险。

遇到勒索软件怎么办？

即使是最好的勒索软件保护有时也不足以阻止攻击。如果您遭受攻击，请按照以下步骤将损失降到最低并迅速恢复正常工作：

1. 隔离问题：使受感染的设备脱机并关闭网络。该程序可能正在寻找其他设备和驱动器，因此消除横向移动的可能性。
2. 评估损害：检查每个可疑设备。检查加密数据、带有奇怪扩展名的文件以及用户无法打开文件的报告。列出所有受影响的系统，包括网络设备、云存储、外部硬盘驱动器、笔记本电脑、PC、便携式设备等。
3. 找到零号病人：您必须确定攻击的来源。查找来自您的防病毒和恶意软件程序、EDR 系统和监控平台的警报。
4. 识别勒索软件：您需要确定攻击您公司的勒索软件类型。大多数赎金记录都会显示攻击者，但您也可以将消息文本输入搜索引擎并以这种方式识别攻击者。
5. 联系当局：**可以帮助识别攻击者，而且**也有可能拥有相关勒索软件的解密密钥。
6. 使用备份来恢复数据：从备份中恢复每个受感染的系统。如果您有不可变的备份，则攻击不会影响备份文件，因此请将每个设备恢复到上一个​​安全状态。接下来，使用反恶意软件解决方案扫描设备以查找后门。

如果您没有可行的备份并且警方没有解密密钥，您的选择是支付赎金或减少损失。然而，正如我们在下面解释的那样，支付赎金可能不是最好的主意。

公司应该支付赎金吗？

如果一家公司没有数据备份并且面临数周或数月的恢复，那么支付赎金是很诱人的。但是，在做出决定之前，请考虑以下事项：

• 您有可能永远无法获得解密密钥：许多受害者支付了赎金，却一无所获。
• 解密密钥可能不起作用：勒索软件的创建者不从事文件恢复业务，因此犯罪分子不会花太多时间来确保解密工作正常。
• 您的文件可能太损坏了：一些勒索软件程序会损坏无法修复的文件，以确保尽快进行加密。如果是这种情况，即使是解密密钥也无法恢复文件。
• 你成为一个有价值的目标：有支付赎金历史的公司是新攻击的有吸引力的目标。同一个团队将来可能会再次***，或者让他们的同事知道公司愿意满足哪些要求。
• 犯罪分子仍然可以泄露您的数据：如果攻击者泄露了您的数据，即使您支付了赎金，也无法阻止他们将数据出售给出价最高的人。

与其权衡支付赎金是否正确，不如确保您的公司能够应对勒索软件攻击。有了适当的预防措施和备份，您将永远不会处于必须考虑支付赎金的境地。

不要用勒索软件冒险

对抗勒索软件的优秀方法是建立健全的预防策略，并以完善的响应计划为后盾。使用本文向您的团队介绍威胁并设置预防措施，以确保您能够可靠地预防和从勒索软件攻击中恢复。