勒索軟件是目前存在的最突出和最具破壞性的惡意軟件類型。一次攻擊可能造成數(shù)百萬美元的損失，并且需要數(shù)百小時的恢復(fù)才能讓受害者再次開始使用受感染的設(shè)備。本文?介紹勒索軟件和勒索軟件的危害。我們解釋了這種惡意軟件是什么以及它是如何工作的，檢查當(dāng)前的勒索軟件環(huán)境，并就如何最好地應(yīng)對這種網(wǎng)絡(luò)威脅提供建議。

勒索軟件定義

勒索軟件是一種不斷發(fā)展的惡意軟件，它會阻止對文件或設(shè)備的訪問，直到受害者支付贖金。大多數(shù)勒索軟件使用加密使數(shù)據(jù)無法使用，從而使攻擊者可以索要金錢以換取解密密鑰。如果受害者忽略了請求，攻擊者會刪除密鑰，從而使所有加密數(shù)據(jù)變得無用。

勒索軟件可以感染單個 PC 或移動設(shè)備，但攻擊也可以針對整個網(wǎng)絡(luò)。動機通常是金錢，但一些攻擊主要旨在破壞目標(biāo)。勒索軟件的后果可能是毀滅性的，并導(dǎo)致：

• 業(yè)務(wù)和客戶數(shù)據(jù)丟失。
• 允許數(shù)據(jù)泄露的法律后果。
• 停機時間延長。
• 聲譽受損導(dǎo)致客戶流失。
• 一個代價高昂的恢復(fù)過程，需要數(shù)周時間才能將網(wǎng)絡(luò)恢復(fù)到攻擊前的狀態(tài)。
• 對基礎(chǔ)設(shè)施的長期破壞。

贖金要求從幾百美元到數(shù)百萬美元不等。大多數(shù)攻擊者要求用比特幣付款，這是一種允許犯罪分子在收到錢后保持匿名的貨幣選擇。

黑客使用勒索軟件攻擊中小型企業(yè)、企業(yè)、公共組織和個人用戶。這種類型的惡意軟件也對所有操作系統(tǒng)構(gòu)成??威脅，包括 Windows、Linux和 Mac。沒有任何業(yè)務(wù)或系統(tǒng)是安全的，因此勒索軟件預(yù)防必須成為每個網(wǎng)絡(luò)安全策略的一部分。

勒索軟件的現(xiàn)狀

隨著犯罪分子采用新的策略來利用云計算、虛擬化和邊緣計算的進步，勒索軟件不斷發(fā)展。以下是目前塑造勒索軟件格局的最顯著趨勢：

• 對 MSP 的壓力：?犯罪分子比以往任何時候都更針對托管服務(wù)提供商 (MSP)。破壞單個 MSP 為感染客戶端創(chuàng)造了機會，并允許攻擊者通過一次破壞來追蹤多個目標(biāo)。
• 更好的防御：公司正試圖通過新策略保持領(lǐng)先于黑客。改進的啟發(fā)式、行為分析和誘餌文件正在幫助公司預(yù)測攻擊而不是響應(yīng)危險。
• 瞄準(zhǔn)在家工作的公司：黑客繼續(xù)攻擊遠(yuǎn)程操作的團隊。使用個人設(shè)備在家工作的員工是主要目標(biāo)。
• 專注于混亂的行業(yè)：?攻擊者繼續(xù)掠奪受到大流行打擊的行業(yè)。醫(yī)療保健和教育機構(gòu)最容易受到攻擊，因為犯罪分子知道他們的數(shù)據(jù)很有價值，而且很可能保護不力。
• 比以往更多的 RaaS：勒索軟件即服務(wù)是一種基于訂閱的“服務(wù)”，允許黑客使用第三方工具進行攻擊。工具創(chuàng)建者獲得每次成功違規(guī)的一定比例，而“客戶”則完全專注于傳播惡意軟件。
• 最大威脅：2021 年最突出的勒索軟件是?Conti、Avvadon、REvil（前 Sodinokibi）、Netwalker和?Babuk。最常見的攻擊媒介仍然是?網(wǎng)絡(luò)釣魚電子郵件、RDP 漏洞利用和軟件漏洞。

勒索軟件如何運作？

當(dāng)惡意負(fù)載進入系統(tǒng)時，所有勒索軟件攻擊都從初始感染開始。一旦程序進入系統(tǒng)，勒索軟件就會執(zhí)行惡意二進制文件。根據(jù)惡意軟件的類型，有效載荷的目標(biāo)是：

• 自動搜索目標(biāo)數(shù)據(jù)（Microsoft Word 文檔、圖像、數(shù)據(jù)庫等）并開始加密。
• 連接到黑客的 C&C 服務(wù)器并授予對系統(tǒng)的直接控制權(quán)。
• 自動鎖定操作系統(tǒng)和設(shè)備。
• 搜索有價值的數(shù)據(jù)并設(shè)置滲透過程。

一旦程序完成其任務(wù)，用戶將失去對文件或整個計算機的訪問權(quán)限。該設(shè)備顯示一條消息，說明系統(tǒng)是勒索軟件的受害者，重新獲得控制或檢索數(shù)據(jù)的唯一方法是支付贖金。程序顯示此消息的兩種常見方式是：

• 變成贖金票據(jù)的背景。
• 每個加密目錄中的文本文件。

通常，每筆贖金都有兩個期限來向受害者施加壓力。第一個截止日期是黑客威脅要雙倍贖金的時候，另一個是攻擊者計劃刪除解密密鑰的時候。

大多數(shù)勒索軟件依賴于?非對稱加密。這種類型的密碼學(xué)使用一對唯一的密鑰來加密和解密數(shù)據(jù)。一個密鑰加密受害者的文件，檢索數(shù)據(jù)的唯一方法是使用存儲在黑客服務(wù)器上的密鑰。大多數(shù)勒索軟件程序?qū)γ總€目標(biāo)文件使用不同的解密密鑰。

勒索軟件是如何傳播的？

以下是犯罪分子用來傳播勒索軟件的最常用方法：

• 傳播損壞鏈接或附件的電子郵件網(wǎng)絡(luò)釣魚活動。
• 具有高度針對性的魚叉式網(wǎng)絡(luò)釣魚攻擊。
• 不同形式的?社會工程（誘餌、恐嚇軟件、借口、社交媒體上的把戲等）。
• 惡意廣告。
• 惡意網(wǎng)站上的漏洞利用工具包。
• 利用系統(tǒng)弱點（例如錯誤的 RDP 設(shè)置或由于服務(wù)器管理不善導(dǎo)致的缺陷）的自定義蠕蟲。
• 受感染的硬件（即 USB 和筆記本電腦）。
• 下載期間不需要的附加組件。

大多數(shù)頂級勒索軟件可以在感染初始受害者后通過網(wǎng)絡(luò)傳播。在許多情況下，受感染的設(shè)備是一個端點，而不是攻擊的目標(biāo)。典型的目標(biāo)是數(shù)據(jù)庫和服務(wù)器，因此大多數(shù)程序使用自傳播機制傳播到其他系統(tǒng)。

勒索軟件的目標(biāo)是誰？

勒索軟件犯罪分子可以攻擊任何人，但他們的主要目標(biāo)是那些似乎愿意迅速支付巨額贖金的公司。大多數(shù)攻擊針對的受害者是：

• 保留有價值的客戶數(shù)據(jù)（例如，銀行或律師事務(wù)所）。
• 要求立即訪問文件（醫(yī)院和診所）。
• 擁有不可替代的數(shù)據(jù)（政府機構(gòu)）。
• 依靠人手不足的安全團隊（公共機構(gòu)和中小企業(yè)）。
• 擁有不同的用戶群和大量文件共享（大學(xué)）。

如果您的業(yè)務(wù)不符合這些標(biāo)準(zhǔn)，請不要感到安全。犯罪分子是投機取巧的，不會放過任何機會去追捕任何易受傷害的人。此外，一些勒索軟件會在互聯(lián)網(wǎng)上自動傳播，因此每家公司都是潛在的目標(biāo)，無論其規(guī)模、行業(yè)或收入水平如何。

有多少種勒索軟件？

雖然所有勒索軟件程序都遵循類似的藍(lán)圖，但?這些網(wǎng)絡(luò)攻擊主要有兩種類型：

• Locker 勒索軟件（計算機鎖）：?一種將用戶鎖定在設(shè)備之外并阻止計算機啟動的惡意軟件。通常，鎖定的系統(tǒng)允許有限的訪問，以便受害者可以與黑客進行交互。
• 加密勒索軟件（數(shù)據(jù)鎖）：?一種對有價值數(shù)據(jù)進行加密而不將用戶鎖定在設(shè)備之外的攻擊。通常的目標(biāo)是財務(wù)數(shù)據(jù)、私人客戶信息、大型工作項目、照片、稅務(wù)信息、視頻等。

Locker 勒索軟件是不太危險的類型，因為這些攻擊不會通過網(wǎng)絡(luò)移動或損壞文件。這種惡意軟件也更容易在不支付贖金的情況下被刪除，這就是為什么儲物柜黑客經(jīng)常充當(dāng)警察來迫使受害者迅速付款的原因。

當(dāng)公司開始依賴更好的數(shù)據(jù)備份時，犯罪分子開始研究一種新的勒索軟件變體。Doxware?攻擊旨在?從目標(biāo)系統(tǒng)中竊取數(shù)據(jù)。如果程序?qū)?shù)據(jù)進行加固，攻擊者會以泄露文件或?qū)⑽募u給出價最高者的威脅要求贖金。

一些程序可以先泄露數(shù)據(jù)，然后加密文件。加密和 Doxware 功能的組合允許攻擊者使用這兩種勒索策略。

如何避免勒索軟件？

勒索軟件可能很難阻止，但員工意識、主動響應(yīng)計劃和基本安全衛(wèi)生的結(jié)合可以提供幫助。以下是每個企業(yè)應(yīng)實施以防止勒索軟件的最佳實踐：

• 使用最新的安全補丁使設(shè)備和系統(tǒng)保持最新。
• 確保團隊使用強大的電子郵件安全實踐。
• 組織安全意識培訓(xùn)?，以確保團隊了解勒索軟件的工作原理。
• 使用網(wǎng)絡(luò)分段來防止系統(tǒng)之間的橫向移動。
• 確保員工知道如何使用反惡意軟件和病毒解決方案。
• 強調(diào)安全上網(wǎng)的重要性，以避免惡意廣告和偷渡式下載。
• 提高整體網(wǎng)絡(luò)安全性。
• 依靠零信任策略和多因素身份驗證來保護重要系統(tǒng)和數(shù)據(jù)庫。
• 監(jiān)控網(wǎng)絡(luò)活動中的可疑行為。
• 確保端點不會成為定期更新和流量監(jiān)控的入口點。
• 創(chuàng)建事件響應(yīng)計劃。

將勒索軟件威脅降到最低的最佳方法是使用不可變備份。這種類型的備份是不可編輯的，因此入侵者無法加密、刪除或更改信息。每天多次備份數(shù)據(jù)，以最大程度地降低勒索軟件來襲時丟失數(shù)據(jù)的風(fēng)險。

遇到勒索軟件怎么辦？

即使是最好的勒索軟件保護有時也不足以阻止攻擊。如果您遭受攻擊，請按照以下步驟將損失降到最低并迅速恢復(fù)正常工作：

1. 隔離問題：使受感染的設(shè)備脫機并關(guān)閉網(wǎng)絡(luò)。該程序可能正在尋找其他設(shè)備和驅(qū)動器，因此消除橫向移動的可能性。
2. 評估損害：檢查每個可疑設(shè)備。檢查加密數(shù)據(jù)、帶有奇怪?jǐn)U展名的文件以及用戶無法打開文件的報告。列出所有受影響的系統(tǒng)，包括網(wǎng)絡(luò)設(shè)備、云存儲、外部硬盤驅(qū)動器、筆記本電腦、PC、便攜式設(shè)備等。
3. 找到零號病人：您必須確定攻擊的來源。查找來自您的防病毒和惡意軟件程序、EDR 系統(tǒng)和監(jiān)控平臺的警報。
4. 識別勒索軟件：您需要確定攻擊您公司的勒索軟件類型。大多數(shù)贖金記錄都會顯示攻擊者，但您也可以將消息文本輸入搜索引擎并以這種方式識別攻擊者。
5. 聯(lián)系當(dāng)局：警察可以幫助識別攻擊者，而且警察也有可能擁有相關(guān)勒索軟件的解密密鑰。
6. 使用備份來恢復(fù)數(shù)據(jù)：從備份中恢復(fù)每個受感染的系統(tǒng)。如果您有不可變的備份，則攻擊不會影響備份文件，因此請將每個設(shè)備恢復(fù)到上一個??安全狀態(tài)。接下來，使用反惡意軟件解決方案掃描設(shè)備以查找后門。

如果您沒有可行的備份并且警方?jīng)]有解密密鑰，您的選擇是支付贖金或減少損失。然而，正如我們在下面解釋的那樣，支付贖金可能不是最好的主意。

公司應(yīng)該支付贖金嗎？

如果一家公司沒有數(shù)據(jù)備份并且面臨數(shù)周或數(shù)月的恢復(fù)，那么支付贖金是很誘人的。但是，在做出決定之前，請考慮以下事項：

• 您有可能永遠(yuǎn)無法獲得解密密鑰：許多受害者支付了贖金，卻一無所獲。
• 解密密鑰可能不起作用：勒索軟件的創(chuàng)建者不從事文件恢復(fù)業(yè)務(wù)，因此犯罪分子不會花太多時間來確保解密工作正常。
• 您的文件可能太損壞了：一些勒索軟件程序會損壞無法修復(fù)的文件，以確保盡快進行加密。如果是這種情況，即使是解密密鑰也無法恢復(fù)文件。
• 你成為一個有價值的目標(biāo)：有支付贖金歷史的公司是新攻擊的有吸引力的目標(biāo)。同一個團隊將來可能會再次罷工，或者讓他們的同事知道公司愿意滿足哪些要求。
• 犯罪分子仍然可以泄露您的數(shù)據(jù)：如果攻擊者泄露了您的數(shù)據(jù)，即使您支付了贖金，也無法阻止他們將數(shù)據(jù)出售給出價最高的人。

與其權(quán)衡支付贖金是否正確，不如確保您的公司能夠應(yīng)對勒索軟件攻擊。有了適當(dāng)?shù)念A(yù)防措施和備份，您將永遠(yuǎn)不會處于必須考慮支付贖金的境地。

不要用勒索軟件冒險

對抗勒索軟件的最佳方法是建立健全的預(yù)防策略，并以完善的響應(yīng)計劃為后盾。使用本文向您的團隊介紹威脅并設(shè)置預(yù)防措施，以確保您能夠可靠地預(yù)防和從勒索軟件攻擊中恢復(fù)。