Check Point Research (CPR) 最近指出，在過(guò)去 12 個(gè)月中，平均每周勒索軟件攻擊次數(shù)增加了 93%。每周，全球有 1,200 多個(gè)組織淪為勒索軟件攻擊受害者，所有企業(yè)無(wú)一不面臨著嚴(yán)峻風(fēng)險(xiǎn)。 Cybersecurity Ventures 稱(chēng)，今年勒索軟件造成的損失將達(dá)到約 200 億美元，較之 2015 年激增 57 倍。很難相信，到 2031 年，勒索軟件事件成本甚至可能超過(guò) 2650 億美元。

　　勒索軟件攻擊次數(shù)日益增長(zhǎng)，原因很簡(jiǎn)單，黑客正不斷攫取贖金。受害者支付意愿導(dǎo)致惡性循環(huán)，讓攻擊者得寸進(jìn)尺。此外，網(wǎng)絡(luò)風(fēng)險(xiǎn)保險(xiǎn)正變得越來(lái)越普及，因此公司會(huì)毫不猶豫地滿足網(wǎng)絡(luò)犯罪分子需求，致使問(wèn)題進(jìn)一步惡化。

　　此外，攻擊次數(shù)增加也與威脅手段可用性有關(guān)。許多黑客組織提供勒索軟件即服務(wù)，因此任何人都可以租用此類(lèi)威脅侵害，包括利用基礎(chǔ)設(shè)施、與受害者談判或訪問(wèn)可發(fā)布被盜信息的勒索網(wǎng)站。然后贖金被“合作伙伴”瓜分。

　　但勒索軟件攻擊通常并非始于勒索軟件，而往往是從一封“簡(jiǎn)單”的網(wǎng)絡(luò)釣魚(yú)電子郵件開(kāi)始。此外，黑客組織經(jīng)常狼狽為奸。例如，在 Ryuk 勒索軟件攻擊中，Emotet 惡意軟件被用于侵入網(wǎng)絡(luò)，然后網(wǎng)絡(luò)感染 Trickbot，最后勒索軟件對(duì)數(shù)據(jù)進(jìn)行了加密。

　　企業(yè)如何知道自己是否已淪為勒索軟件攻擊受害者，又該如何有效應(yīng)對(duì)呢？如果沒(méi)有及時(shí)發(fā)現(xiàn)，那么比較簡(jiǎn)單，因?yàn)槠髽I(yè)會(huì)收到一則索要贖金的消息，并將無(wú)法訪問(wèn)企業(yè)數(shù)據(jù)。

　　此外，網(wǎng)絡(luò)犯罪分子還不斷升級(jí)勒索手段，增加贖金支付壓力。最初，勒索軟件“只是”加密數(shù)據(jù)，并要求受害者支付贖金才會(huì)對(duì)其進(jìn)行解鎖。攻擊者很快增加了第二階段并在加密前竊取寶貴信息，并威脅稱(chēng)如不支付贖金就將其公之于眾。除了加密以外，大約 40% 的新勒索軟件 家族還通過(guò)某種方式利用數(shù)據(jù)竊取。此外，最近勒索手段已發(fā)展到第三階段，被攻擊公司的合作伙伴或客戶也被聯(lián)系索要贖金，這是一種稱(chēng)為 三重勒索 的新伎倆。

　　Check Point 軟件技術(shù)公司事件響應(yīng)團(tuán)隊(duì)處理過(guò)全球無(wú)數(shù)勒索軟件案例，建議您在遭到勒索軟件攻擊時(shí)遵循以下步驟：

　　1) 保持冷靜

　　如果貴企業(yè)淪為勒索軟件攻擊受害者，切勿驚慌。請(qǐng)立即聯(lián)系您的安全團(tuán)隊(duì)，并對(duì)勒索信進(jìn)行拍照取證，以供執(zhí)法部門(mén)執(zhí)行進(jìn)一步調(diào)查。

　　2) 隔離受感染系統(tǒng)

　　立即斷開(kāi)受感染系統(tǒng)與網(wǎng)絡(luò)其余部分的連接，防止遭到進(jìn)一步破壞。同時(shí)，確定感染源。當(dāng)然，如前所述，勒索軟件攻擊通常始于另一威脅，黑客可能已經(jīng)長(zhǎng)期侵入系統(tǒng)，逐漸掩蓋其蹤跡，因此在沒(méi)有外部協(xié)助的情況下，大多數(shù)公司可能無(wú)法檢測(cè)“零號(hào)病人”。

　　3) 注意備份

　　攻擊者知道，企業(yè)將嘗試從備份中恢復(fù)數(shù)據(jù)，以避免支付贖金。正因如此，攻擊的一個(gè)環(huán)節(jié)通常是嘗試定位并加密或刪除備份。此外，切勿將外部設(shè)備連接到受感染設(shè)備?；謴?fù)加密數(shù)據(jù)可能會(huì)造成損壞，例如，密鑰錯(cuò)誤所致。因此，創(chuàng)建加密數(shù)據(jù)副本將非常實(shí)用。解密工具也逐漸開(kāi)發(fā)出來(lái)，可幫助破解以前未知的代碼。如果您確有尚未加密的備份，請(qǐng)?jiān)谕耆€原前檢查數(shù)據(jù)完整性。

　　4) 請(qǐng)勿重啟或執(zhí)行系統(tǒng)維護(hù)

　　關(guān)閉受感染系統(tǒng)上的自動(dòng)更新及其他維護(hù)任務(wù)。刪除臨時(shí)文件或進(jìn)行其他更改只會(huì)徒增調(diào)查和修復(fù)復(fù)雜度。同時(shí)，請(qǐng)勿重啟系統(tǒng)，因?yàn)槟承┩{侵害可能會(huì)開(kāi)始刪除文件。

　　5) 展開(kāi)合作

　　在打擊網(wǎng)絡(luò)犯罪，尤其是勒索軟件的保衛(wèi)戰(zhàn)中，協(xié)作是關(guān)鍵。因此，請(qǐng)聯(lián)系執(zhí)法部門(mén)和國(guó)家網(wǎng)絡(luò)部門(mén)，并毫不猶豫地聯(lián)系可靠網(wǎng)絡(luò)安全公司的專(zhuān)門(mén)事件響應(yīng)團(tuán)隊(duì)。將攻擊事件告知員工，包括發(fā)現(xiàn)任何可疑行為時(shí)的處理方法說(shuō)明。

　　6) 確定勒索軟件類(lèi)型

　　如果攻擊者所發(fā)消息沒(méi)有直接說(shuō)明其勒索軟件類(lèi)型，那么您可以使用一套免費(fèi)工具，請(qǐng)?jiān)L問(wèn) No More Ransom 項(xiàng)目 網(wǎng)站，從中找到專(zhuān)門(mén)針對(duì)您所遇勒索軟件的解密工具。

　　7) 是否支付贖金？

　　如果勒索軟件攻擊成功，企業(yè)將面臨是否支付贖金的選擇。不管怎樣，企業(yè)都必須回到事件伊始，找出事件發(fā)生的原因。無(wú)論是人為因素還是技術(shù)失靈，再次審查所有流程并重新審視整個(gè)策略，確保類(lèi)似事件不再發(fā)生。無(wú)論企業(yè)是否支付贖金，都必須采取這一措施。絕不可因?qū)崿F(xiàn)某種程度上的數(shù)據(jù)恢復(fù)并認(rèn)為事件得到解決而感到釋?xiě)选?/p>

　　是否支付贖金呢？答案并不像乍看起來(lái)那么簡(jiǎn)單。盡管贖金數(shù)額有時(shí)高達(dá)數(shù)十萬(wàn)或數(shù)百萬(wàn)美元，但關(guān)鍵系統(tǒng)中斷所造成的損失往往超過(guò)上述金額。然而，企業(yè)必須切記，即使支付了贖金，也不意味著數(shù)據(jù)或部分?jǐn)?shù)據(jù)將得以解密。甚至還發(fā)生過(guò)這種情況：攻擊者代碼存在漏洞，因此即便他們想要解密，企業(yè)也無(wú)法恢復(fù)數(shù)據(jù)。

　　不要匆忙做出決定，請(qǐng)慎重思量所有選擇。支付贖金應(yīng)是萬(wàn)不得已之舉。

　　如何將淪為下一個(gè)勒索軟件受害者的風(fēng)險(xiǎn)降至最低？

　　1.周末和節(jié)假日要格外警惕。過(guò)去一年中，大多數(shù)勒索軟件攻擊都發(fā)生在周末或節(jié)假日，此時(shí)企業(yè)的威脅響應(yīng)速度很可能較慢。

　　2.定期安裝更新和補(bǔ)丁。WannaCry 于 2017 年 5 月重創(chuàng)了全球組織，三天內(nèi)感染了超過(guò) 200,000 臺(tái)電腦。然而，在攻擊發(fā)生前一個(gè)月，針對(duì)被利用的 EternalBlue 漏洞的補(bǔ)丁便已提供。更新和補(bǔ)丁均需即時(shí)安裝并采用自動(dòng)設(shè)置。

　　3.安裝反勒索軟件。反勒索軟件防護(hù)可監(jiān)視任何異?；顒?dòng)，例如打開(kāi)和加密大量文件，如果檢測(cè)到任何可疑行為，它可以即時(shí)響應(yīng)并防止大規(guī)模破壞。

　　4.安全教育是實(shí)施防護(hù)的重要組成部分。許多網(wǎng)絡(luò)攻擊都是從一封不含惡意軟件的針對(duì)性電子郵件開(kāi)始，利用社交工程技術(shù)企圖誘騙用戶點(diǎn)擊危險(xiǎn)鏈接。因此，用戶安全教育是實(shí)施防護(hù)的最重要部分之一。

　　5.勒索軟件攻擊并非始于勒索軟件，因此要警惕其他惡意代碼，例如 Trickbot 或 Dridex，它們會(huì)侵入企業(yè)并為后續(xù)勒索軟件攻擊創(chuàng)造條件。

　　6.備份和歸檔數(shù)據(jù)必不可少。如果出現(xiàn)問(wèn)題，您的數(shù)據(jù)應(yīng)可輕松快速恢復(fù)。必須始終備份，包括在員工設(shè)備上自動(dòng)備份，而非依靠他們記住自己?jiǎn)?dòng)備份。

　　7.限制僅訪問(wèn)必要信息并實(shí)施分段訪問(wèn)。如果您希望最大限度地減少潛在成功攻擊的影響，那么務(wù)必確保用戶僅可訪問(wèn)其完成工作所必需的信息和資源。網(wǎng)絡(luò)分段將勒索軟件在整個(gè)網(wǎng)絡(luò)中肆意傳播的風(fēng)險(xiǎn)降至最低。對(duì)針對(duì)一個(gè)系統(tǒng)發(fā)起的勒索軟件攻擊進(jìn)行善后可能并非易事，而在遭遇全網(wǎng)攻擊后修復(fù)損害將更具挑戰(zhàn)性。