[[443161]]

什么是勒索軟件?

勒索軟件是一種惡意軟件威脅行為者用來(lái)感染計(jì)算機(jī)和加密計(jì)算機(jī)文件，直到支付贖金為止。在最初感染之后，勒索軟件將嘗試傳播到連接的系統(tǒng)，包括共享存儲(chǔ)驅(qū)動(dòng)器和其他可訪問(wèn)的計(jì)算機(jī)。

如果威脅行為者的贖金要求沒(méi)有得到滿足(即，如果受害者不支付贖金)，文件或加密數(shù)據(jù)通常會(huì)保持加密狀態(tài)，受害者無(wú)法獲得。即使在支付贖金以解鎖加密文件后，威脅行為者有時(shí)也會(huì)要求額外付款、刪除受害者的數(shù)據(jù)、拒絕解密數(shù)據(jù)或拒絕提供有效的解密密鑰來(lái)恢復(fù)受害者的訪問(wèn)權(quán)限。絕對(duì)多數(shù)政府不支持支付勒索軟件要求。

勒索軟件如何運(yùn)作?

勒索軟件會(huì)識(shí)別受感染系統(tǒng)上的驅(qū)動(dòng)器，并開始加密每個(gè)驅(qū)動(dòng)器中的文件。勒索通常增加了一個(gè)擴(kuò)展加密的文件，.aaa、.micro、.encrypted、.ttt、.xyz、.zzz、.locky、.crypt、.cryptolocker、.vault、或.petya以表明文件已被加密所使用的文件的擴(kuò)展名是唯一的勒索類型。

勒索軟件完成文件加密后，會(huì)創(chuàng)建并顯示一個(gè)或多個(gè)文件，其中包含有關(guān)受害者如何支付贖金的說(shuō)明。如果受害者支付贖金，威脅行為者可能會(huì)提供一個(gè)加密密鑰，受害者可以用它來(lái)解鎖文件，使其可訪問(wèn)。

勒索軟件是如何傳播的?

勒索軟件通常通過(guò)網(wǎng)絡(luò)釣魚電子郵件或“偷渡式下載”傳播。網(wǎng)絡(luò)釣魚電子郵件通?？雌饋?lái)好像是從合法組織或受害者認(rèn)識(shí)的人發(fā)送的，并誘使用戶單擊惡意鏈接或打開惡意附件。“路過(guò)式下載”是一種未經(jīng)用戶同意或通常在用戶不知情的情況下從 Internet 自動(dòng)下載的程序。惡意代碼可能會(huì)在下載后運(yùn)行，無(wú)需用戶交互。運(yùn)行惡意代碼后，計(jì)算機(jī)會(huì)感染勒索軟件。

如何保護(hù)數(shù)據(jù)和網(wǎng)絡(luò)?

• 備份計(jì)算機(jī)。經(jīng)常備份您的系統(tǒng)和其他重要文件，并定期驗(yàn)證您的備份。如果您的計(jì)算機(jī)感染了勒索軟件，您可以使用備份將系統(tǒng)恢復(fù)到以前的狀態(tài)。
• 單獨(dú)存儲(chǔ)備份。最佳做法是將備份存儲(chǔ)在無(wú)法從網(wǎng)絡(luò)訪問(wèn)的單獨(dú)設(shè)備上，例如存儲(chǔ)在外部硬盤驅(qū)動(dòng)器上。備份完成后，請(qǐng)務(wù)必?cái)嚅_外部硬盤驅(qū)動(dòng)器，或?qū)⒃O(shè)備與網(wǎng)絡(luò)或計(jì)算機(jī)分開。(請(qǐng)參閱軟件工程學(xué)院關(guān)于勒索軟件頁(yè)面)。
• 培訓(xùn)組織。組織應(yīng)確保為其員工提供網(wǎng)絡(luò)安全意識(shí)培訓(xùn)。理想情況下，組織將定期進(jìn)行強(qiáng)制性的網(wǎng)絡(luò)安全意識(shí)培訓(xùn)課程，以確保其人員了解當(dāng)前的網(wǎng)絡(luò)安全威脅和威脅行為者技術(shù)。為了提高員工意識(shí)，組織可以使用模擬真實(shí)網(wǎng)絡(luò)釣魚電子郵件的網(wǎng)絡(luò)釣魚評(píng)估來(lái)測(cè)試他們的員工。

如何防止勒索軟件感染?

• 更新和修補(bǔ)計(jì)算機(jī)。確保應(yīng)用程序和操作系統(tǒng) (OS) 已使用最新補(bǔ)丁進(jìn)行更新。易受攻擊的應(yīng)用程序和操作系統(tǒng)是大多數(shù)勒索軟件攻擊的目標(biāo)。(請(qǐng)參閱了解補(bǔ)丁和軟件更新。)
• 使用鏈接和輸入網(wǎng)站地址時(shí)要小心。直接單擊電子郵件中的鏈接時(shí)要小心，即使發(fā)件人看起來(lái)是認(rèn)識(shí)的人。嘗試獨(dú)立驗(yàn)證網(wǎng)站地址(例如，聯(lián)系組織的幫助臺(tái)，在 Internet 上搜索發(fā)件人組織的網(wǎng)站或電子郵件中提到的主題)。注意點(diǎn)擊的網(wǎng)站地址以及輸入的網(wǎng)址。惡意網(wǎng)站地址通常與合法網(wǎng)站幾乎相同，通常在拼寫上略有不同或使用不同的域(例如，.com而不是.net)。(請(qǐng)參閱謹(jǐn)慎處理電子郵件附件。)
• 謹(jǐn)慎打開電子郵件附件。小心打開電子郵件附件，即使是認(rèn)為自己認(rèn)識(shí)的發(fā)件人，尤其是當(dāng)附件是壓縮文件或 ZIP 文件時(shí)。
• 確保個(gè)人信息安全。檢查網(wǎng)站的安全性以確保提交的信息在提供之前已加密。
• 驗(yàn)證電子郵件發(fā)件人。如果不確定電子郵件是否合法，請(qǐng)嘗試通過(guò)直接聯(lián)系發(fā)件人來(lái)驗(yàn)證電子郵件的合法性。不要點(diǎn)擊電子郵件中的任何鏈接。如果可能，在聯(lián)系發(fā)件人之前，使用以前的(合法的)電子郵件來(lái)確保發(fā)件人的聯(lián)系信息是真實(shí)的。
• 告知自己。隨時(shí)了解最近的網(wǎng)絡(luò)安全威脅和勒索軟件技術(shù)的最新信息?？梢栽诜淳W(wǎng)絡(luò)釣魚工作組網(wǎng)站上找到有關(guān)已知網(wǎng)絡(luò)釣魚攻擊的信息。可能還想注冊(cè)CISA 產(chǎn)品通知，它會(huì)在發(fā)布新警報(bào)、分析報(bào)告、公告、當(dāng)前活動(dòng)或提示時(shí)提醒。
• 使用和維護(hù)預(yù)防性軟件程序。安裝防病毒軟件、防火墻和電子郵件過(guò)濾器——并保持更新——以減少惡意網(wǎng)絡(luò)流量。

如何應(yīng)對(duì)勒索軟件感染?

• 遵循第10 頁(yè)的勒索軟件響應(yīng)清單。所述的11 CISA-MS-ISAC聯(lián)合勒索指南。
• 掃描備份。如果可能，請(qǐng)使用防病毒程序掃描備份數(shù)據(jù)以檢查它是否沒(méi)有惡意軟件。

如果感染了勒索軟件，該怎么辦?

• 家庭用戶：立即聯(lián)系監(jiān)管部門請(qǐng)求幫助。
• 組織：立即向 IT 服務(wù)臺(tái)或安全辦公室報(bào)告勒索軟件事件。
• 所有用戶：刪除勒索軟件后更改所有系統(tǒng)密碼。

參考來(lái)源：美國(guó)CISA官網(wǎng)