Check Point Research (CPR) 最近指出，在過去 12 個月中，平均每周勒索軟件攻擊次數(shù)增加了 93%。每周，全球有 1,200 多個組織淪為勒索軟件攻擊受害者，所有企業(yè)無一不面臨著嚴峻風險。 Cybersecurity Ventures 稱，今年勒索軟件造成的損失將達到約 200 億美元，較之 2015 年激增 57 倍。很難相信，到 2031 年，勒索軟件事件成本甚至可能超過 2650 億美元。

　　勒索軟件攻擊次數(shù)日益增長，原因很簡單，黑客正不斷攫取贖金。受害者支付意愿導致惡性循環(huán)，讓攻擊者得寸進尺。此外，網(wǎng)絡風險保險正變得越來越普及，因此公司會毫不猶豫地滿足網(wǎng)絡犯罪分子需求，致使問題進一步惡化。

　　此外，攻擊次數(shù)增加也與威脅手段可用性有關。許多黑客組織提供勒索軟件即服務，因此任何人都可以租用此類威脅侵害，包括利用基礎設施、與受害者談判或訪問可發(fā)布被盜信息的勒索網(wǎng)站。然后贖金被“合作伙伴”瓜分。

　　但勒索軟件攻擊通常并非始于勒索軟件，而往往是從一封“簡單”的網(wǎng)絡釣魚電子郵件開始。此外，黑客組織經(jīng)常狼狽為奸。例如，在 Ryuk 勒索軟件攻擊中，Emotet 惡意軟件被用于侵入網(wǎng)絡，然后網(wǎng)絡感染 Trickbot，最后勒索軟件對數(shù)據(jù)進行了加密。

　　企業(yè)如何知道自己是否已淪為勒索軟件攻擊受害者，又該如何有效應對呢？如果沒有及時發(fā)現(xiàn)，那么比較簡單，因為企業(yè)會收到一則索要贖金的消息，并將無法訪問企業(yè)數(shù)據(jù)。

　　此外，網(wǎng)絡犯罪分子還不斷升級勒索手段，增加贖金支付壓力。最初，勒索軟件“只是”加密數(shù)據(jù)，并要求受害者支付贖金才會對其進行解鎖。攻擊者很快增加了第二階段并在加密前竊取寶貴信息，并威脅稱如不支付贖金就將其公之于眾。除了加密以外，大約 40% 的新勒索軟件 家族還通過某種方式利用數(shù)據(jù)竊取。此外，最近勒索手段已發(fā)展到第三階段，被攻擊公司的合作伙伴或客戶也被聯(lián)系索要贖金，這是一種稱為 三重勒索 的新伎倆。

　　Check Point 軟件技術公司事件響應團隊處理過全球無數(shù)勒索軟件案例，建議您在遭到勒索軟件攻擊時遵循以下步驟：

　　1) 保持冷靜

　　如果貴企業(yè)淪為勒索軟件攻擊受害者，切勿驚慌。請立即聯(lián)系您的安全團隊，并對勒索信進行拍照取證，以供執(zhí)法部門執(zhí)行進一步調查。

　　2) 隔離受感染系統(tǒng)

　　立即斷開受感染系統(tǒng)與網(wǎng)絡其余部分的連接，防止遭到進一步破壞。同時，確定感染源。當然，如前所述，勒索軟件攻擊通常始于另一威脅，黑客可能已經(jīng)長期侵入系統(tǒng)，逐漸掩蓋其蹤跡，因此在沒有外部協(xié)助的情況下，大多數(shù)公司可能無法檢測“零號病人”。

　　3) 注意備份

　　攻擊者知道，企業(yè)將嘗試從備份中恢復數(shù)據(jù)，以避免支付贖金。正因如此，攻擊的一個環(huán)節(jié)通常是嘗試定位并加密或刪除備份。此外，切勿將外部設備連接到受感染設備。恢復加密數(shù)據(jù)可能會造成損壞，例如，密鑰錯誤所致。因此，創(chuàng)建加密數(shù)據(jù)副本將非常實用。解密工具也逐漸開發(fā)出來，可幫助破解以前未知的代碼。如果您確有尚未加密的備份，請在完全還原前檢查數(shù)據(jù)完整性。

　　4) 請勿重啟或執(zhí)行系統(tǒng)維護

　　關閉受感染系統(tǒng)上的自動更新及其他維護任務。刪除臨時文件或進行其他更改只會徒增調查和修復復雜度。同時，請勿重啟系統(tǒng)，因為某些威脅侵害可能會開始刪除文件。

　　5) 展開合作

　　在打擊網(wǎng)絡犯罪，尤其是勒索軟件的保衛(wèi)戰(zhàn)中，協(xié)作是關鍵。因此，請聯(lián)系執(zhí)法部門和國家網(wǎng)絡部門，并毫不猶豫地聯(lián)系可靠網(wǎng)絡安全公司的專門事件響應團隊。將攻擊事件告知員工，包括發(fā)現(xiàn)任何可疑行為時的處理方法說明。

　　6) 確定勒索軟件類型

　　如果攻擊者所發(fā)消息沒有直接說明其勒索軟件類型，那么您可以使用一套免費工具，請訪問 No More Ransom 項目 網(wǎng)站，從中找到專門針對您所遇勒索軟件的解密工具。

　　7) 是否支付贖金？

　　如果勒索軟件攻擊成功，企業(yè)將面臨是否支付贖金的選擇。不管怎樣，企業(yè)都必須回到事件伊始，找出事件發(fā)生的原因。無論是人為因素還是技術失靈，再次審查所有流程并重新審視整個策略，確保類似事件不再發(fā)生。無論企業(yè)是否支付贖金，都必須采取這一措施。絕不可因實現(xiàn)某種程度上的數(shù)據(jù)恢復并認為事件得到解決而感到釋懷。

　　是否支付贖金呢？答案并不像乍看起來那么簡單。盡管贖金數(shù)額有時高達數(shù)十萬或數(shù)百萬美元，但關鍵系統(tǒng)中斷所造成的損失往往超過上述金額。然而，企業(yè)必須切記，即使支付了贖金，也不意味著數(shù)據(jù)或部分數(shù)據(jù)將得以解密。甚至還發(fā)生過這種情況：攻擊者代碼存在漏洞，因此即便他們想要解密，企業(yè)也無法恢復數(shù)據(jù)。

　　不要匆忙做出決定，請慎重思量所有選擇。支付贖金應是萬不得已之舉。

　　如何將淪為下一個勒索軟件受害者的風險降至最低？

　　1.周末和節(jié)假日要格外警惕。過去一年中，大多數(shù)勒索軟件攻擊都發(fā)生在周末或節(jié)假日，此時企業(yè)的威脅響應速度很可能較慢。

　　2.定期安裝更新和補丁。WannaCry 于 2017 年 5 月重創(chuàng)了全球組織，三天內感染了超過 200,000 臺電腦。然而，在攻擊發(fā)生前一個月，針對被利用的 EternalBlue 漏洞的補丁便已提供。更新和補丁均需即時安裝并采用自動設置。

　　3.安裝反勒索軟件。反勒索軟件防護可監(jiān)視任何異常活動，例如打開和加密大量文件，如果檢測到任何可疑行為，它可以即時響應并防止大規(guī)模破壞。

　　4.安全教育是實施防護的重要組成部分。許多網(wǎng)絡攻擊都是從一封不含惡意軟件的針對性電子郵件開始，利用社交工程技術企圖誘騙用戶點擊危險鏈接。因此，用戶安全教育是實施防護的最重要部分之一。

　　5.勒索軟件攻擊并非始于勒索軟件，因此要警惕其他惡意代碼，例如 Trickbot 或 Dridex，它們會侵入企業(yè)并為后續(xù)勒索軟件攻擊創(chuàng)造條件。

　　6.備份和歸檔數(shù)據(jù)必不可少。如果出現(xiàn)問題，您的數(shù)據(jù)應可輕松快速恢復。必須始終備份，包括在員工設備上自動備份，而非依靠他們記住自己啟動備份。

　　7.限制僅訪問必要信息并實施分段訪問。如果您希望最大限度地減少潛在成功攻擊的影響，那么務必確保用戶僅可訪問其完成工作所必需的信息和資源。網(wǎng)絡分段將勒索軟件在整個網(wǎng)絡中肆意傳播的風險降至最低。對針對一個系統(tǒng)發(fā)起的勒索軟件攻擊進行善后可能并非易事，而在遭遇全網(wǎng)攻擊后修復損害將更具挑戰(zhàn)性。