[[443161]]

什么是勒索軟件?

勒索軟件是一種惡意軟件威脅行為者用來感染計算機和加密計算機文件，直到支付贖金為止。在最初感染之后，勒索軟件將嘗試傳播到連接的系統，包括共享存儲驅動器和其他可訪問的計算機。

如果威脅行為者的贖金要求沒有得到滿足(即，如果受害者不支付贖金)，文件或加密數據通常會保持加密狀態，受害者無法獲得。即使在支付贖金以解鎖加密文件后，威脅行為者有時也會要求額外付款、刪除受害者的數據、拒絕解密數據或拒絕提供有效的解密密鑰來恢復受害者的訪問權限。絕對多數政府不支持支付勒索軟件要求。

勒索軟件如何運作?

勒索軟件會識別受感染系統上的驅動器，并開始加密每個驅動器中的文件。勒索通常增加了一個擴展加密的文件，.aaa、.micro、.encrypted、.ttt、.xyz、.zzz、.locky、.crypt、.cryptolocker、.vault、或.petya以表明文件已被加密所使用的文件的擴展名是唯一的勒索類型。

勒索軟件完成文件加密后，會創建并顯示一個或多個文件，其中包含有關受害者如何支付贖金的說明。如果受害者支付贖金，威脅行為者可能會提供一個加密密鑰，受害者可以用它來解鎖文件，使其可訪問。

勒索軟件是如何傳播的?

勒索軟件通常通過網絡釣魚電子郵件或“偷渡式下載”傳播。網絡釣魚電子郵件通常看起來好像是從合法組織或受害者認識的人發送的，并誘使用戶單擊惡意鏈接或打開惡意附件。“路過式下載”是一種未經用戶同意或通常在用戶不知情的情況下從 Internet 自動下載的程序。惡意代碼可能會在下載后運行，無需用戶交互。運行惡意代碼后，計算機會感染勒索軟件。

如何保護數據和網絡?

• 備份計算機。經常備份您的系統和其他重要文件，并定期驗證您的備份。如果您的計算機感染了勒索軟件，您可以使用備份將系統恢復到以前的狀態。
• 單獨存儲備份。最佳做法是將備份存儲在無法從網絡訪問的單獨設備上，例如存儲在外部硬盤驅動器上。備份完成后，請務必斷開外部硬盤驅動器，或將設備與網絡或計算機分開。(請參閱軟件工程學院關于勒索軟件頁面)。
• 培訓組織。組織應確保為其員工提供網絡安全意識培訓。理想情況下，組織將定期進行強制性的網絡安全意識培訓課程，以確保其人員了解當前的網絡安全威脅和威脅行為者技術。為了提高員工意識，組織可以使用模擬真實網絡釣魚電子郵件的網絡釣魚評估來測試他們的員工。

如何防止勒索軟件感染?

• 更新和修補計算機。確保應用程序和操作系統 (OS) 已使用最新補丁進行更新。易受攻擊的應用程序和操作系統是大多數勒索軟件攻擊的目標。(請參閱了解補丁和軟件更新。)
• 使用鏈接和輸入網站地址時要小心。直接單擊電子郵件中的鏈接時要小心，即使發件人看起來是認識的人。嘗試獨立驗證網站地址(例如，聯系組織的幫助臺，在 Internet 上搜索發件人組織的網站或電子郵件中提到的主題)。注意點擊的網站地址以及輸入的網址。惡意網站地址通常與合法網站幾乎相同，通常在拼寫上略有不同或使用不同的域(例如，.com而不是.net)。(請參閱謹慎處理電子郵件附件。)
• 謹慎打開電子郵件附件。小心打開電子郵件附件，即使是認為自己認識的發件人，尤其是當附件是壓縮文件或 ZIP 文件時。
• 確保個人信息安全。檢查網站的安全性以確保提交的信息在提供之前已加密。
• 驗證電子郵件發件人。如果不確定電子郵件是否合法，請嘗試通過直接聯系發件人來驗證電子郵件的合法性。不要點擊電子郵件中的任何鏈接。如果可能，在聯系發件人之前，使用以前的(合法的)電子郵件來確保發件人的聯系信息是真實的。
• 告知自己。隨時了解最近的網絡安全威脅和勒索軟件技術的最新信息?？梢栽诜淳W絡釣魚工作組網站上找到有關已知網絡釣魚攻擊的信息?？赡苓€想注冊CISA 產品通知，它會在發布新警報、分析報告、公告、當前活動或提示時提醒。
• 使用和維護預防性軟件程序。安裝防病毒軟件、防火墻和電子郵件過濾器——并保持更新——以減少惡意網絡流量。

如何應對勒索軟件感染?

• 遵循第10 頁的勒索軟件響應清單。所述的11 CISA-MS-ISAC聯合勒索指南。
• 掃描備份。如果可能，請使用防病毒程序掃描備份數據以檢查它是否沒有惡意軟件。

如果感染了勒索軟件，該怎么辦?

• 家庭用戶：立即聯系監管部門請求幫助。
• 組織：立即向 IT 服務臺或安全辦公室報告勒索軟件事件。
• 所有用戶：刪除勒索軟件后更改所有系統密碼。

參考來源：美國CISA官網