勒索軟件是組織在過去幾年中面臨的最具破壞性的惡意軟件威脅之一，而且沒有跡象表明攻擊者會很快停止。這對他們來說太有利可圖了。贖金要求從數萬美元增長到數百萬甚至數千萬美元，因為攻擊者了解到許多組織愿意支付。

您的組織是否突然受到了勒索軟件病毒的攻擊？如果有請深吸一口氣，盡量保持鎮定。面對攻擊很容易恐慌或不知所措，但保持冷靜和專注對您的組織做出最佳決策至關重要。

隨著越來越多的勒索軟件組織通過將文件加密與數據盜竊相結合來采用這種雙重勒索技術，最終導致拒絕服務的勒索軟件攻擊也會成為數據泄露，根據您所在的地區位置所要承擔的各種監管義務需要披露數據泄露事件。雖然過去私營公司不必公開披露勒索軟件攻擊，但由于這種數據泄露組件，他們可能會越來越多地被迫這樣做。

發生勒索軟件攻擊時應采取的初始措施

當勒索軟件攻擊發生時，需要執行兩個關鍵且時間敏感的操作：

• 確定攻擊者如何進入的、關閉漏洞并將他們踢出網絡
• 了解您正在處理的內容，這意味著確定勒索軟件變體，將其與威脅參與者聯系起來，并建立他們的可信度，尤其是當他們還提出數據盜竊索賠時。

第一個行動需要內部或外部的事件響應團隊，而第二個行動可能需要一家專門從事威脅情報的公司。

一些大公司聘用了這些團隊，但許多組織并沒有這樣做，而且在面臨勒索軟件攻擊時常常感到迷茫，最終浪費了寶貴的時間。在這些情況下，更好的方法可能是聘請在管理網絡攻擊響應方面具有專業知識的外部顧問。根據與 CSO 交談的國際律師事務所 Orrick 的律師的說法，在大約 75% 的案件中，外部律師首先被召集并開始響應流程，其中包括：

• 通知執法部門
• 聯系取證人員
• 與組織領導進行內部簡報溝通
• 以特權覆蓋調查
• 評估可能需要的對外界的通知

幫助受害組織與其保險公司聯系，通知他們攻擊事件并獲得費用批準，包括律師、取證、危機溝通和任何其他所需費用，包括在做出決定后支付贖金。

盡快斷開受影響的設備與網絡的連接。這有助于防止勒索軟件傳播到其他計算機或設備。

確定哪些數據受到影響并評估受損的程度。

確定感染您設備的勒索軟件病毒的具體類型，以了解該惡意軟件的運行方式以及您需要采取哪些步驟來將其刪除。

重要的是要將勒索軟件攻擊通知所有員工，并指示他們不要點擊任何可疑鏈接或打開任何可疑附件。

考慮報告攻擊。這有助于提高對攻擊的認識，也可能有助于防止未來的攻擊。請注意，在某些地區，法律要求企業主主動上報攻擊事件。

不要急于做出決定。在決定是否支付贖金或探索其他解決方案之前，請花時間仔細評估您的選擇以及每個選擇的潛在后果。

支付贖金并不是唯一的選擇。考慮探索其他解決方案，例如從備份中恢復數據。如果您沒有備份，網絡安全專家可能會幫助您恢復數據，因為許多勒索軟件變種已被解密并且密鑰是公開可用的。

網絡詐騙分子用來迅速從受害者那里獲取資金的策略

除了加密數據之外，網絡勒索者還使用各種策略。他們還使用攻擊后的多種勒索方法脅迫受害者向他們付款。通常，網絡犯罪分子會同時使用多種勒索策略。這些策略的一些例子包括：

(1) 竊取和泄露

網絡勒索者不僅對受害者的數據進行加密，而且還經常竊取這些數據。如果不支付贖金，被盜的數據文件可能會在專門的泄密網站上公開，這可能會對受害者的聲譽造成嚴重損害，并使他們更有可能屈服于勒索者的要求。

(2) 如果談判公司介入，則會銷毀密鑰

一些勒索軟件作者威脅說，如果他們尋求專業第三方的幫助來代表他們進行談判，他們將刪除解密受害者數據所需的私鑰。

(3) 發起 DDoS 攻擊

勒索軟件攻擊者經常威脅要用大量流量淹沒受害者的網站，以試圖將其關閉并恐嚇目標公司更快地支付贖金。

(4) 導致打印機行為異常

一些黑客能夠控制打印機并直接在合作伙伴和客戶面前打印勒索票據。這為勒索攻擊提供了高級別的可見性，因為人們很難忽略正在打印的贖金票據。

(5) 將 Facebook 廣告用于惡意目的

眾所周知，犯罪分子會使用廣告來吸引他們的注意力。在一個例子中，勒索軟件開發者使用 Facebook 廣告通過強調該組織防御薄弱來羞辱他們的受害者。

(6) 激起顧客的不安

勒索軟件作者可能會向數據遭到泄露的大公司的客戶發送恐嚇電子郵件。這些電子郵件威脅要泄露收件人的數據，除非受影響的組織支付贖金。攻擊者鼓勵收款人向受影響的公司施壓，要求他們迅速付款。

不要試圖自己處理這種情況

盡管勒索軟件是網絡攻擊領域的一種趨勢，但黑客并不總是能成功獲得贖金。他們必須不斷開發新方法來補充他們的勒索技術庫。

為了讓黑客的日子盡可能難過，最主要的是不要試圖單獨行動。要有完善的機制來打擊勒索者。

務必向他人尋求專業幫助，即使這意味著丟失部分或全部數據。有很多組織和資源可以提供專業的幫助和指導。一些潛在的選擇包括：

• 網絡安全專家：這些專業人員可以提供恢復數據的專業知識和幫助，以及如何防止未來攻擊的建議。
• 計算機應急響應團隊：許多國家和地區都有稱為CERT的組織，協助響應網絡事件（包括勒索軟件攻擊）并從中恢復。
• 勒索軟件恢復服務：一些公司專門幫助組織從勒索軟件攻擊中恢復，可以提供一系列服務，包括數據恢復、威脅評估和勒索軟件談判。
• 執法：在許多情況下，讓執法機構參與可能是合適的。他們可以幫助調查、幫助恢復數據、識別和起訴攻擊者。

仔細研究和評估您考慮使用的任何資源或服務至關重要。從多個來源尋求建議以找到最佳出路。

談判前

一般不建議與勒索軟件攻擊者協商或支付贖金。這樣做會鼓勵進一步的勒索軟件攻擊。支付贖金不僅支持攻擊者的犯罪活動，還會使您的組織面臨再次成為攻擊目標的風險。

請記住，無法保證攻擊者實際上會提供解密密鑰 - 即使您確實支付了贖金。因此，在決定支付之前仔細權衡風險和潛在后果非常重要。

勒索軟件攻擊和支付通常是匿名進行的，使用加密的通信渠道和加密貨幣。黑客通常會提供加密的聊天或電子郵件服務進行通信。嘗試與對手協商額外的溝通渠道和方式。嘗試與攻擊者建立一條涉及相互信任的通信線路（在這種情況下盡可能多。）

如果您決定與攻擊者談判并支付贖金，請務必記錄所有通信，包括支付贖金的任何說明。此信息可能對正在調查攻擊的執法部門和網絡安全專家有所幫助。

要求攻擊者演示解密密鑰，并通過解密幾個隨機文件來證明它確實有效。這可以幫助您確保您是在與真正的攻擊者打交道，而不是第三方。

研究攻擊者及其過去的行為。如果已知攻擊者在過去收到付款后會協商或提供解密密鑰，這可能有助于增加您對協商的信心，也可能使您有能力協商較低的金額。

與攻擊者談判的技巧

如果您已用盡所有其他選擇并確定支付贖金是恢復數據的唯一方法，請參考以下與黑客談判的一些提示：

• 攻擊者可能試圖通過威脅銷毀或泄露數據來向您施壓，但重要的是不要讓這影響您的決定。不要表現出任何絕望或緊迫的跡象。始終保持冷靜和沉著。
• 不要透露您是否有網絡風險保險或網絡責任保險 (CLIC)。
• 不要提出預先支付全部贖金。相反，請考慮預先支付一小部分贖金，其余部分在提供解密密鑰并且您已成功解密所有數據后支付。
• 考慮以您已經擁有但不太常用或不易追蹤的加密貨幣支付贖金。這會使攻擊者更難將贖金轉換為實際金錢，并可能使他們更愿意協商較低的金額。
• 考慮主動公開攻擊和贖金談判，以對攻擊者施加壓力。這可能會使攻擊者在未來勒索其他受害者變得更加困難，并可能使他們更愿意協商較低的贖金金額。
• 如果攻擊者已經同意協商贖金金額并降低了價格，您可以嘗試通過繼續協商并提供較低的金額來推動進一步降低。但是，請記住，攻擊者可能有一個他們愿意接受的最低金額，并且可能無法推動他們進一步降低價格。

如果攻擊者不愿妥協或他們提供的條款不可接受，請準備好退出談判，即使這會導致您的數據丟失。

如何防止勒索軟件攻擊

將重點放在預防措施上總是好的，以避免首先成為勒索軟件的受害者。以下是這方面的一些提示：

• 實施穩健的網絡安全政策，包括定期軟件更新和安全軟件的使用。
• 教育您的員工了解勒索軟件的風險以及如何防范它，例如不要打開附件或點擊來自不熟悉來源的鏈接。
• 注意備份并實施災難恢復計劃，以確保您可以在數據加密時恢復數據。
• 使用強而獨特的密碼并盡可能使用MFA。
• 考慮購買網絡安全保險，以保護您的公司免受勒索軟件攻擊造成的經濟損失。