“誠實的”勒索軟件團伙的過去早已一去不復返了。過去，勒索軟件團體相互施壓，要求對方在支付贖金后兌現文件解密承諾。然而，他們的動機遠非利他主義。他們認為，如果他們的文件永遠無法恢復的消息傳開，受害者將不太愿意支付。今天，游戲規則已經發生了巨大的變化。

現在，勒索軟件環境就像狂野的西部。幾乎任何事情都會發生，即使是技術技能有限的演員也可以參與其中。但最終，威脅組織可能搬起石頭砸自己的腳。如果攻擊者破壞了您的文件，那么支付贖金有什么意義呢？

不再有勒索軟件榮譽代碼

在勒索軟件相對較新的時代，數據竊賊之間有一種榮譽準則。他們互相鼓勵，一定要在收款后解密受害者的檔案。過去，敲詐勒索者擔心，如果人們認為他們無法取回文件，他們可能不會付款。

快進到今天，我們發現了什么？我們有像Onyx這樣的勒索軟件，它會刪除任何大小超過 2MB 的文件，從而導致它們永久丟失。如果受害者支付贖金，則只能檢索小于此閾值的文件。

最初，安全專家認為覆蓋文件是蓄意針對最大可用文件的嘗試。但是，鑒于目前的理解是閾值是 2MB，文件覆蓋可能是偶然的。無論是故意的惡意行為還是無意的編碼錯誤，結果都是一樣的：Onyx 受害者永遠無法取回更大、更重要的文件。

勒索軟件三重勒索

早期的勒索軟件威脅非常簡單：攻擊者僅通過文件加密和滲漏來威脅受害者。接下來，犯罪分子也開始威脅要在暗網或公共互聯網上泄露或出售數據。專家稱這種做法為“雙重勒索”。但網絡罪犯并沒有就此止步。現在，有三重勒索，其中包括：

1. 數據加密和泄露
2. 數據泄露或出售的威脅
3. 針對受害者伴侶的攻擊或其他施壓策略。

三重勒索攻擊帶來了新的危險。惡意行為者可能會采取各種方法來增加對受害者的壓力。他們可能會向受害者的客戶或供應商索要贖金，包括發出數據泄露威脅、發動 DDoS 攻擊甚至撥打恐嚇電話。在一個特別值得注意的案例中，網絡罪犯通過劫持一家公司的打印機并打印炸彈勒索贖金票據，進行了三重勒索勒索軟件攻擊，直到受害者付清贖金。

勒索軟件的狂野西部

如今，勒索軟件已成為勒索軟件即服務(RaaS) 的主流。RaaS 已成為更大的惡意軟件即服務(MaaS) 趨勢的一部分。與 SaaS 同行一樣，MaaS 品牌可以擁有精美的網站、每月新聞通訊、新功能公告和定制。他們甚至擁有自己的視頻教程、白皮書和 Twitter 帳戶。

通過以服務形式提供勒索軟件，幾乎任何人都可以成為威脅者。有些包甚至是免費提供的，這讓事情變得更加難以預測。10 月，Cryptonite勒索軟件成為對 Microsoft Windows 系統的威脅。威脅行為者用 Python 編寫惡意軟件并將其作為可訪問的開源工具包的一部分進行分發。結果，任何人都可以免費獲取和使用 Cryptonite。

Fortinet網絡安全研究人員對 Cryptonite 進行了分析，得出的結論是該勒索軟件的功能有限，僅提供基本功能。然而，研究人員發現了更糟糕的事情。即使受害者支付了贖金，Cryptonite 也不提供任何解密加密文件的方法。相反，它本質上是一種擦除器惡意軟件，類似于 Onyx。

值得支付贖金嗎？

Sophos 的研究表明，在 2021 年支付贖金的組織僅取回了 61% 的數據，低于 2020 年的 65%。同樣，支付贖金的組織中只有 4% 在 2021 年取回了所有數據，低于 8% 2020年。

Sophos 報告還顯示，2021 年遭受勒索軟件攻擊的組織中有 99% 恢復了一些加密數據。數據備份是用于恢復數據的首選方法，73% 的數據被加密的組織都使用這種方法。同時，46% 的人表示他們支付了贖金以恢復數據。研究結果表明，許多組織使用多種恢復方法來最大限度地提高恢復文件的速度和效率。

聯邦政府建議組織不要支付任何贖金。相反，公司應該為惡意軟件攻擊做好準備。例如，IT 團隊應該在異地維護關鍵數據的經過測試的備份。此外，關于如何發現網絡釣魚企圖的持續安全培訓應該成為公司員工網絡意識戰略的一部分。

還有“不再勒索”倡議來對抗勒索軟件的影響。該計劃已成功幫助超過150 萬受害者在不屈服于勒索要求的情況下解密他們的機器。在該計劃六周年之際，超過 1000 萬人下載了解密工具。

2016 年，歐洲刑警組織、荷蘭國家警察 (Politie) 以及私人網絡安全和 IT 公司發起了 No More Ransom。隨著時間的推移，該計劃不斷壯大，現在為 165 種勒索軟件變體提供 136 種免費解密工具，其中包括臭名昭著的毒株，如 GandCrab、REvil 和 Maze。

No More Ransom 已經聚集了超過 188 個來自公共和私營部門、執法部門、學術界和其他部門的合作伙伴。該計劃繼續開發新的解密工具，并憑借其提供 37 種語言的門戶，不斷幫助全球的勒索軟件受害者。

停止勒索軟件

為防止成為勒索軟件攻擊的受害者，每個人都可以采取某些措施。數據備份比以往任何時候都更加重要。對于破壞文件的新勒索軟件變種，備份是取回文件的唯一方法。

此外，使用最新的安全補丁使安全軟件和操作系統保持最新狀態也至關重要。采用多因素身份驗證還有助于防止勒索軟件攻擊經常利用的帳戶黑客攻擊和濫用行為。

編譯自：IBM securityintelligence

原作者：蘇波倫巴