勒索软件

什么是勒索软件

勒索软件 (Ransomware) 是一种感染计算机后加密文件，以解密为条件索要赎金 (Ransom) 的恶意软件。赎金通常以难以追踪的加密货币 (如比特币) 形式要求。

现代勒索软件不仅仅是文件加密 - - "双重勒索 (Double Extortion)"已成为主流。在加密之前先窃取数据，如果不支付赎金就威胁在泄露网站上公开。部分团伙已升级为"三重勒索"，增加 DDoS 攻击或直接联系受害者的客户和合作伙伴。

主要感染途径

• 钓鱼邮件：最常见的感染途径。诱骗受害者打开伪装成发票或快递通知的附件 (带宏的 Office 文件、ZIP 中的可执行文件)。近期变种还利用 OneNote 文件和 ISO 镜像。
• VPN 设备漏洞：利用未打补丁的 VPN 设备入侵企业网络。Fortinet 和 Pulse Secure 产品的漏洞被反复利用。许多组织延迟打补丁，导致暴露在风险中。
• RDP (远程桌面) 暴力破解：对暴露在互联网上的 RDP 端口进行暴力破解或凭证填充攻击。弱密码和缺乏多因素认证使这一途径非常有效。
• 供应链攻击：通过合法软件更新注入勒索软件。Kaseya 事件 (2021 年) 通过托管服务提供商的更新机制向超过 1,500 个组织分发了勒索软件。

有效的预防策略

防范勒索软件需要多层次的方法。

1. 实践 3-2-1 备份规则：在 2 种不同介质上保留 3 份数据副本，其中 1 份存放在异地。由于勒索软件也会加密网络可访问的备份，离线备份 (气隙隔离) 至关重要。
2. 及时补丁管理：尽快为操作系统、VPN 设备和应用程序应用安全补丁。优先处理已有已知利用的漏洞补丁。
3. 网络分段：将网络划分为多个区段，即使一个区段被攻破也能遏制扩散。将关键系统和备份服务器隔离在独立区段。
4. 端点检测与响应 (EDR)：部署 EDR 解决方案，检测可疑行为 (大规模文件加密、卷影副本删除) 并自动隔离受影响端点。
5. 邮件安全：实施邮件过滤以阻止恶意附件和 URL。对附件进行沙箱分析增加额外保护层。

感染时的应对步骤

如果感染了勒索软件，请保持冷静，按以下步骤应对。

1. 立即断开网络：拔掉感染设备的网线，禁用 Wi-Fi。防止横向扩散是最优先的行动。
2. 不要支付赎金：支付后不保证能收到解密密钥。支付资助了犯罪活动，并使您的组织成为未来攻击的"已付款目标"。
3. 检查解密工具：No More Ransom 项目 (nomoreransom.org) 为部分勒索软件变种提供免费解密工具。识别勒索软件类型并检查可用工具。
4. 从备份恢复：确认感染已被遏制后，从干净的备份恢复系统。恢复前验证备份未被加密。
5. 报告与调查：向执法机构和国家网络安全机构报告。进行取证调查以确定感染途径并防止再次发生。

常见误解

勒索软件只针对大企业

中小企业和个人也经常成为目标。安全措施薄弱的中小企业实际上被攻击者视为"容易下手的目标"。医院、地方政府和中小制造企业的受害案例大量报告。

支付赎金就能恢复数据

有报告显示支付后未提供解密密钥、解密失败或仅恢复部分文件的情况。支付过一次的组织往往被视为"有付款记录的目标"而再次遭到攻击。

相关术语