在当今互联互通的世界中,我们的职业生涯围绕着技术展开,勒索软件的威胁迫在眉睫。对于网络犯罪分子来说,这是一项有利可图的业务,造成数十亿美元的损失。您可能还没有受到勒索软件attack,但情况可能并非总是如此——不幸的是,可能性对您不利。

本综合指南旨在为您提供预防勒索软件attack并从中恢复所需的知识和策略。通过准备和最新的网络安全见解,您可以保护您的数字世界。

在《2023 年勒索软件趋势报告》中,Veeam 发现,在受到勒索软件attack的组织中,只有 16% 能够在不支付赎金的情况下恢复。这意味着,尽管几乎每个企业都有某种类型的备份,但只有六分之一的企业能够在attack后使用备份恢复业务运营。要让这个数字接近 100%,首先要知道你面临什么,并制定策略来保护你的业务。

勒索软件威胁

2022 年,联邦调查局的互联网犯罪投诉中心收到了 2,385 起勒索软件投诉,调整后的损失超过 3430 万美元,而这些只是被举报的投诉。Cybersecurity Ventures 预计,到 2031 年,企业将每隔一秒成为勒索软件attack的受害者,高于 2021 年的每 11 秒、2019 年的每 14 秒和 2016 年的每 40 秒。根据 Cybersecurity Ventures 的数据,到 2031 年,受害者的指数级增长将转化为近 2650 亿美元的勒索软件损失。

个人和平均赎金金额也达到了新的高度。根据网络勒索事件响应公司 Coveware 的数据,2023 年第一季度的平均赎金支付额为 327,883 美元,比 2022 年第一季度(211,529 美元)增长 55%。而且,45% 的attack的初始需求超过 100 万美元。

如何恢复和防止勒索软件Attack的指南_勒索防护

勒索软件影响所有行业,从公共部门(州和地方政府以及教育机构)到医疗保健和技术。没有一组可以幸免,如下图所示。

如何恢复和防止勒索软件Attack的指南_勒索防护_02

勒索软件仍然是各行各业企业的主要威胁,但影响最大的仍然是中小型企业 (SMB)。如下表所示,受勒索软件attack影响的所有公司中,绝大多数 (66.9%) 是拥有 11 至 1,000 名员工的中小型企业。

如何恢复和防止勒索软件Attack的指南_内网安全指南_03

无论您的公司规模如何,您都需要了解勒索软件的工作原理,包括勒索软件即服务 (RaaS),以及生成式人工智能 (AI) 工具的最新发展如何改变勒索软件格局。

勒索软件即服务

勒索软件即服务已成为网络犯罪领域的游戏规则改变者,彻底改变了勒索软件的格局,并扩大了恶意attack的规模和范围。RaaS 商业模式甚至允许新手网络犯罪分子相对轻松地访问和部署勒索软件,导致全球勒索软件attack的频率和复杂性激增

传统上,勒索软件attack需要高水平的技术专长和资源,将其流行限制在熟练的网络犯罪分子或有组织的网络犯罪集团中。然而,RaaS 平台的出现降低了进入门槛,使勒索软件可供更广泛的怀有恶意的个人使用。这些平台为有抱负的网络犯罪分子提供现成的勒索软件工具包,并配有用户友好的界面、分步说明,甚至客户支持。从本质上讲,RaaS 以订阅或利润分享模式运行,允许犯罪分子分发勒索软件并与 RaaS 运营商分享赎金

RaaS 的兴起导致勒索软件attack激增,网络犯罪分子利用暗网的匿名性进行协作、共享资源并发起大规模活动。RaaS 模型不仅促进了勒索软件的分发,而且还为犯罪分子提供了分析仪表板来跟踪其活动的绩效,使他们能够优化策略以获得最大利润。

RaaS 最重要的影响之一是勒索软件毒株的数量和种类呈指数级增长。RaaS 平台不断发展并引入新的勒索软件变种,这使得网络安全专家制定有效的对策变得越来越具有挑战性。这些不同菌株的可用性使网络犯罪分子能够瞄准不同的行业、地理区域和漏洞,从而最大限度地提高成功的机会。

RaaS 的盈利能力吸引了新一代的网络犯罪分子,导致了出现了专门角色的地下经济。勒索软件开发人员在 RaaS 平台上创建和销售他们的恶意代码,而附属公司或“分销商”则通过各种方式传播勒索软件,例如网络钓鱼电子邮件、漏洞利用工具包或受感染的网站。这种分工使犯罪分子能够专注于他们的特定专业知识,而 RaaS 运营商则促进货币化过程并收取一部分赎金。

RaaS 的影响超出了对目标实体的直接财务和运营后果。勒索软件工具包的广泛使用也导致了一种称为“勒索软件商品化”的现象,即网络犯罪分子竞相以较低的成本提供服务,甚至进行价格战。这种竞争推动了勒索软件的创新和不断发展,使其成为一种持续存在且不断发展的威胁。

为了应对 RaaS 日益增长的影响力,组织和个人需要一种多层次的网络安全方法。此外,组织应优先考虑数据备份并制定全面的事件响应计划,以确保在发生勒索软件attack时快速恢复。定期测试备份恢复流程对于保持业务连续性和最大程度地减少潜在勒索软件事件的影响至关重要。

勒索软件即服务深刻地改变了勒索软件的格局,使对恶意工具的访问民主化,并助长了网络犯罪的兴起。RaaS 平台的易用性、可扩展性和盈利能力导致跨行业和地理位置的勒索软件attack激增。

生成式 AI 和勒索软件

生成式人工智能的兴起对网络犯罪分子来说是一个福音,可以帮助他们实现attack自动化。如果您曾经接受过任何形式的网络安全培训,您就会知道拼写错误、语法错误和笨拙的写作是网络钓鱼电子邮件的一些最明显迹象。有了生成式人工智能,网络犯罪分子的工作变得更加容易,他们的网络钓鱼电子邮件也更有说服力。

现在,网络犯罪分子只需要在 ChatGPT 中输入提示,它就会吐出一封无错误、写得很好、令人信服的电子邮件,网络犯罪分子可以用它来瞄准受害者。它也是一个力量倍增器,帮助网络犯罪分子将电子邮件翻译成不同的语言,或将其定位到特定行业甚至公司。ChatGPT 等模型生成的文本可帮助网络犯罪分子创建非常个性化的消息,这些消息更有可能产生让目标点击恶意链接或下载恶意有效载荷的预期效果。

勒索软件如何工作?

当网络上的计算机感染恶意软件时,勒索软件attack就开始了。网络犯罪分子有多种方法可以感染您的机器,无论是电子邮件中的附件、通过垃圾邮件发送的链接,甚至是通过复杂的社会工程活动。随着用户对这些attack媒介的了解越来越深,网络犯罪分子的策略也在不断发展。一旦该恶意文件被加载到端点上,它就会传播到网络,将它可以访问的每个文件锁定在网络犯罪分子控制的强加密之后。如果你想要那个加密密钥,你就必须付出代价。

当我们说“黑客”时,它不是他地下室里的某个孩子。他们是隐蔽的专业犯罪组织。他们缓慢而有条不紊地attack。他们可以监控您的网络数月,直到他们拥有王国的密钥(包括备份),然后他们扣动扳机。

—Gregory Tellone,Continuity Centers 首席执行官

加密勒索软件或加密软件是迄今为止最常见的勒索软件。可能遇到的其他类型包括:

  • 非加密勒索软件或锁屏,它们限制对文件和数据的访问,但不对其进行加密。
  • 加密驱动器的主启动记录 (MBR) 或 Microsoft 的 NTFS 的勒索软件,可防止受害者的计算机在实时操作系统 (OS) 环境中启动。
  • 泄密软件或勒索软件,窃取泄露或破坏性数据,gongji者威胁说,如果不支付赎金,就会释放这些数据。
  • 移动设备勒索软件,通过偷渡式下载或虚假应用程序感染手机。

在典型的attack过程中会发生什么?

勒索软件attack的典型步骤是:

  1. 感染:勒索软件通过各种方式进入,例如网络钓鱼电子邮件、拇指驱动器等物理媒体或其他方法。然后,它会将自身安装在单个端点或网络设备上,从而授予gongji者访问权限。
  2. 安全密钥交换:安装后,勒索软件会与犯罪者的中央命令和控制服务器进行通信,从而触发安全锁定系统所需的加密密钥的生成。
  3. 加密:建立加密锁后,勒索软件会启动加密过程,以本地和网络上的文件为目标,如果没有解密密钥,就无法访问它们。
  4. 勒索:在获得对您的文件的安全且坚不可摧的访问权后,勒索软件会显示后续步骤的解释,包括赎金金额、付款说明以及不合规的后果。
  5. 恢复选项:在此阶段,受害者可以尝试在从干净备份还原时删除受感染的文件和系统,或者他们可能会考虑支付赎金。

从不建议支付赎金。根据 Veeam 的 2023 年勒索软件趋势报告,支付赎金的人中有 21% 仍然无法恢复他们的数据。不能保证解密密钥会起作用,支付赎金只会进一步激励网络犯罪分子继续attack。

谁会受到attack?

数据显示,勒索软件attack针对各种规模的公司,从中小型企业到大型企业,没有一家企业能够幸免。根据 Veeam 2023 年数据保护趋势报告,85% 的组织在过去 12 个月内至少遭受过一次网络attack。每个行业和各种规模的企业的attack都在增加。这使得中小型企业特别容易受到attack,因为他们可能没有所需的资源来加强防御。

最近,网络犯罪分子泄露了医疗机构中患者的敏感照片,这证明没有一个组织是越界的,也没有受害者是禁区。这些尝试表明,通常控制较弱且 IT 系统过时或不复杂的组织应采取额外的预防措施来保护自己及其数据。

美国在勒索软件attack方面一直名列前茅,其次是英国和德国。Windows 计算机是主要目标,但 Macintosh 和 Linux 也存在勒索软件。

不幸的事实是,勒索软件已经变得如此普遍,以至于大多数公司肯定会遇到某种程度的勒索软件或恶意软件attack。他们能做的最好的事情就是做好准备并了解将勒索软件影响降至最低的最佳方法。

勒索软件更多的是操纵人类心理中的漏洞,而不是对手的技术复杂性。

—James Scott,关键基础设施技术研究所

如何打击勒索软件

因此,您受到了勒索软件的attack。根据您所在的行业和法律要求(正如我们所看到的,这些要求在不断变化),您可能有义务首先报告attack。否则,您的直接立足点应该是损害控制之一。那么你接下来应该怎么做呢?

  1. 隔离感染。 迅速将受感染的端点与网络的其余部分和任何共享存储隔离开来,以阻止勒索软件的传播。
  2. 识别感染。 由于存在许多勒索软件,准确识别您正在处理的特定类型至关重要。对消息、文件进行扫描,并利用识别工具更清楚地了解感染情况。
  3. 报告事件。虽然法律义务可能有所不同,但建议向有关当局报告attack。他们的参与可以为反制措施提供宝贵的支持和协调。
  4. 评估您的选择。 评估应对感染的可用行动方案。根据您的具体情况考虑最合适的方法。
  5. 还原和重建。利用安全备份、受信任的程序源和可靠的软件来恢复受感染的计算机或从头开始设置新系统。

1.隔离感染

根据您受到的勒索软件的压力,您可能几乎没有时间做出反应。快速移动的菌株可以从单个端点传播到网络上,在数据流失之前锁定数据,甚至在您有机会控制数据之前。

即使您只是怀疑一台计算机可能被感染,第一步也是将其与网络上的其他端点和存储设备隔离开来。禁用 Wi-Fi、禁用蓝牙,并从可能连接到的任何局域网 (LAN) 或存储设备上拔下本机的插头。这不仅可以遏制传播,还可以防止勒索软件与attack者进行通信。

要知道,你可能要面对的不仅仅是一个“零号病人”。勒索软件可能通过多种媒介进入您的系统,特别是如果有人在attack您的公司之前已经观察到您的模式。它可能已经在另一个系统上处于休眠状态。在确认之前,请将每台连接和联网的计算机视为勒索软件的潜在宿主。

2.识别感染

就像有坏人传播勒索软件一样,也有好人帮助您对抗勒索软件。ID Ransomware 和 No More Ransom!项目帮助确定您正在处理的菌株。了解您感染了哪种类型的勒索软件将帮助您了解它是如何传播的,它通常针对哪些类型的文件,以及您有哪些删除和清除选项(如果有)。如果您向当局报告attack,您还将获得更多信息(您确实应该这样做)。

3. 向当局报告

据了解,有时报告事件可能不符合您的企业的最佳利益。也许你不希望这次attack成为公众知识。也许让当局参与进来的潜在弊端(调查期间的生产力损失等)超过了赎金的数额。但是,报告attack是帮助每个人避免成为受害者的方式,并帮助打击未来勒索软件attack的传播和有效性。通过报告每一次attack,当局可以更清楚地了解谁是attack的幕后黑手,他们如何访问您的系统,以及可以采取哪些措施来阻止他们。

您可以在互联网犯罪投诉中心向 FBI 提交报告。

还有其他方法可以报告勒索软件。

4. 评估您的选择

好消息是,你有选择。坏消息是,最明显的选择,付钱,是一个糟糕的主意。

简单地屈服于网络犯罪分子的要求对某些人来说似乎很有吸引力,尤其是在前面提到的那些情况下,支付赎金比潜在的生产力损失更便宜。网络犯罪分子指望这一点。

但是,支付赎金只会鼓励gongji者attack像您这样的其他企业或个人。支付赎金不仅会助长犯罪环境,还会导致民事处罚——您甚至可能无法取回您的数据。

另一种选择是尝试将其删除。

5. 恢复和重建 - 或重新开始

有几个站点和软件包可能会从您的系统中删除勒索软件,包括 No More Ransom!项目。也可以找到其他选项。

您是否能够成功和完全消除感染还有待商榷。并非每个已知的勒索软件都存在有效的解密器。野兽的本质是,每当一个好人想出一个解密器时,一个坏人就会编写新的勒索软件。为了安全起见,您需要通过恢复系统或完全重新开始来跟进。

为什么重新开始使用备份是更好的主意

确认勒索软件已从系统中删除的最可靠方法是完全擦除所有存储设备并从头开始重新安装所有内容。格式化系统中的硬盘将确保没有勒索软件的残余。

为了有效对抗渗透到您系统中的勒索软件,通过检查文件日期、消息和任何其他相关信息来确定感染的确切日期至关重要。请记住,勒索软件在激活并开始重大更改之前可能已在您的系统中处于休眠状态。通过识别和研究针对您系统的勒索软件的具体特征,您可以获得对其功能的宝贵见解,使您能够设计最有效的策略来将系统恢复到最佳状态。

选择在初始勒索软件感染日期之前进行的备份。如果您一直遵循合理的备份策略,则应该在感染发生之前拥有所有文档、媒体和重要文件的副本。通过本地和异地备份,您应该能够使用您知道在attack发生后未连接到网络的备份副本,因此可以防止感染。完全断开连接的备份驱动器应该是安全的,存储在云中的文件也是安全的,尤其是在使用对象锁定使其不可变时。

对象锁定如何保护您的数据

备份的对象锁定功能允许您使用一次写入多次读取 (WORM) 模型存储对象,这意味着写入后无法修改数据。使用对象锁定,任何人都无法在指定时间段内加密、篡改或删除您的受保护数据,从而为勒索软件attack提供坚实的防线。

对象锁定为您的数据创建一个虚拟气隙。“气隙”一词来自 LTO 磁带领域。当备份写入磁带时,磁带会从网络中以物理方式移除,从而在备份和生产系统之间形成字面上的空隙。如果发生勒索软件attack,您只需提取前一天的磁带即可恢复系统。对象锁定做同样的事情,但这一切都发生在云中。对象锁定不是物理隔离数据,而是虚拟隔离数据

对象锁定在几个不同的用例中很有价值:

  1. 要更换 LTO 磁带系统:大多数希望从磁带迁移的人都关心如何维护磁带提供的气隙的安全性。使用 Object Lock,您可以创建与气隙磁带一样安全的备份,而无需昂贵的物理基础架构。
  2. 要保护和保留敏感数据,请执行以下操作:如果您所在的行业具有严格的合规性要求(例如,如果您受 HIPAA 法规的约束,或者出于法律原因需要保留和保护数据),则对象锁定允许您轻松设置适当的保留期以支持法规合规性。
  3. 作为灾难恢复 (DR) 和业务连续性计划的一部分:如果您受到勒索软件的attack,您最不想担心的是您的备份是否安全。能够从使用 Object Lock 存储的备份中恢复系统可以帮助您最大限度地减少停机时间和中断,遵守网络保险要求,并更轻松地实现恢复时间目标 (RTO)。通过使关键数据不可变,您可以快速、自信地从备份中恢复未感染的数据,部署它们,并在不间断的情况下恢复业务。

勒索软件attack可能具有难以置信的破坏性。通过采用使用对象锁定功能创建不可变的气隙备份的做法,可以显著增加实现成功恢复的机会。这种方法使您离重新控制数据并减轻勒索软件攻击的影响更近了一步。

那么,为什么不直接运行系统还原呢?

虽然仅依靠系统还原点来还原系统功能可能很诱人,但它并不是消除导致初始问题的潜在virus或勒索软件的最佳解决方案。恶意软件往往隐藏在系统的各个组件中,使系统还原无法根除所有实例。

另一个关键问题是勒索软件具有加密本地备份的能力。如果您的计算机感染了勒索软件,则您的本地备份解决方案很可能也会受到数据加密的影响,就像系统上的其他所有内容一样。

使用与本地计算机隔离的良好备份解决方案,您可以轻松获取使系统再次运行所需的文件。这也将使您能够灵活地确定要从特定日期还原哪些文件以及如何获取还原系统所需的文件。

人为attack媒介

通常,安全协议中的薄弱环节是人为错误中难以捉摸的 X 因素。网络犯罪分子知道这一点,并通过社会工程来利用它。在信息安全的背景下,社会工程是使用欺骗手段来操纵个人泄露可能用于欺诈目的的机密或个人信息。换句话说,系统中最薄弱的点通常位于键盘和椅子之间

常见的人为attack媒介包括:

1. 网络钓鱼

网络钓鱼使用看似合法的电子邮件来诱骗人们点击链接或打开附件,从而在不知不觉中传递恶意负载。电子邮件可能会发送给组织内的一个人或多个人,但有时这些电子邮件是有针对性的,以帮助他们看起来更可信。这种针对性gongji者需要花费更多时间,但对单个目标的研究可以使他们的电子邮件看起来更加合法,更不用说像 ChatGPT 这样的生成式 AI 模型的出现。他们可能会伪装自己的电子邮件地址,使其看起来像是发件人认识的人发送邮件,或者他们可能会调整主题行以使其看起来与受害者的工作相关。这种高度个性化的方法称为“鱼叉式网络钓鱼”。

2. 短信发送

顾名思义,SMSishing 使用短信让收件人导航到站点或在其设备上输入个人信息。常见方法使用身份验证消息或看似来自金融或其他服务提供商的消息。更阴险的是,一些 SMSishing 勒索软件变体试图通过将自己发送到设备联系人列表中的所有联系人来传播自己。

3. 网络钓鱼

与电子邮件和短信类似,电话钓鱼使用语音邮件来欺骗受害者,留下一条带有指示的信息,以拨打一个看似合法的号码,但实际上是欺骗性的。拨打该号码后,受害者被迫遵循一组表面上是为了解决某种问题的指令。实际上,他们被诱骗在自己的计算机上安装勒索软件。与许多其他网络钓鱼方法一样,网络钓鱼变得越来越复杂,其声音效果和专业措辞使初始消息和后续呼叫看起来更加合法。与鱼叉式网络钓鱼一样,它已成为高度针对性的。

4. 社交媒体

社交媒体可以成为说服受害者打开从社交媒体网站下载的图像或采取其他妥协行动的有力工具。载体可能是音乐、视频或其他活动内容,一旦打开,就会感染用户的系统。

5. 即时通讯

在它们之间,WhatsApp、Facebook Messenger、Telegram 和 Snapchat 等 IM 服务拥有超过 40 亿用户,使其成为勒索软件attack的有吸引力的渠道。这些消息似乎来自受信任的联系人,并包含感染您的计算机的链接或附件,有时会在您的联系人列表中传播,从而进一步传播。

计算机attack途径

另一种类型的attack媒介是机器对机器。人类在某种程度上参与其中,因为他们可能会通过访问网站或使用计算机来促进攻击,但攻击过程是自动化的,不需要任何明确的人类合作来入侵您的计算机或网络。

1. 路过

偷渡式向量特别具有恶意性,因为受害者需要做的就是访问在图像或活动内容代码中携带恶意软件的网站。

2. 系统漏洞

网络犯罪分子了解特定系统的漏洞,并利用这些漏洞闯入并在机器上安装勒索软件。这种情况最常发生在未使用最新安全版本修补的系统中。

3. 恶意广告

恶意广告就像偷渡一样,但会使用广告来传递恶意软件。这些广告可能会放置在搜索引擎或流行的社交媒体网站上,以吸引大量受众。恶意广告的常见宿主是仅限成人的网站。

4. 网络传播

一旦勒索软件出现在您的系统上,它就可以扫描文件共享和可访问的计算机,并在网络或共享系统中传播自己。没有足够安全性的公司也可能被感染其公司文件服务器和其他网络共享。从那里开始,恶意软件将尽可能地传播,直到它用完可访问的系统或遇到安全屏障。

5. 通过共享服务传播

文件共享或同步服务等在线服务可用于传播勒索软件。如果勒索软件最终出现在家用计算机上的共享文件夹中,则感染可以转移到办公室或其他连接的计算机。如果将服务设置为在添加或更改文件时自动同步,就像许多文件共享服务一样,则恶意病毒可以在几毫秒内广泛传播。

请务必小心并考虑用于自动同步系统的设置,并在与他人共享文件时保持谨慎,除非您确切知道文件的来源。

安全专家提出了几种预防措施来防止勒索软件attack。

  1. 使用防病毒和反恶意软件或其他安全策略来阻止启动已知有效负载。
  2. 对所有重要文件进行频繁、全面的备份,并将它们与本地和开放网络隔离开来。
  3. 不可变的备份选项(如对象锁定)为用户提供了一种维护真正气隙备份的方法。数据是固定的、不可更改的,并且不能在最终用户设定的时间范围内删除。
  4. 将离线数据备份存储在气隙或无法从任何可能受感染的计算机访问的位置,例如断开连接的外部存储驱动器或云,以防止勒索软件访问它们。
  5. 通过受信任的操作系统和应用程序供应商使您的安全性保持最新状态。请记住尽早修补并经常修补以关闭操作系统、浏览器和 Web 插件中的已知漏洞。
  6. 考虑部署安全软件来保护端点、电子邮件服务器和网络系统免受感染。
  7. 保持良好的网络卫生,打开电子邮件附件和链接时要小心谨慎。
  8. 对网络进行分段,以保持关键计算机的隔离,并防止勒索软件在发生attack时传播。关闭不需要的网络共享。
  9. 按照最小特权原则进行操作。为不需要管理员权限的用户关闭管理员权限。为用户提供完成工作所需的最低系统权限。
  10. 尽可能限制对文件服务器的写入权限。
  11. 对您自己和您的员工进行最佳实践教育,以阻止勒索软件进入您的系统。向所有人更新最新的电子邮件网络钓鱼诈骗和旨在将受害者变成教唆者的人为工程学。

很明显,应对勒索软件attack的最佳方法是首先避免遭受勒索软件攻击。除此之外,确保您的宝贵数据已备份并且无法被勒索软件感染访问,这将确保您在遭受攻击时将停机时间和数据丢失降至最低。

勒索软件常见问题解答

什么是勒索软件attack?

勒索软件attack是一种网络attack,网络犯罪分子或团体可以访问计算机系统或网络并加密有价值的文件或数据,使所有者无法访问它们。然后,攻击者通常以crypto coin的形式索要赎金,以换取提供解密密钥来解锁文件。攻击者还可能通过泄露和威胁泄露敏感数据来勒索受害者。如果不支付赎金或未实施有效的对策,勒索软件攻击可能会导致重大经济损失、运营中断和潜在的数据泄露。

如何防止勒索软件attack?

预防勒索软件需要采取积极主动的网络安全和网络弹性方法。实施强大的安全措施,包括定期更新软件和操作系统、使用强大且唯一的密码以及部署信誉良好的防病毒和反恶意软件。培训员工如何识别网络钓鱼和社会工程策略。定期将关键数据备份到云存储,实施对象锁定等工具以创建不变性,并测试您的恢复过程。最后,随时了解最新的威胁和安全最佳实践,以加强对勒索软件的防御。

勒索软件如何工作?

勒索软件通过各种方式进入,例如网络钓鱼电子邮件、拇指驱动器等物理媒体或其他方法。然后,它会将自身安装在一个或多个端点或网络设备上,从而授予gongji者访问权限。安装后,勒索软件会与犯罪者的中央命令和控制服务器进行通信,从而触发安全锁定系统所需的加密密钥的生成。建立加密锁后,勒索软件会启动加密过程,以本地和网络上的文件为目标,并在没有解密密钥的情况下使其无法访问。

勒索软件是如何传播的?

常见的勒索软件attack媒介包括恶意电子邮件附件或链接,用户在不知不觉中下载或执行勒索软件有效负载。它还可以通过针对软件或操作系统漏洞的漏洞利用工具包进行传播。勒索软件可能通过受感染的网站、偷渡式下载或恶意广告传播。此外,攻击者可以利用暴力攻击来获得对系统的未经授权的访问并部署勒索软件。

什么是WannaCry勒索软件attack?

WannaCry勒索软件是一种恶意软件,于2017年5月出现,因其广泛的影响而受到广泛关注。它通过利用 Microsoft Windows 系统中的漏洞、加密受感染计算机上的文件并要求以BTC支付赎金以恢复访问来运作。WannaCry在网络上迅速传播,影响了全球众多组织,包括医疗机构和政府机构。

如何从勒索软件attack中恢复?

首先,控制感染。将受感染的端点与网络的其余部分和任何共享存储隔离开来。接下来,确定感染。由于存在许多勒索软件,准确识别您正在处理的特定类型至关重要。对消息、文件进行扫描,并利用识别工具更清楚地了解感染情况。报告事件。虽然法律义务可能有所不同,但建议向有关当局报告attack。他们的参与可以为反制措施提供宝贵的支持和协调。然后,评估解决感染的可用行动方案。如果您制定了可靠的备份策略,则可以利用安全备份来还原和重建您的环境。

来源:https://www.backblaze.com/blog/complete-guide-ransomware/