勒索軟件是組織在過去幾年中面臨的最具破壞性的惡意軟件威脅之一，而且沒有跡象表明攻擊者會(huì)很快停止。這對(duì)他們來說太有利可圖了。贖金要求從數(shù)萬美元增長(zhǎng)到數(shù)百萬甚至數(shù)千萬美元，因?yàn)楣粽吡私獾皆S多組織愿意支付。

您的組織是否突然受到了勒索軟件病毒的攻擊？如果有請(qǐng)深吸一口氣，盡量保持鎮(zhèn)定。面對(duì)攻擊很容易恐慌或不知所措，但保持冷靜和專注對(duì)您的組織做出最佳決策至關(guān)重要。

隨著越來越多的勒索軟件組織通過將文件加密與數(shù)據(jù)盜竊相結(jié)合來采用這種雙重勒索技術(shù)，最終導(dǎo)致拒絕服務(wù)的勒索軟件攻擊也會(huì)成為數(shù)據(jù)泄露，根據(jù)您所在的地區(qū)位置所要承擔(dān)的各種監(jiān)管義務(wù)需要披露數(shù)據(jù)泄露事件。雖然過去私營公司不必公開披露勒索軟件攻擊，但由于這種數(shù)據(jù)泄露組件，他們可能會(huì)越來越多地被迫這樣做。

發(fā)生勒索軟件攻擊時(shí)應(yīng)采取的初始措施

當(dāng)勒索軟件攻擊發(fā)生時(shí)，需要執(zhí)行兩個(gè)關(guān)鍵且時(shí)間敏感的操作：

• 確定攻擊者如何進(jìn)入的、關(guān)閉漏洞并將他們踢出網(wǎng)絡(luò)
• 了解您正在處理的內(nèi)容，這意味著確定勒索軟件變體，將其與威脅參與者聯(lián)系起來，并建立他們的可信度，尤其是當(dāng)他們還提出數(shù)據(jù)盜竊索賠時(shí)。

第一個(gè)行動(dòng)需要內(nèi)部或外部的事件響應(yīng)團(tuán)隊(duì)，而第二個(gè)行動(dòng)可能需要一家專門從事威脅情報(bào)的公司。

一些大公司聘用了這些團(tuán)隊(duì)，但許多組織并沒有這樣做，而且在面臨勒索軟件攻擊時(shí)常常感到迷茫，最終浪費(fèi)了寶貴的時(shí)間。在這些情況下，更好的方法可能是聘請(qǐng)?jiān)诠芾砭W(wǎng)絡(luò)攻擊響應(yīng)方面具有專業(yè)知識(shí)的外部顧問。根據(jù)與 CSO 交談的國際律師事務(wù)所 Orrick 的律師的說法，在大約 75% 的案件中，外部律師首先被召集并開始響應(yīng)流程，其中包括：

• 通知執(zhí)法部門
• 聯(lián)系取證人員
• 與組織領(lǐng)導(dǎo)進(jìn)行內(nèi)部簡(jiǎn)報(bào)溝通
• 以特權(quán)覆蓋調(diào)查
• 評(píng)估可能需要的對(duì)外界的通知

幫助受害組織與其保險(xiǎn)公司聯(lián)系，通知他們攻擊事件并獲得費(fèi)用批準(zhǔn)，包括律師、取證、危機(jī)溝通和任何其他所需費(fèi)用，包括在做出決定后支付贖金。

盡快斷開受影響的設(shè)備與網(wǎng)絡(luò)的連接。這有助于防止勒索軟件傳播到其他計(jì)算機(jī)或設(shè)備。

確定哪些數(shù)據(jù)受到影響并評(píng)估受損的程度。

確定感染您設(shè)備的勒索軟件病毒的具體類型，以了解該惡意軟件的運(yùn)行方式以及您需要采取哪些步驟來將其刪除。

重要的是要將勒索軟件攻擊通知所有員工，并指示他們不要點(diǎn)擊任何可疑鏈接或打開任何可疑附件。

考慮報(bào)告攻擊。這有助于提高對(duì)攻擊的認(rèn)識(shí)，也可能有助于防止未來的攻擊。請(qǐng)注意，在某些地區(qū)，法律要求企業(yè)主主動(dòng)上報(bào)攻擊事件。

不要急于做出決定。在決定是否支付贖金或探索其他解決方案之前，請(qǐng)花時(shí)間仔細(xì)評(píng)估您的選擇以及每個(gè)選擇的潛在后果。

支付贖金并不是唯一的選擇?？紤]探索其他解決方案，例如從備份中恢復(fù)數(shù)據(jù)。如果您沒有備份，網(wǎng)絡(luò)安全專家可能會(huì)幫助您恢復(fù)數(shù)據(jù)，因?yàn)樵S多勒索軟件變種已被解密并且密鑰是公開可用的。

網(wǎng)絡(luò)詐騙分子用來迅速從受害者那里獲取資金的策略

除了加密數(shù)據(jù)之外，網(wǎng)絡(luò)勒索者還使用各種策略。他們還使用攻擊后的多種勒索方法脅迫受害者向他們付款。通常，網(wǎng)絡(luò)犯罪分子會(huì)同時(shí)使用多種勒索策略。這些策略的一些例子包括：

(1) 竊取和泄露

網(wǎng)絡(luò)勒索者不僅對(duì)受害者的數(shù)據(jù)進(jìn)行加密，而且還經(jīng)常竊取這些數(shù)據(jù)。如果不支付贖金，被盜的數(shù)據(jù)文件可能會(huì)在專門的泄密網(wǎng)站上公開，這可能會(huì)對(duì)受害者的聲譽(yù)造成嚴(yán)重?fù)p害，并使他們更有可能屈服于勒索者的要求。

(2) 如果談判公司介入，則會(huì)銷毀密鑰

一些勒索軟件作者威脅說，如果他們尋求專業(yè)第三方的幫助來代表他們進(jìn)行談判，他們將刪除解密受害者數(shù)據(jù)所需的私鑰。

(3) 發(fā)起 DDoS 攻擊

勒索軟件攻擊者經(jīng)常威脅要用大量流量淹沒受害者的網(wǎng)站，以試圖將其關(guān)閉并恐嚇目標(biāo)公司更快地支付贖金。

(4) 導(dǎo)致打印機(jī)行為異常

一些黑客能夠控制打印機(jī)并直接在合作伙伴和客戶面前打印勒索票據(jù)。這為勒索攻擊提供了高級(jí)別的可見性，因?yàn)槿藗兒茈y忽略正在打印的贖金票據(jù)。

(5) 將 Facebook 廣告用于惡意目的

眾所周知，犯罪分子會(huì)使用廣告來吸引他們的注意力。在一個(gè)例子中，勒索軟件開發(fā)者使用 Facebook 廣告通過強(qiáng)調(diào)該組織防御薄弱來羞辱他們的受害者。

(6) 激起顧客的不安

勒索軟件作者可能會(huì)向數(shù)據(jù)遭到泄露的大公司的客戶發(fā)送恐嚇電子郵件。這些電子郵件威脅要泄露收件人的數(shù)據(jù)，除非受影響的組織支付贖金。攻擊者鼓勵(lì)收款人向受影響的公司施壓，要求他們迅速付款。

不要試圖自己處理這種情況

盡管勒索軟件是網(wǎng)絡(luò)攻擊領(lǐng)域的一種趨勢(shì)，但黑客并不總是能成功獲得贖金。他們必須不斷開發(fā)新方法來補(bǔ)充他們的勒索技術(shù)庫。

為了讓黑客的日子盡可能難過，最主要的是不要試圖單獨(dú)行動(dòng)。要有完善的機(jī)制來打擊勒索者。

務(wù)必向他人尋求專業(yè)幫助，即使這意味著丟失部分或全部數(shù)據(jù)。有很多組織和資源可以提供專業(yè)的幫助和指導(dǎo)。一些潛在的選擇包括：

• 網(wǎng)絡(luò)安全專家：這些專業(yè)人員可以提供恢復(fù)數(shù)據(jù)的專業(yè)知識(shí)和幫助，以及如何防止未來攻擊的建議。
• 計(jì)算機(jī)應(yīng)急響應(yīng)團(tuán)隊(duì)：許多國家和地區(qū)都有稱為CERT的組織，協(xié)助響應(yīng)網(wǎng)絡(luò)事件（包括勒索軟件攻擊）并從中恢復(fù)。
• 勒索軟件恢復(fù)服務(wù)：一些公司專門幫助組織從勒索軟件攻擊中恢復(fù)，可以提供一系列服務(wù)，包括數(shù)據(jù)恢復(fù)、威脅評(píng)估和勒索軟件談判。
• 執(zhí)法：在許多情況下，讓執(zhí)法機(jī)構(gòu)參與可能是合適的。他們可以幫助調(diào)查、幫助恢復(fù)數(shù)據(jù)、識(shí)別和起訴攻擊者。

仔細(xì)研究和評(píng)估您考慮使用的任何資源或服務(wù)至關(guān)重要。從多個(gè)來源尋求建議以找到最佳出路。

談判前

一般不建議與勒索軟件攻擊者協(xié)商或支付贖金。這樣做會(huì)鼓勵(lì)進(jìn)一步的勒索軟件攻擊。支付贖金不僅支持攻擊者的犯罪活動(dòng)，還會(huì)使您的組織面臨再次成為攻擊目標(biāo)的風(fēng)險(xiǎn)。

請(qǐng)記住，無法保證攻擊者實(shí)際上會(huì)提供解密密鑰 - 即使您確實(shí)支付了贖金。因此，在決定支付之前仔細(xì)權(quán)衡風(fēng)險(xiǎn)和潛在后果非常重要。

勒索軟件攻擊和支付通常是匿名進(jìn)行的，使用加密的通信渠道和加密貨幣。黑客通常會(huì)提供加密的聊天或電子郵件服務(wù)進(jìn)行通信。嘗試與對(duì)手協(xié)商額外的溝通渠道和方式。嘗試與攻擊者建立一條涉及相互信任的通信線路（在這種情況下盡可能多。）

如果您決定與攻擊者談判并支付贖金，請(qǐng)務(wù)必記錄所有通信，包括支付贖金的任何說明。此信息可能對(duì)正在調(diào)查攻擊的執(zhí)法部門和網(wǎng)絡(luò)安全專家有所幫助。

要求攻擊者演示解密密鑰，并通過解密幾個(gè)隨機(jī)文件來證明它確實(shí)有效。這可以幫助您確保您是在與真正的攻擊者打交道，而不是第三方。

研究攻擊者及其過去的行為。如果已知攻擊者在過去收到付款后會(huì)協(xié)商或提供解密密鑰，這可能有助于增加您對(duì)協(xié)商的信心，也可能使您有能力協(xié)商較低的金額。

與攻擊者談判的技巧

如果您已用盡所有其他選擇并確定支付贖金是恢復(fù)數(shù)據(jù)的唯一方法，請(qǐng)參考以下與黑客談判的一些提示：

• 攻擊者可能試圖通過威脅銷毀或泄露數(shù)據(jù)來向您施壓，但重要的是不要讓這影響您的決定。不要表現(xiàn)出任何絕望或緊迫的跡象。始終保持冷靜和沉著。
• 不要透露您是否有網(wǎng)絡(luò)風(fēng)險(xiǎn)保險(xiǎn)或網(wǎng)絡(luò)責(zé)任保險(xiǎn) (CLIC)。
• 不要提出預(yù)先支付全部贖金。相反，請(qǐng)考慮預(yù)先支付一小部分贖金，其余部分在提供解密密鑰并且您已成功解密所有數(shù)據(jù)后支付。
• 考慮以您已經(jīng)擁有但不太常用或不易追蹤的加密貨幣支付贖金。這會(huì)使攻擊者更難將贖金轉(zhuǎn)換為實(shí)際金錢，并可能使他們更愿意協(xié)商較低的金額。
• 考慮主動(dòng)公開攻擊和贖金談判，以對(duì)攻擊者施加壓力。這可能會(huì)使攻擊者在未來勒索其他受害者變得更加困難，并可能使他們更愿意協(xié)商較低的贖金金額。
• 如果攻擊者已經(jīng)同意協(xié)商贖金金額并降低了價(jià)格，您可以嘗試通過繼續(xù)協(xié)商并提供較低的金額來推動(dòng)進(jìn)一步降低。但是，請(qǐng)記住，攻擊者可能有一個(gè)他們?cè)敢饨邮艿淖畹徒痤~，并且可能無法推動(dòng)他們進(jìn)一步降低價(jià)格。

如果攻擊者不愿妥協(xié)或他們提供的條款不可接受，請(qǐng)準(zhǔn)備好退出談判，即使這會(huì)導(dǎo)致您的數(shù)據(jù)丟失。

如何防止勒索軟件攻擊

將重點(diǎn)放在預(yù)防措施上總是好的，以避免首先成為勒索軟件的受害者。以下是這方面的一些提示：

• 實(shí)施穩(wěn)健的網(wǎng)絡(luò)安全政策，包括定期軟件更新和安全軟件的使用。
• 教育您的員工了解勒索軟件的風(fēng)險(xiǎn)以及如何防范它，例如不要打開附件或點(diǎn)擊來自不熟悉來源的鏈接。
• 注意備份并實(shí)施災(zāi)難恢復(fù)計(jì)劃，以確保您可以在數(shù)據(jù)加密時(shí)恢復(fù)數(shù)據(jù)。
• 使用強(qiáng)而獨(dú)特的密碼并盡可能使用MFA。
• 考慮購買網(wǎng)絡(luò)安全保險(xiǎn)，以保護(hù)您的公司免受勒索軟件攻擊造成的經(jīng)濟(jì)損失。