根據(jù)保險提供商Hiscox對數(shù)千家中小企業(yè)進行的調(diào)查，40%支付勒索軟件解密贖金的公司未能成功恢復(fù)數(shù)據(jù)。

調(diào)查還顯示，勒索軟件仍是主要威脅，27%的受訪企業(yè)表示在過去一年中遭受過攻擊。在受影響的企業(yè)中，80%(包括投保和未投保的企業(yè))都支付了贖金，試圖恢復(fù)或保護關(guān)鍵數(shù)據(jù)。

但Hiscox的《網(wǎng)絡(luò)準備情況報告》發(fā)現(xiàn)，只有60%的企業(yè)成功恢復(fù)了全部或部分數(shù)據(jù)。

QBE保險公司本月早些時候發(fā)布的一份關(guān)于網(wǎng)絡(luò)犯罪和基于云端的威脅的報告顯示，2025年第一季度勒索軟件事件數(shù)量同比增長近兩倍，達到1537起，而去年同期為572起。CrowdStrike本月發(fā)布的《2025年勒索軟件現(xiàn)狀調(diào)查》也發(fā)現(xiàn)，93%支付贖金的受害者仍遭遇了數(shù)據(jù)被盜。

有缺陷的勒索軟件加密常使數(shù)據(jù)恢復(fù)受挫

行業(yè)專家表示，Hiscox關(guān)于勒索軟件受害者困境的統(tǒng)計數(shù)據(jù)，只是凸顯了組織在試圖從勒索軟件攻擊中恢復(fù)時所面臨的眾多困難之一。

網(wǎng)絡(luò)安全公司Bridewell的應(yīng)急響應(yīng)經(jīng)理James John表示：“60%的數(shù)據(jù)恢復(fù)率反映了在應(yīng)急響應(yīng)中經(jīng)常遇到的幾種技術(shù)和操作現(xiàn)實情況。首先，勒索軟件操作者的技術(shù)復(fù)雜程度差異很大。雖然像LockBit或ALPHV這樣成熟的團伙通常會提供可用的解密器，因為他們要維護自己的‘聲譽’，但較小的團伙往往會部署有缺陷的加密實現(xiàn)，或者在收到贖金后直接消失。”

John補充道，解密器通常速度慢且不可靠。

他解釋說：“在企業(yè)環(huán)境中進行大規(guī)模解密可能需要數(shù)周時間，而且往往無法解密已損壞的文件或復(fù)雜的數(shù)據(jù)庫系統(tǒng)。還存在解密過程本身導(dǎo)致更多數(shù)據(jù)損壞的情況?！?/p>

即使提供了解密工具，這些工具也可能包含漏洞，或者導(dǎo)致文件損壞或無法訪問。許多組織還依賴未經(jīng)測試(且存在漏洞)的備份。更糟糕的是，許多勒索軟件受害者發(fā)現(xiàn)他們的備份在攻擊過程中也被加密了。

英國托管安全服務(wù)提供商Avella Security的合伙人兼英國政府網(wǎng)絡(luò)安全顧問Daryl Flack表示：“犯罪分子經(jīng)常使用有缺陷或不兼容的加密工具，許多企業(yè)缺乏干凈恢復(fù)數(shù)據(jù)的基礎(chǔ)設(shè)施，特別是當備份不完整或系統(tǒng)仍存在漏洞時?！?/p>

額外的恢復(fù)壓力

如今的現(xiàn)代勒索軟件攻擊通常涉及雙重或三重勒索，即攻擊者威脅在收到贖金后仍要泄露被盜數(shù)據(jù)或發(fā)起DDoS攻擊。

這從根本上改變了受害者在決定支付贖金時對結(jié)果的預(yù)期，因為支付贖金往往無法解決勒索軟件攻擊帶來的許多問題。

Bridewell的John指出：“支付贖金只能解決加密問題，而無法解決更廣泛的安全漏洞。”

此外，勒索軟件事件會給組織帶來巨大壓力，法律、運營和聲譽問題往往在數(shù)小時內(nèi)集中爆發(fā)。

這些因素，再加上與犯罪分子打交道時本身就存在的不確定性，有助于解釋為什么支付贖金往往無法實現(xiàn)數(shù)據(jù)的完全恢復(fù)。

Harper James律師事務(wù)所數(shù)據(jù)保護與隱私團隊的高級律師Lillian Tsang警告說，即使收到了解密密鑰，一些數(shù)據(jù)也可能已經(jīng)永久損壞、被篡改或被盜。

Tsang解釋說：“這不僅會造成運營上的挑戰(zhàn)，還會引發(fā)數(shù)據(jù)保護方面的擔憂，特別是涉及個人數(shù)據(jù)時。如果記錄丟失或被泄露，根據(jù)英國《通用數(shù)據(jù)保護條例》(UK GDPR)，這可能構(gòu)成個人數(shù)據(jù)泄露，需要履行報告義務(wù)，并可能面臨監(jiān)管審查?！?/p>

Tsang警告說，如果犯罪分子未能兌現(xiàn)承諾，支付贖金并不能為企業(yè)提供任何法律追索權(quán)，更糟糕的是，“如果資金在不知情的情況下被轉(zhuǎn)移給了受制裁的團伙，支付贖金可能會帶來進一步的風(fēng)險?！?/p>

財務(wù)承受能力和法律問題

一家日本中型物流公司Kantsu的高管講述了該公司在遭受勒索軟件攻擊后恢復(fù)運營的經(jīng)歷，這從實際角度說明了勒索軟件攻擊的影響。Kantsu總裁Hisahiro Tatsujo向記者講述了該公司在遭受勒索軟件攻擊后恢復(fù)運營的努力。

Kantsu(未支付贖金)不得不向金融機構(gòu)申請貸款以支付恢復(fù)運營的費用，因為盡管該公司投保了，但其保險公司仍需經(jīng)過理賠流程才能賠付。這一事件表明，企業(yè)要想成功從勒索軟件攻擊中恢復(fù)，不僅需要運營計劃，還需要財務(wù)計劃。

此外，當系統(tǒng)因勒索軟件攻擊而中斷時，幾乎會立即產(chǎn)生通知監(jiān)管機構(gòu)和受影響個人的法律義務(wù)，特別是當個人數(shù)據(jù)因泄露而受到影響時。

Harper James的Tsang表示：“最大的挑戰(zhàn)之一是在只有零碎信息的情況下迅速做出高風(fēng)險的決策。高級領(lǐng)導(dǎo)必須權(quán)衡支付贖金的法律風(fēng)險、對業(yè)務(wù)連續(xù)性的影響以及對個人的潛在后果，而往往在技術(shù)上并不明確?！?/p>

未雨綢繆

一些專家建議，作為災(zāi)難恢復(fù)計劃的一部分，企業(yè)應(yīng)與應(yīng)急響應(yīng)公司保持合作，以應(yīng)對勒索軟件攻擊這一太過現(xiàn)實的威脅。

專注于直接威脅情報的網(wǎng)絡(luò)安全公司Blackwired的首席執(zhí)行官Jeremy Samide表示：“與一家信譽良好的應(yīng)急響應(yīng)或談判公司保持合作至關(guān)重要，這類公司應(yīng)具備處理加密貨幣交易的能力。這類公司可以管理談判，能夠使用多種加密貨幣(如比特幣、門羅幣、Zcash)，并在支付成為唯一恢復(fù)途徑時安全執(zhí)行轉(zhuǎn)賬。”

Samide補充道：“做好準備并不意味著屈服，而是意味著為每種情況做好準備。”

Harper James的Tsang警告說，不要為支付勒索軟件攻擊的贖金而預(yù)留資金。

Tsang表示：“為支付贖金而預(yù)留資金越來越被視為有問題。雖然支付贖金本身并不違法，但它可能違反制裁規(guī)定，可能助長進一步的犯罪活動，而且并不能保證取得積極結(jié)果。”

Tsang建議，通過強有力的安全措施、經(jīng)過充分測試的恢復(fù)計劃、明確的報告協(xié)議和網(wǎng)絡(luò)保險來增強抵御能力，從而獲得更安全的法律和戰(zhàn)略地位。

Tsang解釋說：“網(wǎng)絡(luò)保險對勒索軟件攻擊至關(guān)重要，因為它不僅提供財務(wù)保護，還能讓組織獲得專業(yè)支持，從而顯著減少損失和停機時間?！?/p>

網(wǎng)絡(luò)保險政策通常提供積極的危機管理服務(wù)，涵蓋以下方面：

? 立即應(yīng)急響應(yīng)和取證調(diào)查

? 受感染系統(tǒng)的控制和修復(fù)

? 與攻擊者的談判和法律協(xié)調(diào)

? 數(shù)據(jù)恢復(fù)和業(yè)務(wù)連續(xù)性支持

Blackwired的Samide表示：“保險不能阻止攻擊，但它可以減輕攻擊帶來的沖擊，為混亂局面帶來秩序，并確保組織不會獨自應(yīng)對勒索軟件危機。”

但其他專家警告說，網(wǎng)絡(luò)保險仍存在一些注意事項。

Avella Security的Flack表示：“保險費正在上漲，保險公司在提供或續(xù)保前現(xiàn)在要求更強的網(wǎng)絡(luò)安全措施基礎(chǔ)，包括多因素身份驗證、補丁管理和經(jīng)過測試的備份。這一轉(zhuǎn)變鼓勵組織將更好的安全實踐作為其風(fēng)險管理方法的一部分?！?/p>

網(wǎng)絡(luò)恢復(fù)

專家建議，勒索軟件攻擊后的網(wǎng)絡(luò)恢復(fù)應(yīng)像災(zāi)難恢復(fù)一樣對待，制定完善的內(nèi)部恢復(fù)計劃，并做好充分記錄，以便能夠自信地恢復(fù)未受損害的數(shù)據(jù)。

Index Engines的首席營銷官Jim McGann解釋說：“當企業(yè)遭受勒索軟件攻擊時，首要且緊迫的挑戰(zhàn)之一是評估攻擊的全部范圍，確定哪些數(shù)據(jù)已被泄露，哪些系統(tǒng)受到影響，以及現(xiàn)有備份是否可信。即使有備份可用，驗證其完整性也是一大障礙，因為備份中可能包含在恢復(fù)過程中會重新引入威脅的損壞或篡改文件?！?/p>

McGann建議：“企業(yè)現(xiàn)在需要制定內(nèi)部恢復(fù)計劃，其中包括對數(shù)據(jù)進行法醫(yī)級別的驗證，而不僅僅是恢復(fù)?！?/p>