什么是勒索软件？

勒索软件是互联网上最大的安全问题之一，也是组织如今面临的最大形式的网络犯罪之一。勒索软件即恶意软件，它可以加密从单个PC到整个网络（包括服务器）上任何文件上的文件和文档。受害者往往别无选择。他们可以通过向勒索软件背后的犯罪分子支付赎金来重新获得对其加密网络的访问权限，或者从备份中恢复，或者希望可以免费使用解密密钥。

某些勒索软件感染始于某人单击一个看起来像无辜的附件，该附件在打开时会下载恶意负载并加密网络。

其他规模更大的勒索软件活动则利用软件漏洞和漏洞，破解的密码及其他漏洞来利用弱点（例如，面向互联网的服务器或远程桌面登录名）来访问组织。攻击者将秘密地通过网络搜寻，直到他们尽可能地控制为止-然后再加密所有可能的内容。

如果重要文件和文档，网络或服务器突然被加密并且无法访问，对于各种规模的公司而言，这可能是一个头痛的问题。更糟糕的是，在您受到文件加密勒索软件的攻击后，犯罪分子会毫不客气地宣布他们将您的公司数据扣为人质，直到您支付赎金才能取回。

勒索软件的历史是什么？

虽然勒索软件去年爆炸式增长，估计增长了748％，但这并不是一个新现象：勒索软件的第一个实例出现在1989年。

该病毒被称为AIDS或PC Cyborg Trojan，是通过软盘发送给受害者的，主要是医疗行业的受害者。勒索软件计算了PC的启动次数：一旦达到90，它就会对计算机及其上的文件进行加密，并要求用户通过向邮局发送189美元或378美元来向“ PC Cyborg Corporation”“续订许可证”。

AIDS的付款要求-通过邮寄。

勒索软件如何演变？

早期的勒索软件是一个相对简单的构造，它使用基本的密码学技术，该密码学技术大多只是更改了文件名，因此相对容易克服。

但是，它掀起了计算机犯罪的新分支，这种犯罪缓慢但可以肯定地在不断扩大，并且确实在互联网时代蓬勃发展。

在他们开始使用高级加密技术来瞄准公司网络之前，黑客们已经使用基本的勒索软件瞄准了一般的互联网用户。

最成功的变体之一是“警察勒索软件”，它试图通过声称PC已被执法机构加密来勒索受害者。

它用赎金票据锁定了屏幕，警告用户他们进行了非法的在线活动，这有可能将他们送进监狱。

但是，如果受害者支付了罚款，“警察”将让侵权滑动并通过交出解密密钥来恢复对计算机的访问权限。当然，这与执法无关，是犯罪分子剥削无辜的人。

威胁英国用户的“警察勒索软件”示例

这些勒索软件虽然取得了一些成功，但它们通常只是将其“警告”消息覆盖在用户的显示器上-重新启动计算机可以消除问题并恢复对从未真正加密的文件的访问。

犯罪分子从中了解到，现在大多数勒索软件方案都使用高级加密技术来真正锁定受感染的PC及其上的文件。

勒索软件的主要类型是什么？

勒索软件一直在发展，不断有新的变体在野外出现并对企业构成新的威胁。但是，某些类型的勒索软件比其他勒索软件更成功。

Sodinokibi是2020年迄今为止最多产的勒索软件家族，自2019年4月出现以来，该组织一直困扰着世界各地的组织。这种勒索软件也被称为REvil，它负责加密许多知名组织的网络，其中包括Travelex和一家拥有名人客户的纽约律师事务所。

Sodinokibi背后的团伙花了很长时间为攻击奠定基础，秘密地跨受感染的网络移动，以确保在勒索软件攻击发动之前，所有可能的东西都可以加密。

众所周知，那些支持Sodinokibi的人要求支付数百万美元来换取解密数据。而且鉴于黑客通常会完全控制网络，那些在成为Sodinokibi的受害者后拒绝支付赎金的组织也发现该团伙威胁说，如果不支付赎金，便会释放被盗的信息。

Sodinokibi并不是唯一威胁将受害者的数据泄露为勒索支付手段的勒索软件活动。诸如迷宫，Doppelpaymer和Ragnarlocker之类的勒索软件团伙还威胁说，如果受害者不付款，就会发布被盗的信息。

新的勒索软件系列一直在兴起，而其他勒索软件系列则突然消失或过时，地下论坛上不断出现新颖的变体。

目前，任何形式的勒索软件都可能在短短几个月内成为昨天的新闻。

例如，Locky曾经是最臭名昭著的勒索软件形式，在2016年整个世界范围内都在组织内部造成严重破坏，并通过网络钓鱼电子邮件进行传播。

Locky之所以保持成功，是因为其背后的人员定期更新代码以避免被发现。他们甚至使用新功能对其进行了更新，包括以30种语言提出赎金要求的功能，因此犯罪分子可以更轻松地将全世界的受害者作为目标。

一方面Locky变得如此成功，但它本身已成为最流行的恶意软件之一。但是，不到一年后，它似乎消失了，此后一直闻所未闻。次年，是Cerber成为勒索软件的最主要形式，在2017年4月占Windows勒索软件攻击的90％。

Cerber如此流行的原因之一是它以“ ransomware-as-a”的形式分发-服务”，允许没有技术知识的用户进行攻击，以换回一些原始作者的收益。

尽管Cerber似乎在2017年底消失了，但它开创了``即服务''模式，该模式在当今许多形式的勒索软件中都很流行。

2017年和2018年的另一种成功的勒索软件形式是SamSam，它成为第一个臭名昭著的家族之一，不仅因为对其收取了数万美元的解密密钥赎金，还利用了不安全的面向互联网的系统作为手段感染并在整个网络中横向传播。

2018年11月，美国司法部指控两名在伊朗工作的黑客创建了SamSam勒索软件，据报道该勒索软件在一年中支付了超过600万美元的赎金。

此后不久，SamSam似乎不再是一种勒索软件的活跃形式。在整个2018年和2019年，另一个证明对企业和家庭用户都存在问题的勒索软件家族是GandCrab，Europol将其称为“当时最激进的勒索软件之一”。

GandCrab以“即服务”方式运行并获得定期更新，这意味着即使安全研究人员破解了它并能够释放解密密钥，带有新加密方法的新版本勒索软件也将很快出现。

尤其是在2019年上半年取得了巨大成功，GandCrab的创建者突然宣布关闭该业务，声称每周将其出租给其他网络犯罪用户赚了250万美元。

几周后，GandCrab消失了，尽管看起来攻击者本可以将注意力转移到另一场战役上。研究人员建议，与2020年仍将继续发展的Sodinokibi相比，GandGrab的代码具有很强的相似性。

什么是WannaCry勒索软件？

在迄今为止最大的勒索软件攻击中，WannaCry（也称为WannaCrypt和Wcry）在2017年5月12日星期五开始的攻击中在全球范围内引起了混乱。

WannaCrypt勒索软件需要300美元的比特币来解锁加密文件-三天后价格翻了一番。如果勒索赎金在一周之内没有付清，用户还会通过屏幕上的赎金记录受到威胁，永久删除其所有文件。

WannaCry勒索软件在全球范围内感染了Windows XP系统

在一个周末的时间内，来自150多个国家/地区的300,000多名受害者成为了勒索软件的受害者，全球企业，政府和个人均受到影响。

英国各地的医疗保健组织都因勒索软件攻击而使系统脱机，从而迫使患者预约被取消，并导致医院告诉人们除非有必要，否则请避免去急诊室。

根据安全研究人员的说法，在所有遭受攻击的国家中，俄罗斯受到的打击最为严重，WannaCry恶意软件使俄罗斯银行，电话运营商甚至支持运输基础设施的IT系统崩溃。共有29,000个组织沦为这种特别恶毒形式的勒索软件的受害者。

其他备受关注的目标包括汽车制造商雷诺（Renault），由于勒索软件对系统造成了严重破坏，该公司被迫在几个地方停止了生产线。

勒索软件蠕虫之所以如此强大，是因为它利用了一个称为EternalBlue的已知软件漏洞。

Windows漏洞是NSA已知的众多零日漏洞之一，然后被Shadow Brokers黑客团体泄露。

Microsoft在今年早些时候发布了该漏洞的补丁-但仅适用于最新的操作系统。为了应对这种攻击，Microsoft采取了前所未有的步骤，为不受支持的操作系统发行补丁程序，以防御恶意软件。

此后，美国和英国的安全部门指出朝鲜是WannaCry勒索软件攻击的肇事者，白宫正式宣布平壤为爆发源。

但是，朝鲜将指称其在WannaCry背后的指控称为“荒谬”。不管最终谁是WannaCry的支持者，如果该计划的目标是赚大钱，它都会失败–仅支付了大约100,000美元。

WannaCry攻击者最终从WannaCry比特币钱包中撤出资金已经过去了将近三个月–由于比特币价值的波动，他们总共损失了14万美元。

但是，尽管提供了重要的补丁程序来保护系统免受WannaCry和其他利用SMB漏洞的攻击，但许多组织似乎都选择不应用更新。

有人认为这是LG在八月份（最初爆发后三个月）遭受WannaCry感染的原因。该公司此后表示已经应用了相关补丁。

WannaCry背后的EternalBlue漏洞的公开转储导致各种黑客组织试图利用它来传播自己的恶意软件。研究人员甚至记录了APT28（针对与美国总统大选有关的俄罗斯黑客组织）针对欧洲酒店的运动现在如何利用泄露的NSA漏洞。

什么是NotPetya勒索软件？

WannaCry勒索软件爆发后一个多月，全世界再次遭受全球勒索软件攻击。这种网络攻击首先袭击了乌克兰的目标，包括其中央银行，主要国际机场，甚至是切尔诺贝利核设施，然后迅速在全球蔓延，感染了欧洲，俄罗斯，美国和澳大利亚的组织。

在最初对该恶意软件的含义感到困惑之后-有些人说它是Petya，有些人说这是别的东西，因此命名为NotPetya-Bitdefender的研究人员得出的结论是，爆发是归因于Petya勒索软件的修改版，GoldenEye的元素-Petya的一个特别恶毒的亲戚-和WannaCry勒索软件成为非常强大的恶意软件。

Petya赎金记录

第二种形式的勒索软件还利用了相同的EternalBlue Windows漏洞利用，该漏洞为WannaCry提供了蠕虫般的功能，使其可以通过网络（而不是通常通过电子邮件附件）进行传播，并遍及全球30万台计算机。

但是，NotPetya是一种更加恶性的攻击。攻击不仅会加密受害者的文件，还会通过覆盖主重新启动记录来加密整个硬盘，从而阻止计算机加载操作系统或执行任何操作。

攻击者要求将300美元的比特币赎金发送到特定的电子邮件地址，该地址已被电子邮件服务主机关闭。但是，这种非常复杂的勒索软件显然配备了非常基本的，非自动化的接受勒索软件的功能，这使一些人认为钱不是目的。

这使许多人相信勒索软件说明只是该病毒真正目标的掩盖-通过无法恢复地擦除受感染机器上的数据来造成混乱。无论攻击的目的是什么，它都严重影响了被感染组织的财务状况。

英国消费品公司Reckitt Benckiser表示，由于成为Petya的受害者而损失了1亿英镑的收入。

但这与攻击的其他受害者相比是相对较小的损失：由于佩蒂亚的影响，航运和供应船运营商马士基和货物运送公司联邦快递都估计损失了3亿美元。

2018年2月，英国，美国，澳大利亚等国政府正式宣布NotPetya勒索软件是俄罗斯军方的工作。俄罗斯否认有任何介入。

什么是Bad Rabbit勒索软件？

2017年10月，俄罗斯和乌克兰的组织成为Petya勒索软件新变种的受害者，这是当年第三次备受瞩目的勒索软件攻击。

它被称为“坏兔子”，它感染了至少三个俄罗斯媒体组织，同时也渗透到包括基辅地铁站和敖德萨国际机场在内的几个乌克兰组织的网络中。当时，该机场称它已成为“黑客攻击”的受害者。

用于分发Bad Rabbit的最初攻击媒介是在被黑客入侵的网站上进行过路过的下载-自6月以来，其中一些漏洞已遭到破坏。没有使用漏洞利用程序，而是告诉访问者他们必须安装伪造的Flash更新，该更新删除了恶意软件。

Bad Rabbit赎金记录

就像之前的NotPetya一样，Bad Rabbit使用泄漏的NSA黑客工具在网络中传播-但这一次是通过EternalRomance SMB漏洞而不是EternalBlue漏洞进行的。

对Bad Rabbit的分析表明，它与Peyta共享了大部分代码（至少67％），而Cisco Talos的研究人员得出的结论是，这与使用SMB漏洞的方式结合在一起，意味着对这两种形式之间的联系具有“高度信心”勒索软件，甚至可以共享同一作者。

Bad Rabbit是根据Tor网站顶部显示赎金记录的文字命名的。一些安全研究人员开玩笑说，它应该以引用《权力的游戏》中角色的代码行命名。

勒索软件攻击将花费您多少钱？

显然，与勒索软件感染相关的最直接成本（如果已付款）是勒索需求，这可能取决于勒索软件的类型或组织的规模。

勒索软件攻击的大小可能会有所不同，但黑客团伙要求数百万美元以恢复对网络的访问已变得越来越普遍。

简而言之，黑客团伙之所以能够要求这么多钱，是因为许多组织都会为此付费。如果网络被勒索软件锁定意味着组织无法开展业务，则情况尤其如此-他们可能每天甚至可能每小时损失大量收入，网络无法使用。

据估计，NotPetya勒索软件攻击使马士基航运公司损失了多达3亿美元。如果组织选择不支付赎金，他们不仅会发现自己在可能持续数周，甚至数月的时间内失去收入，他们可能会发现自己为安全公司的成立和恢复付出了大笔费用访问网络。

在某些情况下，这甚至可能比索要赎金的成本还要高，但至少在这种情况下，付款将用于合法业务，而不是为犯罪分子提供资金。

无论企业采用哪种方式处理勒索软件攻击，都将对未来产生财务影响。因为为了防止再次遭受牺牲品的侵害，组织将需要投资于其安全基础架构，即使这意味着剥夺网络并重新开始。最重要的是，还存在由于网络安全性差而使客户对您的业务失去信任并将其业务转移到其他地方的风险。

企业为什么要担心勒索软件？

简而言之：勒索软件可能会破坏您的业务。恶意软件将您的文件锁定一天甚至会影响您的收入。但是，鉴于勒索软件会使大多数受害者脱机至少一周，有时甚至是几个月，因此损失可能是巨大的。系统离线很长时间，不仅是因为勒索软件锁定了系统，还因为清理和还原网络需要进行所有的工作。不仅是勒索软件会给企业造成直接的经济打击，还会破坏企业。

消费者对于将数据提供给他们认为不安全的组织感到谨慎。

一封垃圾邮件声称目标客户已购买了航班-内含包含勒索软件的伪造发票。

为什么小型企业会成为勒索软件的目标？

中小企业是受欢迎的目标，因为它们的网络安全性往往比大型组织差。尽管如此，许多中小型企业错误地认为它们太小而无法成为攻击目标，但即使是几百美元的“较小”赎金对网络犯罪分子来说仍然是高利润的。

为什么勒索软件如此成功？

您可以说勒索软件蓬勃发展的一个关键原因是：它可以工作。勒索软件进入您的网络所需要做的只是让一个用户溜走并启动恶意电子邮件附件，或重新使用弱密码。

如果组织不屈服于勒索要求，犯罪分子将停止使用勒索软件。但是企业确实需要访问数据才能发挥作用，因此许多人愿意支付赎金并付诸实施。同时，对于罪犯来说，这是一种非常容易赚钱的方法。

如果勒索软件可以立即从大量受感染的受害者中立即支付数百甚至数千美元，为什么还要花时间和精力开发复杂的代码或从被盗的银行详细信息中生成伪造的信用卡？

比特币和其他加密货币与勒索软件的兴起有什么关系？

像比特币这样的低温货币的兴起使得网络犯罪分子可以轻松地秘密收取因这种类型的恶意软件而勒索的款项，而不会冒着当局查明肇事者的风险。安全，无法追踪的付款方式（要求受害者向比特币地址付款）使其成为希望隐藏其金融活动的犯罪分子的理想货币。

网络犯罪团伙不断变得越来越专业-许多甚至为不知道如何获取或发送比特币的受害者提供客户服务和帮助，因为如果用户不知道如何付款，索要赎金的意义何在？一些组织甚至积累了一些加密货币，以防它们被感染或文件被加密并不得不急于支付比特币。

Globe3对3比特币的赎金需求-包括针对不知道如何购买的指南

您如何防止勒索软件攻击？

从黑客利用不安全的面向互联网的端口和远程桌面协议开始的大量勒索软件攻击开始，组织可以防止自己成为受害者的关键措施之一是，除非必要，否则请确保端口不暴露于威胁之下。

互联网，如果他们不需要。当需要远程端口时，组织应确保登录凭据具有复杂的密码，以防止希望部署勒索软件的犯罪分子能够使用蛮力攻击来破解简单的密码。

将双重身份验证应用于这些帐户也会成为攻击的障碍，因为如果有任何未经授权的访问企图，就会发出警报。组织还应确保网络修补了最新的安全更新，因为许多形式的勒索软件以及其他恶意软件都是通过使用众所周知的漏洞进行传播的。

EternalBlue（为WannaCry和NotPetya提供支持的漏洞）仍然是用于传播攻击的最常见漏洞之一，尽管已经有超过三年的安全补丁可以防御该漏洞。

当涉及通过电子邮件阻止攻击时，您应该为员工提供有关如何发现传入的恶意软件攻击的培训。甚至会发现格式不佳之类的小指标，或者声称来自'Microsoft Security'的电子邮件都是从一个甚至不包含Microsoft这个词的晦涩地址发送的，也可以使您的网络免遭感染。

通常，保护您免受恶意软件攻击的安全策略将在某种程度上有助于防止勒索软件对您的业务造成混乱。还有一些要说的要使员工能够在安全的环境中从犯错误中学习。

例如，一家公司已经开发了一种交互式视频体验，使它的员工可以对一系列事件做出决策，然后最终发现这些事件的后果。这使他们能够从错误中学习，而不会遭受任何实际后果。

从技术上讲，阻止员工启用宏是迈向确保他们不会无意间运行勒索软件文件的重要一步。Microsoft Office 2016和现在的Microsoft Office 2013都具有允许禁用宏的功能。

至少，雇主应该投资防病毒软件并保持其最新状态，以便它可以警告用户有关潜在的恶意文件。备份重要文件，并确保在其他密钥攻击期间不会破坏这些文件。

从勒索软件攻击中恢复需要多长时间？

简而言之，勒索软件会削弱整个组织的安全–加密的网络或多或少没有用，并且在恢复系统之前无法做很多事情。

如果您的组织明智并已准备好备份，则可以在网络恢复正常运行的时间内使系统恢复在线状态，尽管视公司规模而定，其时间可能从数小时到数天不等。

但是，虽然可以在短期内恢复功能，但是组织可能难以恢复所有系统的运行，这就是Petya攻击所证明的。

疫情爆发后一个月，雷基特·本克塞（Reckitt Benckiser）确认其部分业务仍在中断，直到最初的Petya疫情爆发两个月后才能完全启动。

除了勒索软件可能对网络产生的直接影响之外，它还可能导致持续的财务损失。任何时候下线对企业都是有害的，因为这最终意味着组织无法提供其设定的服务，也无法赚钱，但是系统下线的时间越长，则可能越大。那就是您的客户想要与您开展业务：在某些领域，您已成为网络攻击的受害者，这有可能使客户流失。

如何删除勒索软件？

由欧洲刑警组织和荷兰国家警察与包括Kaspersky Lab和McAfee在内的多家网络安全公司合作于2016年7月发起的``No More Ransom''计划-为勒索软件变体提供免费解密工具，以帮助受害者取回加密数据而不会屈服于网络勒索者的意志。

该门户网站为Shade，Rannoh，Rakhn和CoinVault等勒索软件系列提供了四个解密工具，该计划定期为更多版本的勒索软件添加更多解密工具。该门户网站（首先还包含有关避免成为勒索软件受害者的信息和建议），会尽可能频繁地更新，以确保可以使用工具来对抗最新形式的勒索软件。

No More Ransom从提供四个工具的集合发展为携带涵盖数百个勒索软件系列的大量解密工具。到目前为止，这些工具已经解密了成千上万的设备，剥夺了犯罪分子数百万的赎金。该平台现已提供数十种语言的版本，共有来自公共和私营部门的100多个合作伙伴支持该计划。

No More Ransom门户提供免费的勒索软件解密工具。

各个安全公司还定期发布解密工具以应对勒索软件的不断发展-其中许多将在破解代码后立即在其公司博客上发布有关这些工具的更新。

解决勒索软件感染的另一种方法是确保您的组织定期离线备份数据。将备份文件转移到新计算机上可能要花费一些时间，但是如果计算机被感染并且您有备份，则可以仅将其隔离，然后继续您的业务。只要确保加密锁定骗子也无法加密您的备份即可。

我应该支付勒索软件赎金吗？

有人说受害者应该支付赎金，理由是赎金是检索加密数据的最快，最简单的方法。而且即使执法机构发出警告，许多组织也确实支付了赎金。

但请注意：如果有消息说您的组织因为支付了赎金而成为网络犯罪分子的轻松目标，那么您可能会发现自己正与其他试图利用您薄弱的安全性的网络犯罪分子一样。请记住，您在这里与犯罪分子打交道，他们的天性意味着他们可能不会遵守诺言：即使他们拥有解密密钥，也无法保证您会获得解密密钥。解密甚至不总是可能的：有受害者支付赎金而仍未解锁加密文件的故事。

例如，今年早些时候发现的一种针对Linux的勒索软件要求比特币付款，但没有在本地或通过命令和控制服务器存储加密密钥，这使勒索付款充其量是徒劳的。

您可以勒索软件可以入侵智能手机吗？

绝对。由于网络罪犯意识到许多人并不知道智能手机可以受到攻击，并且内容（通常比我们保存在PC上的东西更具个人性）被恶意代码勒索了加密，因此针对Android设备的勒索软件攻击已大大增加。因此，出现了各种形式的Android勒索软件来困扰移动用户。

实际上，任何与互联网连接的设备都是勒索软件的潜在目标，勒索软件已经锁定智能电视。

研究人员在车载信息娱乐系统中演示了勒索软件。

勒索软件和物联网

物联网设备在安全性方面的声誉很差。随着越来越多的此类产品进入市场，他们将为网络犯罪分子提供数十亿个新的攻击媒介，从而可能使黑客将您的联网房屋或联网汽车劫持为人质。

加密文件是一回事：但是如何找到智能冰箱或烤面包机上显示的赎金票据呢？黑客甚至有可能感染医疗设备，直接威胁生命安全。

2018年3月，IOActive的研究人员展示了商用机器人如何受到勒索软件攻击，从而进一步迈出了一步。研究人员除了要让机器人口头要求付款以使其恢复正常外，还要求它发出威胁和咒骂。随着勒索软件的不断发展，因此对于您的员工而言，了解其构成的威胁以及使组织尽一切可能避免感染是至关重要的，因为勒索软件可能会瘫痪并且解密并非总是一种选择。