什么是勒索软件？

勒索软件有两种主要形式：加密勒索软件和锁定勒索软件，它们又分为几种子类型。

加密勒索软件
在加密勒索软件攻击中，攻击者会对受害者的敏感数据或文件进行加密，使他们无法访问这些数据或文件，除非他们支付所要求的赎金。理论上，受害者付款后，攻击者就会交出一个解密密钥，使他们能够访问文件或数据，但这并没有保证。许多组织即使支付了赎金，也永远无法访问其文件。

锁定勒索软件
在锁定勒索软件中，恶意行为者将受害者锁定在其设备之外，并向他们展示一个屏幕上的赎金通知，其中包含如何支付赎金以恢复访问权限的说明。这种形式的勒索软件通常不涉及加密，因此一旦受害者重新获得其设备的访问权限，任何敏感文件和数据都会被保留。锁定勒索软件通常用于移动设备。

这两种主要形式的勒索软件可分为以下几种子类型：

恐吓软件
恐吓软件利用恐惧让人们支付赎金。在这些类型的网络攻击中，恶意行为者冒充执法机构，向受害者发送信息，指控他们犯罪并要求罚款。

泄露软件
在泄露软件中，恶意行为者窃取个人信息，并威胁如果不支付赎金就会公开这些信息。

双重勒索软件
在双重勒索软件中，攻击者不仅会加密文件，还会窃取敏感数据，并威胁如果不支付赎金，就会公开发布这些数据。

擦除软件
擦除软件威胁如果受害者不支付赎金，就会销毁他们的数据。

大多数勒索软件攻击都遵循三个步骤。

1. 获取访问权限
恶意行为者使用各种方法来获取对公司的敏感数据的访问权限。最常见的一种是网络钓鱼，即网络犯罪者使用电子邮件、短信或电话呼叫来欺骗用户提供其凭据或下载恶意软件。恶意行为者还会针对员工和其他用户，利用恶意网站通过所谓的漏洞利用工具包自动下载并安装恶意软件到受害者的设备上。

2. 加密数据
一旦勒索软件攻击者获取了敏感数据，他们就会复制并销毁原始文件以及他们能够访问的任何备份。然后，他们对自己的副本进行加密，并创建一个解密密钥。

3. 索要赎金
在使数据无法访问后，勒索软件会通过提示框发送信息，说明数据已被加密，并要求用钱（通常是加密货币）来换取解密密钥。这些攻击背后的恶意行为者可能还会威胁如果受害者拒绝支付，就将数据公开。

除了立即中断业务之外，勒索软件攻击的后果还包括重大经济损失、声誉受损和长期运营挑战。

财务影响
支付赎金的成本可能很高，通常高达数百万美元，而且不能保证攻击者会提供解密密钥，也不能保证它有效。

即使组织拒绝支付赎金，也会造成巨大的经济损失。勒索软件攻击造成的破坏可能导致长时间停机，影响工作效率，并可能造成收入损失。从攻击中恢复需要额外的费用，包括法证调查费用、法律费用和改进安全措施的投资。

信誉损害
客户和合作伙伴可能会对受到威胁的企业失去信任，导致客户忠诚度下降，并可能失去未来的业务。高调的攻击往往会吸引媒体的关注，从而损害公司的声誉和品牌形象。

运营挑战
即使有备份，也存在数据丢失或损坏的风险，这会影响业务连续性和运营效率。企业还可能因未能保护敏感数据而面临法律和监管处罚，特别是如果企业受《欧盟通用数据保护条例》或《加州消费者隐私法案》等数据保护法规的约束。

许多最引人注目的人为操作的勒索软件攻击都是由勒索软件集团实施的，这些集团采用勒索软件即服务的商业模式运作。

 

• 自 2019 年出现以来，LockBit 已将目标锁定在金融服务、医疗保健和制造业等多个领域。这种勒索软件以其在网络中自我传播的能力而闻名，因此特别危险。 LockBit 的附属团体利用复杂的技术加密数据并索要赎金，曾多次发动高知名度的攻击。 
• BlackByte 的攻击通常涉及双重勒索，网络犯罪分子在加密和外泄数据的同时，威胁说如果不支付赎金，就公布被盗数据。 这种勒索软件已被用于针对关键基础设施部门，包括政府和金融服务部门。
• Hive 勒索软件背后的组织在 2021 年 6 月至 2023 年 1 月期间非常活跃，他们采用双重勒索手段，通常以公共机构和关键基础设施（包括医疗设施）为目标。 在打击网络犯罪的重大胜利中，FBI 于 2022 年渗透了 Hive 的网络，获取了解密密钥，阻止了超过 1.3 亿美元的赎金要求。 
• Akira 勒索软件是一款复杂的恶意软件，自 2023 年初开始活跃，同时针对 Windows 和 Linux 系统。恶意行为者利用 Akira 通过 VPN 服务中的漏洞获得初始访问权限，特别是那些没有多重身份验证的服务。自出现以来，Akira 已对 250 多个组织造成了影响，并勒索了约 4200 万美元的赎金。

 

如果你发现自己遭到了勒索软件攻击，可以采取补救和移除措施。

隔离被感染的数据
一旦你有能力，就请隔离被泄露的数据，以帮助防止勒索软件传播到你网络的其他区域。

运行反恶意软件程序
隔离任何受感染的系统后，请使用反恶意软件程序移除勒索软件。

解密文件或还原备份
如果可能，请使用执法机构或安全研究人员提供的解密工具解密文件，而不支付赎金。如果无法解密，请通过备份还原文件。

上报攻击
请联系当地或联邦执法机构来上报攻击。在美国，这些是你的 FBI 当地办事处、IC3 或特勤局。虽然这样做可能不会解决你当前的任何问题，但它很重要，因为这些机构会主动跟踪和监控不同的攻击。向他们提供你的详细经历可能有助于他们查找和起诉网络罪犯或网络犯罪团伙。

谨慎对待支付赎金
虽然支付赎金可能很诱人，但不能保证网络罪犯会信守承诺，将你的数据的访问权限还给你。安全专家和执法机构建议勒索软件攻击的受害者不支付所要求的赎金，因为这样做可能使受害者在未来面临威胁，还会主动支持犯罪行业。

安全研究人员预计，未来几年勒索软件的出现频率和复杂性将继续增加。AI 的进步使网络犯罪分子更容易快速自动化和增强他们的勒索软件。越来越多技术能力有限的人开始加入这场游戏，因为他们可以在暗网上购买人工智能驱动的勒索软件工具，或者与勒索软件即服务组织合作。

规模更大、更复杂的网络犯罪组织，包括民族国家行为者，也越来越多地以关键基础设施和供应链为目标，导致市政和企业运营受到严重破坏。 这些实体通常以政府、交通系统和医疗机构为目标，目的是瘫痪服务。

为了应对这些不断变化的威胁，企业正在采用 AI 来保护网络安全，以帮助他们快速有效地检测和应对勒索软件攻击。 这些技术可以分析大量数据，识别可能预示着勒索软件攻击的模式和异常情况。 其中许多解决方案还能自动应对检测到的威胁，从而缩短缓解攻击所需的时间。

零信任安全模式作为加强网络安全、限制勒索软件和其他恶意活动传播的一种方式，也正受到越来越多的关注。