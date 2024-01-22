任何组织都不愿意听到这样的消息——您的组织遭遇勒索软件攻击，此刻正不知所措。
首先请牢记：您并非个例。全球超过 17% 的网络攻击涉及勒索软件——这类恶意软件会锁定受害者的数据或设备，直至支付赎金。近期研究显示，在接受调研的 1350 家机构中，78% 曾遭受过成功的勒索软件攻击。
勒索软件通过多种传播途径感染网络与设备，包括诱骗用户点击网络钓鱼电子邮件中的恶意链接，以及利用软件与操作系统漏洞（如远程访问功能）。网络犯罪分子通常要求以比特币等难以追踪的加密货币支付赎金，并在收到付款后向受害者提供解密密钥以解除设备锁定。
所幸的是，遭遇勒索软件攻击时任何组织都可遵循以下基本步骤来遏制攻击、保护敏感信息，并通过最小化停机时间确保业务连续性。
由于最常见的勒索软件变种会扫描网络漏洞以进行横向传播，因此必须尽快隔离受影响的系统。断开受感染或潜在受感染设备的以太网连接，并关闭 WiFi、蓝牙及其他网络功能。
两项配套措施：
在进行任何操作前，优先使用手机或相机等独立设备对受感染屏幕上的勒索信进行拍照取证。 此举既能加速恢复流程，也为后续报警或保险索赔提供关键证据。
断开受感染系统后，请立即向 IT 安全团队通报攻击事件。通常情况下，IT 安全专家能指导后续措施并启动组织的事件响应计划——即您的组织用于检测和应对网络攻击的流程与技术体系。
处理勒索软件时需避免启动感染设备。黑客预判这是用户本能反应，部分勒索软件会检测重启尝试并实施额外破坏（如损坏 Windows 系统或删除加密文件）。重启操作还会增加调查难度——宝贵线索存储在计算机内存中，重启将导致数据清零。
相反，建议将受感染系统设置为休眠模式。这样可将内存中的所有数据保存至设备硬盘的参考文件中，便于后续分析。
完成设备隔离后，您可能迫切希望解锁设备并恢复数据。尽管清除勒索软件感染（尤其是高级变种）管理复杂，但以下步骤能开启恢复进程。
确定攻击变种
多款免费工具可协助识别感染设备的勒索软件类型。明确具体病毒变种有助于理解关键特征：包括传播方式、锁定文件类型及清除方法。只需上传加密文件样本，若掌握勒索信和攻击者联系方式可一并提交。
两种最常见的勒索软件类型是锁定屏幕型与加密型。锁定屏幕型会冻结系统但保持文件安全，直至支付赎金；而加密型则更为棘手，它们会定位并加密所有敏感数据，仅在使用者支付赎金后才予以解密。
寻找解密工具
确定勒索软件变种后，可尝试寻找对应的解密工具。此环节还有一些免费工具辅助，包括不再勒索等网站 。只需输入勒索软件变种名称即可搜索匹配的解密方案。
若已成功清除勒索软件感染，便可启动恢复流程。
首先更新系统密码，随后从备份中恢复数据。应以两种不同存储介质保存三份数据副本，且至少一份异地存储。这种方法被称为“3-2-1”原则，能助您快速恢复数据，避免支付赎金。
事件处理后，还应考虑开展安全审计并更新所有系统。保持系统更新可防范黑客利用旧版软件漏洞，定期补丁维护则能确保设备处于最新、稳定状态，有效抵御恶意软件威胁。此外，建议根据事件教训完善事件响应计划，并确保向所有相关方完成必要的事件通报。
由于勒索软件属于敲诈勒索犯罪行为，应及时向执法机关或联邦调查局报案。
若自主恢复失败，执法部门可能协助解密文件。即便他们无法挽回数据，记录网络犯罪活动对帮助他人避免同类遭遇也至关重要。
部分勒索软件攻击受害者可能依法负有报告遭受攻击情况的义务。例如，HIPAA 合规部门通常要求卫生保健实体向美国卫生与公众服务部举报任何数据泄露事件，包括勒索软件攻击。
是否支付赎金是复杂抉择。专家建议仅在穷尽所有替代方案且数据损失远超过赎金代价时予以考虑。
无论作何决定，都应提前咨询执法机构与网络安全专家。
支付赎金既不能保证取回数据，也无法确保攻击者履约——多数受害者支付后仍未获得解密密钥。更重要的是，支付行为会助长网络犯罪，为后续攻击提供资金支持。
电子邮件安全工具、反恶意软件与防病毒软件是抵御勒索软件的首道防线。
组织还应将防火墙、虚拟专用网及多因素认证等高级终端安全工具纳入整体数据保护战略，全面防范数据泄露风险。
然而，若不具备实时拦截网络犯罪分子并减轻已成功网络攻击影响的尖端威胁检测与事件响应能力，任何网络安全体系都不完整。
安全信息与事件管理 (SIEM) 系统等工具可将机器学习与用户行为分析 (UBA) 技术应用于网络流量，结合传统日志记录实现更智能的威胁检测与更快速的补救。
使用 IBM 威胁检测和响应解决方案来加强您的安全性并加速威胁检测。
使用 IBM MaaS360 的全面移动威胁防御解决方案，保护您的移动设备环境。