什么是勒索软件?

勒索软件是一种恶意软件,威胁要破坏或扣压受害者的数据或文件,除非支付赎金,才可以解除加密,恢复数据访问。

一个人坐在办公桌前,看着他们面前打开的笔记本电脑。

勒索软件的工作原理

恶意软件 与 赎金 
勒索软件是由威胁实施者用于勒索受害者钱财的 恶意软件 。 这种形式的网络攻击是目前盈利最高的犯罪业务模式之一。 勒索软件攻击 会让组织损失数百万美元,需要数百小时来重建设备和复原攻击期间被破坏的数据。

通常,组织从 受感染的机器 收到勒索信,通知他们自己的数据已成为目标的时候,才知道遭受了 网络攻击。  典型的 勒索软件攻击通常包含几个步骤。 首先,系统或 控制服务器 被入侵,安装上 恶意软件。 接下来, 恶意软件 通过使用勒索软件 加密 数据,取得对机器的控制权。 然后,遭到攻击的机器显示消息和"勒索信",说明攻击者对个人或企业的要求,告诉他们除非支付赎金,否则 加密的文件 不可访问。 

赎金支付
赎金支付通常要求以 加密货币、信用卡或礼品卡的形式付款,但并不确保受害者能够重获访问权。 如果受害者选择支付赎金,攻击者可能提供 解密密钥 以恢复受害者对数据的访问。 有时,受害者付费后,攻击者并不提供 解密密钥,导致赔了数据又折钱。 有时,受害者选择不支付赎金,依靠系统重建和数据备份来恢复 IT 运营。 受过攻击的受害者往往会再次被同一 网络罪犯 盯上,特别是哪些之前表现出支付赎金意愿的受害者。 

根据"对抗破坏性的恶意软件"报告,平均而言,一次 勒索软件攻击 可造成大型跨国公司损失 2.39 亿美元,破坏 12,316 台计算机工作站。 由于网络、云、远程虚拟化和物联网的复杂性,加之 新型勒索软件 的出现,网络威胁态势不断发展和扩大。


是什么导致勒索软件感染?

勒索软件可通过几种方法入侵计算机或系统。 最常见的是电子邮件 网络钓鱼 攻击与垃圾邮件,信件中包含恶意附件或指向受感染的网站的链接。 一旦用户打开附件或点击链接,勒索软件就会感染计算机,并扩散到整个网络。

另一个 勒索软件攻击 方向是通过 入侵工具包 ,利用系统或程序中的薄弱环节或安全漏洞。 WannaCry 是 勒索软件感染 的一个例子,2018 年的这次攻击利用  Microsoft Windows  操作系统 中的一个漏洞,影响到全球数以十万计的系统。 勒索软件还采用伪造的软件更新的形式,提示用户启用管理员功能并执行 恶意代码。

网络钓鱼、 社会工程 和其他策略
自 1989 年勒索软件出现以来,随着云、移动技术和物联网的普及,全球网络和基础架构越来越复杂,攻击态势也在不断扩大。

勒索软件通常通过包含恶意附件或恶意网站链接的 网络钓鱼 电子邮件 的形式入侵组织。 例如, Locky 勒索软件通过包含嵌入式恶意宏的 Microsoft Word 文档来感染受害者的系统。

勒索软件很难对抗,但通过结合用户教育、经过演练的主动事件响应规划,以及基本的安全卫生实践(比如积极的补丁管理和端点保护解决方案),有助于缓解这一威胁。 网络弹性实践包括数据保护、数据恢复、弹性最佳实践以及针对 最终用户的勒索软件培训。  对于已将数据迁移到云,或使用云作为备份位置的组织,使用 云数据加密 之类的工具有助于减轻 勒索软件攻击

的风险和损失。

勒索软件攻击的类型

 

勒索软件主要有两种类别,它们都旨在中断业务运营,以便为攻击者获取经济利益。

加密勒索软件

加密 勒索软件使用针对每个文件随机生成的对称密钥进行加密,阻止用户访问文件或数据。 然后使用非对称公钥对对称密钥加密;攻击者要求 支付赎金 以获取非对称密钥的访问权。

Doxware

Doxware 是一种 加密勒索软件 形式,受害者不仅面临无法访问文件的威胁,而且他们的私密文件和数据也面临通过"Dox"被公开的风险。

Locker 勒索软件

Locker 勒索软件通过防止用户登录来锁定计算机或设备; 受感染的机器 可以显示一个官方样式的消息,以警告用户。 这种 类型的 恶意软件 并不实际 加密 设备上的文件。

如果您有一台受感染的计算机

美国国土安全部发布了 有关勒索软件(链接位于 IBM 外部)和最新变体的警报,以及针对组织和个人的建议。 他们的主要建议是建立安全的数据备份和恢复流程。

国土安全部建议组织:

  • 针对所有关键数据实施备份和恢复计划;
  • 定期测试备份,以减轻数据违规的影响,加快恢复过程;
  • 将关键备份与网络隔离,以便在与网络连接的备份受到勒索软件感染的情况下最大程度提供保护。

从勒索软件攻击中恢复,其实就是尽可能安全高效地保持对数据的控制。  包括欧洲的 GDPR 和美国加州的《消费者隐私法》在内的一些法规都对数据违规通知提出了新的要求,这可能会影响处理 勒索软件攻击的方式。  美国联邦调查局 建议向联邦 执法部门 报告任何 勒索软件攻击 ,这样他们就可以与当地的 美国 执法 机构 合作,跟踪攻击和确定攻击者。

如果您正在经历 网络安全 事件,请联系 IBM Security X-Force 团队以获取即时帮助。

 


相关解决方案

保护数据免受勒索软件攻击

了解如何保护企业的数据免遭勒索软件威胁,这些威胁可能会劫持数据作为"人质"。

网络安全

保护网络基础架构免遭高级威胁和恶意软件的攻击

安全信息与事件管理 (SIEM)

获得集中的可视性,帮助检测、调查和响应网络安全威胁。

IBM Security X-Force Incident Response Retainer

了解如何改进网络事件响应准备工作,最大程度减轻攻击带来的影响。

协调事件响应

通过智能协调与自动化管理,更快地响应事件。

管理式检测和响应服务

威胁防御始于全天候的预防、检测和快速响应。

响应更快

通过隔离不可变数据副本来避免支付勒索软件费用。 在发生攻击时,可以快速且放心地恢复副本。

管理和控制移动设备

永久查看和控制您几乎所有的移动设备、应用程序和内容;运行人工智能驱动的安全分析;并维护所有平台的安全性。

闪存存储解决方案

借助统一的 IBM FlashSystem® 平台系列简化数据和基础架构管理,从而简化跨本地、混合云、虚拟化和容器化环境的管理和运营复杂性。