什么是勒索软件？

勒索软件的工作原理

恶意软件与赎金
勒索软件是由威胁实施者用于勒索受害者钱财的恶意软件。这种形式的网络攻击是目前盈利最高的犯罪业务模式之一。勒索软件攻击会让组织损失数百万美元，需要数百小时来重建设备和复原攻击期间被破坏的数据。

通常，组织从受感染的机器收到勒索信，通知他们自己的数据已成为目标的时候，才知道遭受了网络攻击。典型的勒索软件攻击通常包含几个步骤。首先，系统或控制服务器被入侵，安装上恶意软件。接下来，恶意软件通过使用勒索软件加密数据，取得对机器的控制权。然后，遭到攻击的机器显示消息和"勒索信"，说明攻击者对个人或企业的要求，告诉他们除非支付赎金，否则加密的文件不可访问。

赎金支付
赎金支付通常要求以加密货币、信用卡或礼品卡的形式付款，但并不确保受害者能够重获访问权。如果受害者选择支付赎金，攻击者可能提供解密密钥以恢复受害者对数据的访问。有时，受害者付费后，攻击者并不提供解密密钥，导致赔了数据又折钱。有时，受害者选择不支付赎金，依靠系统重建和数据备份来恢复 IT 运营。受过攻击的受害者往往会再次被同一网络罪犯盯上，特别是哪些之前表现出支付赎金意愿的受害者。

根据"对抗破坏性的恶意软件"报告，平均而言，一次勒索软件攻击可造成大型跨国公司损失 2.39 亿美元，破坏 12,316 台计算机工作站。由于网络、云、远程虚拟化和物联网的复杂性，加之新型勒索软件的出现，网络威胁态势不断发展和扩大。

对抗破坏性恶意软件 (2.4 MB)

是什么导致勒索软件感染？

勒索软件可通过几种方法入侵计算机或系统。最常见的是电子邮件网络钓鱼攻击与垃圾邮件，信件中包含恶意附件或指向受感染的网站的链接。一旦用户打开附件或点击链接，勒索软件就会感染计算机，并扩散到整个网络。

另一个勒索软件攻击方向是通过入侵工具包，利用系统或程序中的薄弱环节或安全漏洞。 WannaCry 是勒索软件感染的一个例子，2018 年的这次攻击利用 Microsoft Windows 操作系统中的一个漏洞，影响到全球数以十万计的系统。勒索软件还采用伪造的软件更新的形式，提示用户启用管理员功能并执行恶意代码。

网络钓鱼、社会工程和其他策略
自 1989 年勒索软件出现以来，随着云、移动技术和物联网的普及，全球网络和基础架构越来越复杂，攻击态势也在不断扩大。

勒索软件通常通过包含恶意附件或恶意网站链接的网络钓鱼电子邮件的形式入侵组织。例如， Locky 勒索软件通过包含嵌入式恶意宏的 Microsoft Word 文档来感染受害者的系统。

勒索软件很难对抗，但通过结合用户教育、经过演练的主动事件响应规划，以及基本的安全卫生实践（比如积极的补丁管理和端点保护解决方案），有助于缓解这一威胁。网络弹性实践包括数据保护、数据恢复、弹性最佳实践以及针对最终用户的勒索软件培训。对于已将数据迁移到云，或使用云作为备份位置的组织，使用云数据加密之类的工具有助于减轻勒索软件攻击

的风险和损失。

对抗破坏性恶意软件 (2.4 MB)

勒索软件攻击的类型

勒索软件主要有两种类别，它们都旨在中断业务运营，以便为攻击者获取经济利益。

加密勒索软件

加密勒索软件使用针对每个文件随机生成的对称密钥进行加密，阻止用户访问文件或数据。然后使用非对称公钥对对称密钥加密；攻击者要求支付赎金以获取非对称密钥的访问权。

Doxware

Doxware 是一种加密勒索软件形式，受害者不仅面临无法访问文件的威胁，而且他们的私密文件和数据也面临通过"Dox"被公开的风险。

了解有关 Doxware 的更多信息

Locker 勒索软件

Locker 勒索软件通过防止用户登录来锁定计算机或设备；受感染的机器可以显示一个官方样式的消息，以警告用户。这种类型的恶意软件并不实际加密设备上的文件。

如果您有一台受感染的计算机

美国国土安全部发布了有关勒索软件（链接位于 IBM 外部）和最新变体的警报，以及针对组织和个人的建议。他们的主要建议是建立安全的数据备份和恢复流程。

国土安全部建议组织：

针对所有关键数据实施备份和恢复计划；
定期测试备份，以减轻数据违规的影响，加快恢复过程；
将关键备份与网络隔离，以便在与网络连接的备份受到勒索软件感染的情况下最大程度提供保护。

从勒索软件攻击中恢复，其实就是尽可能安全高效地保持对数据的控制。包括欧洲的 GDPR 和美国加州的《消费者隐私法》在内的一些法规都对数据违规通知提出了新的要求，这可能会影响处理勒索软件攻击的方式。美国联邦调查局建议向联邦执法部门报告任何勒索软件攻击，这样他们就可以与当地的美国执法机构合作，跟踪攻击和确定攻击者。

如果您正在经历网络安全事件，请联系 IBM Security X-Force 团队以获取即时帮助。

勒索软件保护