Trace Id is missing
跳转至主内容
Microsoft 安全

什么是勒索软件?

学习有关勒索软件及其工作原理的详细信息,详细了解可如何保护你自己和你的企业免受此类网络攻击的影响。

勒索软件的定义

勒索软件是一种恶意软件,它通过破坏或阻止对关键数据或系统的访问,直到收到赎金,以此来威胁受害者。过去,大多数勒索软件攻击的是个人,但最近,攻击组织的人为操作的勒索软件成为了更大、更难阻止和逆转的威胁。通过人为操作的勒索软件,一群攻击者运用集体智慧来获得对组织企业网络的访问权限。在这类攻击中,有一些非常复杂,以至于攻击者使用他们发现的内部财务文档来设定赎金价格。

勒索软件攻击相关新闻

不幸的是,在新闻中提到勒索软件威胁的情况现在十分常见。最近备受瞩目的勒索软件攻击对关键基础结构、医疗保健和 IT 服务提供商造成了影响。随着这些攻击的范围变得越来越大,其影响也变得更加难以预测。下面我们来看看一些勒索软件攻击以及它们对组织所造成的影响:

  • 2022 年 3 月,希腊的邮政系统成为勒索软件的受害者。这次攻击暂时中断了邮件传递并对金融交易处理造成了影响。
  • 印度最大的航空公司之一在 2022 年 5 月遭到了勒索软件攻击。该事件导致航班延误和取消,以及数百名乘客滞留。
  • 一家大型人力资源公司在 2021 年 12 月遭到了勒索软件攻击,当时该公司使用自己的云服务的客户工资单和休假系统受到影响。
  • 2021 年 5 月,在一次勒索软件攻击导致一家美国燃油管道公司的员工个人信息泄露后,该公司关停了其服务来阻止进一步泄露。这些影响导致整个东海岸地区天然气价格飙升。
  • 一家德国化学品分销公司在 2021 年 4 月遭到了勒索软件攻击。这次攻击盗取了 6,000 多人的生日、社会安全号码、驾照号和一些医疗数据。
  • 全球最大型肉类供应商在 2021 年遭到了勒索软件攻击。在临时关闭网络和停止生产后,该公司最终以比特币的形式支付了 1100 万美元的赎金。

勒索软件的工作原理是什么?

勒索软件攻击依靠的是控制个人或组织的数据或设备,用该手段来索取金钱。在过去几年里,社会工程的攻击最为普遍,但最近,人为操作的勒索软件受到了犯罪分子的欢迎,因为它有可能获得巨额回报。

社会工程的勒索软件 
这些攻击采用网络钓鱼(一种攻击者假冒成合法公司或合法网站的欺骗手段)来诱骗受害者单击链接或打开将在其设备上安装勒索软件的电子邮件附件。这些攻击通常伴有危言耸听的信息,促使受害者出于恐惧而采取行动。例如,网络犯罪分子可能假扮成一家知名银行,发送电子邮件来提醒某人其帐户因可疑活动而被冻结,敦促他们单击电子邮件中的链接来解决问题。一旦他们单击了链接,就会安装勒索软件。

人为操作的勒索软件
人为操作的勒索软件通常是从被盗的帐户凭据开始的。攻击者用这种方式获得组织网络的访问权限后,会使用盗取的帐户通过更大范围的访问来确定帐户的凭据,并查找可能得到巨额财务回报的数据和业务关键系统。然后,他们在这些敏感数据和业务关键系统上安装勒索软件,例如通过加密敏感文件的方式,使得组织只有在支付赎金后才能访问这些内容。网络罪犯通常会要求用加密货币的形式支付,因为这种货币是匿名的。

这些攻击者会攻击大型组织,他们与普通个人相比能支付更高的赎金,有时会要求数百万美元的赎金。由于这种规模的网络入侵事关重大,很多组织选择支付赎金,而不是让他们的敏感数据被泄露,或者遭受网络罪犯进一步攻击的风险,尽管支付赎金并不能保证不会遇到上面任何一种情况。

随着人为操作的勒索软件的发展,攻击背后的犯罪分子变得更加有组织性。事实上,很多勒索软件操作现在使用勒索软件即服务模型,也就是说一群犯罪开发人员创建勒索软件本身,然后雇佣其他犯罪分子附属公司黑入某家组织的网络和安装勒索软件,按协商好的比率在两群人之间分配利润。

勒索软件攻击的不同类型

勒索软件主要有两种形式:Crypto 勒索软件和 Locker 勒索软件。

Crypto 勒索软件
当 Crypto 勒索软件攻击的受害者是个人或组织时,攻击者会加密受害者的敏感数据或文件,让他们只有支付要求的赎金后才能访问这些内容。理论上,受害者支付赎金后,会收到用于访问文件或数据的加密密钥。不过,即使受害者支付了赎金,也不能保证网络罪犯会发送加密密钥或放弃控制权。Doxware 是一种 Crypto 勒索软件,它会加密受害者的个人信息并威胁公开这些信息,通常目的是羞辱受害者,逼他们支付赎金。

Locker 勒索软件
在 Locker 勒索软件攻击中,受害者的设备被锁住,使其没法登录。受害者将在屏幕上看到一条赎金通知,上面说明受害者被锁在外面,还包括如何支付赎金来重获访问权限的说明。这种形式的勒索软件通常不涉及加密,因此一旦受害者重新获得其设备的访问权限,任何敏感文件和数据都会被保留。

应对勒索软件攻击

如果你发现自己遭到了勒索软件攻击,你可以选择求助和删除。

请谨慎对待支付赎金一事
虽然怀着解决问题的希望支付赎金可能很诱人,但不能保证网络罪犯会信守承诺,将你的数据的访问权限还给你。安全专家和执法机构建议勒索软件攻击的受害者不支付所要求的赎金,因为这样做可能使受害者在未来面临威胁,还会主动支持犯罪行业。如果你已经支付赎金,请立即联系你的银行;如果你是用信用卡支付的,银行可能能够停止支付。

隔离被感染的数据
一旦你有能力,就请隔离被泄露的数据,以帮助防止勒索软件传播到你网络的其他区域。

运行反恶意软件程序
可安装反恶意软件程序来处理勒索软件,从而解决很多勒索软件攻击。选择一个声誉良好的反恶意软件解决方案(例如 Microsoft Defender)后,请确保该解决方案保持最新状态并始终运行,这样你就能防范最新的攻击。

报告攻击
请联系当地或联邦执法机构来上报攻击。在美国,可以联系 FBI 本地外勤办事处IC3 或特勤局。虽然这样做可能不会解决你当前的任何问题,但它很重要,因为这些机构会主动跟踪和监控不同的攻击。从追踪和起诉网络犯罪分子或网络犯罪集团这个更大的角度来看,向他们提供关于你的遭遇的细节很有用。

勒索软件防护

随着勒索软件攻击数量比以往任何时候都高,而且如此多的人采用数字形式保存个人信息,攻击带来的潜在后果让人不敢想象。值得庆幸的是,有很多方法可以让你的数字生活保持平稳 - 你的数字生活,而不是别人的数字生活。下面介绍如何通过主动勒索软件防护来确保安心无忧。

安装反恶意软件程序
最好的保护方式是预防。很多勒索软件攻击都可以通过可靠的反恶意软件服务检测和阻止,例如 Microsoft Defender for Endpoint、Microsoft Defender XDR 或 Microsoft Defender for Cloud。当你使用反恶意软件程序时,你的设备首先会扫描你尝试打开的任何文件或链接,以帮助确保它们是安全的。如果某个文件或网站是恶意的,反恶意软件程序将提醒你,并建议你不要打开它。这些程序还可从已经被感染的设备中删除勒索软件。

定期举行培训
通过定期培训,让员工了解如何发现网络钓鱼和其他勒索软件攻击的迹象。这不仅会教会他们更安全的工作方法,还会教会他们在使用个人设备时如何提高安全性。

移到云端
当你将数据移动到基于云的服务(例如 Azure 云备份服务 或 Azure 块 Blob 存储备份时,你将能够轻松备份数据,并获得更安全的存储方式。如果你的数据曾经被勒索软件破坏过,这些服务可帮助确保立即全面恢复。

采用零信任模型
零信任模型会在允许设备和用户访问应用程序、文件、数据库和其他设备之前,评估所有这些设备和用户是否存在风险,从而降低恶意标识或设备访问资源和安装勒索软件的可能性。举例来说,实现多重身份验证(零信任模型的一个组件)已被证明可将标识攻击的有效性降低 99% 以上。要评估你的组织的零信任成熟度阶段,请采用 Microsoft 的零信任成熟度评估

加入信息共享小组
信息共享小组通常按行业或地理位置组织,它们鼓励结构类似的组织齐心协力,共同创建网络安全解决方案。这些小组还会向组织提供不同的好处,例如事件响应和数字取证服务、关于最新威胁的资讯,以及对公共 IP 范围和域的监视。

维护脱机备份
由于很多勒索软件试图找到和删除你可能拥有的任何在线备份,因此保留敏感数据的更新版脱机备份是一个好主意,这样你就可定期测试来确保在遭到勒索软件攻击的情况下能够恢复。不幸的是,如果你已经遭到 crypto 勒索软件攻击,那么维护脱机备份不会解决问题,但在 locker 勒索软件攻击中,它是一种可使用的有效工具。

使软件保持最新
除了将任何反恶意软件解决方案保持在更新状态(请考虑选择自动更新),还请在任何其他系统更新和软件补丁推出时立即下载和安装它们。这有助于尽量减少任何安全漏洞,避免让网络罪犯利用这些漏洞来获得你的网络或设备的访问权限。

创建事件响应计划
就像制定发生火灾逃生的应急计划,可以让你更安全、更有所准备一样,制定遭到勒索软件攻击时的事件响应计划可让你获得可行的措施,来应对各种攻击情况,进而让你尽快恢复正常并安全地运营。

使用 Microsoft 安全帮助提供周全保护

Microsoft Sentinel

借助云原生安全事件和事件管理 (SIEM) 解决方案,全面掌控整个企业的情况。

Microsoft Defender XDR

通过扩展检测和响应 (XDR) 保护你的终结点、标识、电子邮件和应用。

Microsoft Defender for Cloud

在从开发到运行时的整个过程,保护多云和混合环境。

Microsoft Defender 威胁智能

通过持续更新的完整 Internet 映射了解威胁行动者及其工具。

对抗勒索软件威胁

使用 Microsoft 安全的自动攻击中断和响应来防范威胁。

Microsoft 数字防御报告

熟悉当前的威胁形势以及如何构建数字防御。

构建反勒索软件程序

探索 Microsoft 如何创建最佳勒索软件弹性状态以消除勒索软件。

使用 playbook 阻止勒索软件

清楚说明并直观呈现每个人在阻止勒索软件的过程中所扮演的角色。

常见问题解答

  • 不幸的是,网上存在的几乎所有人都可能成为勒索软件攻击的受害者。个人设备和企业网络都是网络罪犯经常攻击的对象。

    不过,在主动型解决方案(例如威胁防护服务中投入是一种可行的方法,能够防止勒索软件影响你的网络或设备。因此,在攻击发生之前部署了反恶意软件程序和其他安全协议(如零信任模型)的个人和组织最不可能成为勒索软件攻击的受害者。

  • 当个人被诱骗与会在其设备上安装勒索软件的恶意内容互动(例如打开被感染的电子邮件或访问有害网站)时,会发生传统勒索软件攻击。

    在人为操作的勒索软件攻击中,一群攻击者会攻击和泄露组织的敏感数据,通常是通过盗取的凭据。

    通常,对于社会工程的勒索软件和人为操作的勒索软件来说,组织受害者都将收到一条赎金通知,其中详细列出被盗的数据和换回该数据的代价。但是,支付赎金并不能保证数据实际上会被归还,也不保证未来的入侵会被阻止。

  • 勒索软件攻击的影响可能是灾难性的。无论是在个人还是组织层面,受害人可能都觉得要被迫支付高昂赎金,但不能保证他们的数据会被归还,也不保证不会发生进一步的攻击。如果网络罪犯泄露组织的敏感信息,那么该组织的声誉会被玷污,被认为是不可信的。此外,根据泄露的信息类型和组织的规模,成千上万的人都可能成为身份被盗或其他网络犯罪的受害者。

  • 用勒索软件感染受害者设备的网络罪犯的目的是要钱。由于加密货币的匿名性和不可追踪性,他们倾向于用加密货币来设置赎金。在针对个人的社会工程的勒索软件攻击中,赎金可能是数百或数千美元。在针对组织的人为操作的勒索软件攻击中,赎金可能是数百万美元。这些更复杂的针对组织的攻击可能会使用网络犯罪分子在入侵网络时发现的机密财务信息,以此来设置他们认为该组织能够负担得起的赎金。

  • 受害者应该将勒索软件攻击上报给当地或联邦执法机构。在美国,可以联系 FBI 本地外勤办事处IC3 或特勤局。安全专家和执法官员建议受害者不要支付赎金;如果你已经支付,请立即联系你的银行和地方当局。如果你是用信用卡支付的,你的银行可能能够阻止付款。

关注 Microsoft 安全