如果威胁行为者的赎金要求没有得到满足(即,如果受害者不支付赎金),文件或加密数据通常会保持加密状态,受害者无法获得。即使在支付赎金以解锁加密文件后,威胁行为者有时也会要求额外付款、删除受害者的数据、拒绝解密数据或拒绝提供有效的解密密钥来恢复受害者的访问权限。绝对多数政府不支持支付勒索软件要求。
勒索软件如何运作?
勒索软件会识别受感染系统上的驱动器,并开始加密每个驱动器中的文件。勒索通常增加了一个扩展加密的文件,.aaa、.micro、.encrypted、.ttt、.xyz、.zzz、.locky、.crypt、.cryptolocker、.vault、或.petya以表明文件已被加密所使用的文件的扩展名是唯一的勒索类型。
勒索软件完成文件加密后,会创建并显示一个或多个文件,其中包含有关受害者如何支付赎金的说明。如果受害者支付赎金,威胁行为者可能会提供一个加密密钥,受害者可以用它来解锁文件,使其可访问。
勒索软件是如何传播的?
勒索软件通常通过网络钓鱼电子邮件或“偷渡式下载”传播。网络钓鱼电子邮件通常看起来好像是从合法组织或受害者认识的人发送的,并诱使用户单击恶意链接或打开恶意附件。“路过式下载”是一种未经用户同意或通常在用户不知情的情况下从 Internet 自动下载的程序。恶意代码可能会在下载后运行,无需用户交互。运行恶意代码后,计算机会感染勒索软件。
如何保护数据和网络?
- 备份计算机。经常备份您的系统和其他重要文件,并定期验证您的备份。如果您的计算机感染了勒索软件,您可以使用备份将系统恢复到以前的状态。
- 单独存储备份。最佳做法是将备份存储在无法从网络访问的单独设备上,例如存储在外部硬盘驱动器上。备份完成后,请务必断开外部硬盘驱动器,或将设备与网络或计算机分开。(请参阅软件工程学院关于勒索软件页面)。
- 培训组织。组织应确保为其员工提供网络安全意识培训。理想情况下,组织将定期进行强制性的网络安全意识培训课程,以确保其人员了解当前的网络安全威胁和威胁行为者技术。为了提高员工意识,组织可以使用模拟真实网络钓鱼电子邮件的网络钓鱼评估来测试他们的员工。
如何防止勒索软件感染?
- 更新和修补计算机。确保应用程序和操作系统 (OS) 已使用最新补丁进行更新。易受攻击的应用程序和操作系统是大多数勒索软件攻击的目标。(请参阅了解补丁和软件更新。)
- 使用链接和输入网站地址时要小心。直接单击电子邮件中的链接时要小心,即使发件人看起来是认识的人。尝试独立验证网站地址(例如,联系组织的帮助台,在 Internet 上搜索发件人组织的网站或电子邮件中提到的主题)。注意点击的网站地址以及输入的网址。恶意网站地址通常与合法网站几乎相同,通常在拼写上略有不同或使用不同的域(例如,.com而不是.net)。(请参阅谨慎处理电子邮件附件。)
- 谨慎打开电子邮件附件。小心打开电子邮件附件,即使是认为自己认识的发件人,尤其是当附件是压缩文件或 ZIP 文件时。
- 确保个人信息安全。检查网站的安全性以确保提交的信息在提供之前已加密。
- 验证电子邮件发件人。如果不确定电子邮件是否合法,请尝试通过直接联系发件人来验证电子邮件的合法性。不要点击电子邮件中的任何链接。如果可能,在联系发件人之前,使用以前的(合法的)电子邮件来确保发件人的联系信息是真实的。
- 告知自己。随时了解最近的网络安全威胁和勒索软件技术的最新信息。可以在反网络钓鱼工作组网站上找到有关已知网络钓鱼攻击的信息。可能还想注册CISA 产品通知,它会在发布新警报、分析报告、公告、当前活动或提示时提醒。
- 使用和维护预防性软件程序。安装防病毒软件、防火墙和电子邮件过滤器——并保持更新——以减少恶意网络流量。
如何应对勒索软件感染?
- 遵循第10 页的勒索软件响应清单。所述的11 CISA-MS-ISAC联合勒索指南。
- 扫描备份。如果可能,请使用防病毒程序扫描备份数据以检查它是否没有恶意软件。
如果感染了勒索软件,该怎么办?
- 家庭用户:立即联系监管部门请求帮助。
- 组织:立即向 IT 服务台或安全办公室报告勒索软件事件。
- 所有用户:删除勒索软件后更改所有系统密码。
参考来源:美国CISA官网