已存档页面： 2020信息安全提示

什么是勒索软件？

勒索软件是一种恶意软件，它会阻止对系统、设备或文件的访问，直到支付赎金为止。这是一种非法的赚钱计划，可以通过电子邮件、即时消息或网站中的欺骗性链接进行安装。

勒索软件的工作原理是加密受感染系统上的文件（加密勒索软件）、威胁删除文件（擦除器勒索软件）或阻止受害者访问系统（锁定勒索软件）。网络威胁行为者 (CTA) 的赎金金额和联系信息通常包含在受害者文件被锁定或加密后出现在受害者屏幕上的赎金通知中。

有时，CTA 只会在便条中包含联系信息，并且一旦联系上他们，他们可能会尝试协商赎金金额。赎金要求通常以比特币等加密货币的形式出现，金额从几百美元到一百万美元不等。在当前的威胁形势下，要求支付数百万美元的赎金并不罕见。

勒索软件主要通过以下方式传播：

• 电子邮件中发送恶意附件/链接。
• 通过安全性较差的端口和服务（例如远程桌面协议 (RDP)）进行网络入侵（例如Phobos 勒索软件变种）。
• 因其他恶意软件感染而丢失（例如最初的 TrickBot 感染导致 Ryuk 勒索软件攻击）。
• 利用网络漏洞的蠕虫和其他形式的勒索软件（例如 WannaCry 勒索软件变体）。

为什么勒索软件意识很重要？

勒索软件是一个日益严重且代价高昂的问题。2019年，多州信息共享和分析中心 (MS-ISAC) 观察到，报告的州、地方、部落和领土 (SLTT) 政府勒索软件攻击数量与上一年相比增加了153 %。许多此类事件导致网络严重中断、服务延迟以及昂贵的补救措施。

勒索软件的受害者不仅面临着失去系统和文件访问权限的风险。在许多情况下，他们还可能因法律费用、为员工/客户购买信用监控服务或最终决定支付赎金而遭受经济损失。当勒索软件攻击影响紧急服务和关键基础设施（例如911呼叫中心和医院）时，其后果尤其严重。

此外，CTA 还针对托管服务提供商 (MSP)，即管理客户信息技术 (IT) 基础设施的公司，向多个实体推送勒索软件。当 CTA 危害 MSP 并使用其现有基础设施向 MSP 的客户传播勒索软件时，就会发生这种情况。这利用了客户与其 MSP 之间的信任关系。

过去几年中，MS-ISAC 发现允许 CTA 逃避检测并最大化其攻击影响的手段有所增加。其中一种手段包括所谓的“离地攻击”（LOTL）：部署公开可用的渗透测试套件或工具（例如，Cobalt Strike、Metasploit 或 Mimikatz），专门针对域控制器和 Active Directory 来获取网络范围的访问权限，并部署无文件勒索软件来逃避任何基于签名的防病毒软件。

你能对勒索软件做些什么？

防御勒索软件需要采取整体的、全员参与的方法，让整个组织团结起来。虽然由于精心制作的网络钓鱼电子邮件和来自合法网站的驱动下载的有效性，勒索软件感染无法完全预防，但组织可以通过实施网络安全政策和程序以及提高所有员工的网络安全意识和实践来显著降低勒索软件的风险。

我们所有人都有责任帮助防止勒索软件成功感染我们的系统。为了增加预防勒索软件感染的可能性，组织必须实施网络安全用户意识和培训计划，其中包括如何识别和报告可疑活动（例如网络钓鱼）或事件的指导。该计划应包括组织范围的网络钓鱼测试，以衡量用户意识并强调识别潜在恶意电子邮件的重要性。当员工能够发现并避免恶意电子邮件时，每个人都在保护组织方面发挥着作用。

如果您的组织感染了勒索软件，您可以采取一些措施来应对。减轻勒索软件攻击成功导致数据丢失的风险的最有效策略是建立全面的数据备份流程；但是，备份必须存储在网络之外并定期测试以确保完整性。

报告勒索软件

如果您的组织是勒索软件感染的受害者，请按照组织的事件响应程序进行报告。另外，网络安全和基础设施安全局 (CISA) 为选民和合作伙伴提供了一种安全的方式来报告事件、网络钓鱼企图、恶意软件和漏洞。要提交报告，请访问https://us-cert.cisa.gov/report 。