步骤 1: Infection
网络犯罪分子通过钓鱼邮件、恶意附件或利用安全漏洞(如被盗凭证)感染系统。它们通常会在发起攻击前横向移动网络,以实现破坏效果最大化。
加密勒索软件
加密勒索软件使用强加密算法加密文件,并要求以加密货币换取解密密钥。它会阻止访问敏感数据并干扰业务运营,即使支付赎金,也无法保证数据完全恢复。
Cyber Threat: Ransomware Attack
防御勒索软件攻击
什么是勒索软件攻击?
勒索软件是一种恶意软件,它会加密数据并扣留系统,直到支付赎金为止。网络犯罪分子通常要求以加密货币支付,以换取解密密钥。然而,支付赎金并不能保证网络犯罪分子会履行归还数据的承诺。美国联邦调查局(FBI)建议不要支付赎金,因为这无法保证数据恢复,且可能导致未来的网络攻击或法律违规。
即使访问权限恢复,敏感数据仍可能在暗网上被出售。在许多情况下,勒索软件受害者可能收到有缺陷的解密密钥,面临额外勒索,或成为未来网络攻击的目标。
无论组织规模大小,勒索软件攻击都会带来严重后果,包括财务损失、运营中断、声誉受损及数据泄露。
勒索软件攻击的工作原理是什么?
步骤 2: 加密
一旦入侵,网络犯罪分子会找到有价值的数据,并使用军用级算法加密文件。他们可能会禁用安全工具、删除备份,并破坏其他系统。
步骤 3: Ransom demand
文件被锁定,并附带一项勒索要求,威胁您在短期内支付大量加密货币,否则便会出售、泄露或删除您的敏感数据。
最常见的五种勒索软件攻击类型
锁机勒索软件
与加密勒索软件只加密单个文件不同,锁定型勒索软件会将用户完全锁定在整个设备或系统之外。它通常会显示伪造的执法机构信息,以恐吓受害者支付赎金。这种勒索软件会完全中断工作流程,直到系统恢复。
双重勒索赎金软件
在双重勒索攻击中,网络犯罪分子会提取敏感数据并加密,要求支付的赎金不仅用于解密,还用于阻止数据泄露。即使支付了赎金,数据仍然可能被泄露或在暗网上出售。
三重勒索软件
三重勒索软件在双重勒索软件的基础上增加了额外压力层。网络犯罪分子会窃取敏感数据并加密,同时发动额外网络攻击,例如分布式拒绝服务(DDoS)攻击或向客户施加威胁,从而加剧业务中断及声誉损害。
勒索软件即服务(RaaS)
RaaS 通过将勒索软件作为付费服务提供,使技能较低的网络犯罪分子也能使用勒索软件。附属网络犯罪分子发起实际攻击,而勒索软件开发者则从已支付的赎金中抽取部分份额。
勒索软件清除指南
要清除勒索软件,组织必须谨慎且有条不紊地操作,以将声誉损害降到最低,并安全恢复运营。
报告攻击
必要时通知贵组织的安全团队及执法部门。通过及早报告勒索软件攻击,相关部门可以协助协调修复工作并处理法律合规问题。
隔离受感染设备
断开受感染的计算机或服务器与互联网及内部网络的连接,以防勒索软件传播至其他设备。
运行杀毒软件并恢复系统
通过全面审核、会话记录和密码自动填充功能,保护内部基于 Web 的应用、云应用和自带设备(BYOD)免受恶意软件侵害,防止数据外泄,并控制浏览会话。
评估备份情况
在所有 Windows、Linux 和 macOS 端点上实现零常设权限,并启用即时 (JIT) 访问,配合可选的审批工作流和 MFA 强制执行。
如何防范勒索软件攻击
执行定期系统备份
频繁的自动备份是防范勒索软件最有效的措施。确保所有备份均离线存储并定期测试,以保证无需支付赎金即可恢复数据。
培训员工识别网络钓鱼
网络钓鱼邮件是网络犯罪分子发起勒索软件攻击的常用手段。最佳实践包括使用模拟钓鱼测试、定期安全培训以及严格的网络安全规范,帮助员工识别并报告可疑邮件。
保持软件更新
网络犯罪分子常常利用操作系统、软件或设备中未修补的漏洞获取访问权限。定期在所有系统中应用安全更新,以保持防护并符合监管标准。
监视暗网
网络犯罪分子经常在暗网上出售员工凭证。像 BreachWatch® 这样的工具会实时提醒 IT 团队,如果公司凭证被泄露,他们能够快速响应并保护受影响账户。今天就进行一次免费的暗网扫描,查看贵公司的凭证是否已泄露。
使用企业密码管理器和特权访问管理(PAM)解决方案
网络犯罪分子常常利用被泄露、弱或重复使用的密码获取未经授权的访问。像 Keeper® 这样的企业密码管理器可以帮助实施强大且唯一的密码,支持多因素身份验证(MFA),并降低基于密码的网络攻击风险。对于特权账户和关键系统,可使用 KeeperPAM® 等 PAM 解决方案,全面掌握谁有权访问敏感数据以及如何使用这些访问权限。
