勒索软件
本文约需 2 分钟阅读
勒索软件是一种恶意软件,它会加密受感染计算机上的文件使其无法使用,并以恢复文件为交换条件索要赎金 (ransom)。其攻击目标广泛,从个人到大型企业、医疗机构、政府机关,在全球每年造成数十亿美元规模的损失。根据 2024 年 Chainalysis 的报告,尽管勒索软件的赎金支付总额同比呈下降趋势,但攻击次数本身却在增加,双重勒索型 (在加密数据之外,还以公开窃取的数据相要挟) 已成为主流。
历史背景
最早的勒索软件被认为是 1989 年的“ AIDS Trojan ”,它通过软盘传播。但真正成为重大威胁是在 2013 年的 CryptoLocker 之后。比特币等加密货币的普及使匿名收取赎金变得容易,从而助推了攻击的激增。 2017 年的 WannaCry 在全球 150 多个国家造成了破坏,使勒索软件的威胁广为人知。如今, RaaS (Ransomware as a Service) 这一商业模式已经确立,即使没有技术能力的犯罪者也能实施勒索软件攻击。
感染途径
最常见的感染途径是钓鱼邮件的附件或链接。攻击者会使用带宏的 Office 文档,以及伪装成正规软件的可执行文件。利用远程桌面协议 (RDP) 漏洞进行的入侵也频繁发生。此外,还报告了通过滥用软件漏洞的漏洞利用工具包以及供应链攻击进行的感染。
关于勒索软件的威胁与对策,勒索软件对策书 (Amazon)中有详细的解说。
现场使用案例
“凌晨 2 点勒索软件警报触发,我们召集了应急响应团队。立即将受感染的终端从网络中隔离,并开始从离线备份恢复。”
感染流程
实务中的预防与对策
预防的基本要点是:始终将操作系统和软件保持在最新状态、不打开可疑邮件的附件,以及定期备份。重要的是将备份保存在与网络断开的离线存储中。一个常见的误区是期望“只要支付赎金数据就会恢复”,但有大量案例报告显示,支付后数据仍未恢复,或再次遭到攻击。通过使用强随机密码保护 RDP 和云服务账户,并启用两步验证,可以大幅降低初始入侵的风险。备份与数据恢复实践书 (Amazon)也可作为将损失降至最低的参考。
这篇文章对您有帮助吗?