支付或不支付？防止并处理赎金软件攻击

在下面的文章中，检查点软件共享企业的指南，了解如何在七个步骤中预防和处理赎金软件攻击，然后是七个提示，以最大限度地减少作为勒索软件的下一个受害者的风险。

赎金软件攻击数量在数量上增长。为什么？因为黑客正在得到报酬。并且增加了网络风险保险的影响只是使问题更糟。

根据Check Point Research，在过去的12个月内，赎金软件攻击的平均每周数量增加了93％。全球超过1,200个组织受到攻击一周。

攻击的增加也与威胁的可用性有关。许多黑客组织提供勒索软件服务，所以任何人都可以租用这种威胁，包括基础设施、与受害者谈判或勒索网站，窃取的信息可以发布在那里。然后赎金会在“合作伙伴”之间分配。

然而，勒索软件攻击通常不是从勒索软件开始的。它通常以“简单”的网络钓鱼邮件开始。此外，黑客组织经常一起工作。例如在Ryuk勒索软件攻击中，Emotet恶意软件渗透到网络中，然后网络被Trickbot感染，最后勒索软件对数据进行加密。

企业甚至如何知道他们是否将受害者归咎于赎金软件攻击，以及他们应该如何反应？如果没有及时捕获，它相对容易发现，因为组织会收到一条消息要求赎金，将无法访问公司的数据。

此外，网络罪犯不断改进他们的技术，以增加支付压力。最初，勒索软件“只是”加密数据，并要求赎金来解锁它。攻击者很快就增加了第二阶段，在加密之前窃取了有价值的信息，并威胁说，如果不支付赎金，就会公开这些信息。在所有新的勒索软件家族中，约有40%的人除了使用加密软件外，还以某种方式盗窃数据。此外，我们最近还看到了第三个阶段，即被攻击公司的合作伙伴或客户也被联系索要赎金，这是一种叫做三重勒索的新技术。

检查点软件的事件响应团队在全球范围内处理无数的勒索盒案例，建议在发生赎金软件攻击时遵循以下步骤：

1. 保持冷静：如果您的组织落在赎金软件攻击的受害者，请不要恐慌。立即联系您的安全团队，并拍摄赎金笔记的照片，以获得执法和进一步调查。
2. 隔离受感染的系统:立即将受感染的系统与网络的其他部分断开连接，以防止进一步的破坏。同时，确定感染源。当然，正如前面提到的，勒索软件攻击通常以另一种威胁开始，黑客可能已经在系统中存在了很长时间，逐渐掩盖了他们的踪迹，所以大多数公司在没有外部帮助的情况下可能无法应对“零病人”。
3. 要备份备份：攻击者知道组织将尝试从备份中恢复其数据以避免支付赎金。这就是为什么攻击的一个阶段通常是尝试找到和加密或删除备份。此外，切勿将外部设备连接到受感染的设备。恢复加密数据可能导致损坏，例如，由于键故障。因此，制作加密数据的副本可能是有用的。解密工具也逐渐开发，可以有助于破解以前未知的代码。如果您确实有尚未加密的备份，请在完全恢复之前检查数据的完整性。
4. 没有重新启动或系统维护：关闭受感染系统的自动更新和其他维护任务。删除临时文件或进行其他更改可能不必要地复杂化调查和修复。同时，不要重新启动系统，因为某些威胁可以开始删除文件。
5. 合作:在打击网络犯罪，尤其是勒索软件方面，合作是关键。因此，请联系执法部门和国家网络当局，不要犹豫，请联系声誉良好的网络安全公司的专门事件响应团队。通知员工事件，包括在发生任何可疑行为时如何处理的指示。
6. 识别勒索软件的类型:如果攻击者的信息没有直接说明勒索软件的类型，那么你可以使用其中一个免费工具，访问“不再勒索软件计划”网站，你可能会在那里找到专门针对你的勒索软件的解密工具。
7. 支付或不支付？：如果赎金软件攻击成功，则会面临无论是否支付赎金的选择。无论哪种方式，公司都必须返回开始，了解为什么事件发生。是否是人类因素或技术失败，再次通过所有流程并重新思考整个策略，以确保类似的事件再也不会发生。无论组织是否支付赎金，都要采取此步骤是必要的。在某种程度上，人们从来没有舒适，以至于发生了某种数据恢复并考虑事件已解决。

所以支付或不支付？答案并不像首次出现一样简单。

虽然赎金金额有时在数十万或数百万美元中，关键系统的中断经常超越这些金额。但是，企业必须记住，即使赎金是支付的，它并不意味着数据，甚至是其中的一部分实际上会被解密。甚至有人知道攻击者在代码中有错误，以便即使他们想要，组织也无法恢复数据。

不要匆忙做决定，仔细考虑所有的选择。支付赎金真的应该是最后的手段。

您如何最大限度地减少成为勒索瓶的下一个受害者的风险？

1. 周末和假期是额外的警惕：在周末或假期发生的大多数赎金软件攻击，当组织更有可能慢才能应对威胁时。
2. 定期安装更新和补丁:“想哭”在2017年5月重创了世界各地的组织，在三天内感染了20多万台电脑。然而，在攻击发生前一个月，针对永恒之蓝漏洞的补丁就已经可用了。更新和补丁需要立即安装，并具有自动设置。
3. 安装反勒索软件:反勒索软件保护监视任何异常活动，如打开和加密大量文件，如果发现任何可疑行为，它可以立即作出反应，防止大规模破坏。
4. 教育是保护的重要组成部分：许多Cyber​​Actacks从一个不包含恶意软件的目标电子邮件开始，但使用社交工程尝试将用户引起危险的链接。因此，用户教育是保护最重要的保护部分之一。
5. 赎金软件攻击不会以赎金软件开头，因此请注意其他恶意代码，例如渗透组织的涓涓细胞或驱动器，并为后续赎金软件攻击设置舞台。
6. 备份和归档数据至关重要：如果出现问题，则应轻松快速可恢复数据。必须一致地备份，包括在员工设备上自动备份，而不是依赖于它们记住打开备份。
7. 限制对必要信息的访问和分段访问:如果您想将潜在的成功攻击的影响降到最低，那么确保用户只访问他们工作绝对需要的信息和资源是很重要的。分段降低了勒索软件在网络上不受控制地传播的风险。在一个系统上处理勒索软件攻击的后果可能是困难的，但在网络范围的攻击后修复损害则更具挑战性。