什么是勒索软件？如何有效防护勒索病毒的攻击！

    勒索软件是一种复杂的恶意软件，可以感染计算机并随后将敏感数据或个人身份信息 （PII）扣为人质，直到支付费用或“赎金”。网络犯罪分子经常使用二进制加密密钥来限制数据访问，以向受害者勒索钱财。

勒索软件攻击对于企业、医院、学校或其他依赖该信息日常运作的组织来说尤其危险。在大多数情况下，未能支付赎金可能会导致机密数据永久丢失或泄露。

人们感染勒索软件的一些最常见方式是：

• 网络钓鱼电子邮件
• 访问损坏的网站
• 下载受感染的文件扩展名或恶意附件
• 系统和网络漏洞
• 远程桌面协议 （RDP） 攻击

勒索软件的类型

勒索软件攻击可以影响任何人，从个人用户到大公司。这种类型的恶意软件可以将单个文件（如文档或图像）锁定到整个数据库中，从而导致大量数据泄露或敏感个人信息的暴露。

勒索软件主要分为四类：

1. 加密-加密是最常见的勒索软件类型，它会加密数据，如果没有解密密钥就无法解锁。
2. 储物柜- 储物柜限制了您的计算机的使用，在支付赎金之前无法工作或使用基本功能。
3. Scareware- Scareware 试图吓唬用户购买不必要的软件。在某些情况下，弹出窗口会淹没屏幕，迫使用户付费才能删除它们。
4. Doxware/Leakware- 除非支付罚款，否则 Doxware 或 Leakware 将威胁泄露个人或公司信息。

 

1.备份您的数据

将数据备份到外部硬盘驱动器或云服务器是最简单的风险缓解方法之一。在勒索软件攻击的情况下，用户可以擦除计算机并重新安装备份文件。

2. 保持所有系统和软件的更新

始终保持您的操作系统、Web 浏览器、防病毒软件和您使用的任何其他软件更新到可用的最新版本。恶意软件、病毒和勒索软件不断演变，新的变种可以绕过您的旧安全功能，因此您需要确保所有内容都已修补并保持最新状态。

3.安装防病毒软件和防火墙

全面的防病毒和反恶意软件是防御勒索软件的最常见方法。他们可以扫描、检测和响应网络威胁。但是，您还需要配置防火墙，因为防病毒软件仅在内部级别工作，并且只有在攻击已经进入系统后才能检测到攻击。

防火墙通常是抵御任何传入的外部攻击的第一道防线。它可以防止基于软件和硬件的攻击。防火墙对于任何企业或专用网络都是必不可少的，因为它们可以过滤掉并阻止可疑数据包进入系统。

4. 网络分段

由于勒索软件可以在整个网络中快速传播，因此在发生攻击时尽可能限制传播非常重要。实施网络分段会将网络划分为多个较小的网络，以便组织可以隔离勒索软件并防止其传播到其他系统。

每个单独的子系统都应该有自己的安全控制、防火墙和唯一访问权限，以防止勒索软件到达目标数据。分段访问不仅可以防止传播到主网络，还可以为安全团队提供更多时间来识别、隔离和消除威胁。(技术：data_119)

5. 电子邮件保护

电子邮件网络钓鱼攻击是恶意软件感染的主要原因。

勒索软件通过电子邮件感染用户有几种不同的方式：

• 下载可疑电子邮件附件
• 点击指向受感染网站的链接

除了防病毒软件之外，您还可以使用以下做法或技术来采取其他预防措施：

• 不要打开来自未知发件人的电子邮件- 避免点击来自未知地址或未经授权来源的附件、文件或链接。
• 保持电子邮件客户端应用程序更新- 不允许网络犯罪分子利用过时技术的安全漏洞。
• 域名密钥识别邮件 （DKIM）- 提供加密密钥和数字签名，以验证电子邮件未被欺骗、伪造或更改。

6. 申请白名单

白名单确定哪些应用程序可以在网络上下载和执行。如果员工或用户意外下载受感染的程序或访问损坏的网站，任何未列入白名单的未经授权的程序或网站都将受到限制或阻止。使用Windows AppLocker等白名单软件，您还可以将特定程序和网站“列入黑名单”或阻止。

7. 端点安全

端点安全应该是成长型企业的首要任务。随着业务开始扩展和最终用户数量的增加，这会产生更多需要保护的端点（笔记本电脑、智能手机、服务器等）。每个远程端点都为犯罪分子创造了访问私人信息的潜在机会。

无论您是在家经营业务还是作为大公司的一部分工作，都可以为所有网络用户安装端点保护平台 （EPP） 或端点检测和响应 （EDR）。这些技术允许系统管理员监视和管理每个远程设备的安全性。EDR 比 EPP 稍微先进一些，专注于响应和应对渗透到网络中的直接威胁。

EPP 和 EDR 通常包括一套保护工具，包括：

• 防病毒和反恶意软件
• 数据加密
• 数据丢失防护
• 入侵检测
• Web 浏览器安全
• 移动和桌面安全
• 安全团队的网络评估
• 实时安全警报和通知

8. 限制用户访问权限

保护网络和系统的另一种方法是将用户访问和权限限制为仅工作所需的数据。这种“最小权限”的想法限制了谁可以访问基本数据。通过这样做，您可以防止勒索软件在公司内部的系统之间传播。

9. 定期进行安全测试

实施新的安全措施应该是一项永无止境的任务。随着勒索软件策略的不断发展，公司需要定期进行网络安全测试和评估，以适应不断变化的环境。公司应持续：

• 重新评估用户权限和访问点
• 识别新的系统漏洞
• 创建新的安全协议

10. 安全意识培训

由于最终用户和员工是网络攻击最常见的门户，因此公司可以提供的最重要的培训之一是安全意识培训。网络钓鱼和社会工程策略可以很容易地利用毫无戒心、装备不足的用户。拥有基本的网络安全知识可以极大地影响甚至从源头上防止攻击。

要提供的一些基本安全培训实践包括：

• 安全的网上冲浪
• 创建安全密码
• 使用安全 VPN（无公共 Wi-Fi）
• 识别可疑电子邮件或附件
• 维护更新的系统和软件
• 保密培训
• 为可疑活动提供紧急报告渠道

 

勒索软件攻击后该怎么办

当然，尽管采取了所有安全措施，但仍然有可能成为勒索软件的受害者。您的安全计划的一部分应包括在被感染或攻击后立即采取的措施以及限制损害的正确步骤。组织应提前建立明确的应急通信和响应程序，以便所有用户了解在发生攻击时该怎么做。应立即采取的一些措施是：

• 不要支付赎金- 安全专家和执法机构强烈建议不要支付赎金，因为这只会鼓励攻击者继续他们的犯罪活动。在许多情况下，无法保证攻击将提供有效的解密密钥。即使使用密钥，数据也可能损坏，从而导致永久丢失
• 隔离受感染的系统- 为防止进一步违规，用户应立即断开其设备与网络和所有无线连接（Wi-Fi、蓝牙）的连接。尽管勒索软件可能已经影响了其他用户，但隔离可以限制网络中的感染范围。
• 识别源- 找出恶意软件的来源有助于找到勒索软件的入口点。这些信息可以为组织提供有价值的信息，以进一步改进安全实践和培训。
• 及时求助和报警- 勒索软件是一种犯罪行为，应向当地机关报警以进行进一步调查。为了防止病毒的深入请及时求助网络安全数据师做有效清除。

良好的勒索软件防御实践在发生任何攻击之前就开始了。等到勒索软件攻击您的网络才采取行动可能已经太晚了。从备份文件到安装强大的防病毒和防火墙，再到网络安全教育，您需要为各种可能的情况做好准备。