勒索软件手册：从备份保护到支付赎金和谈判

“现在的勒索软件不只是加密数据，还会悄悄的窃取数据以再次出售”

对于很多的企业来说这是一个秘密：当他们遭遇勒索软件之后，只能悄悄地把赎金付给勒索者（这种做法是不对的，但也是最现实的），或者干脆不理会勒索者，重新安装大量的操作系统和服务器。

对于那些勒索事件已经公开了的企业而言则是一桩丑闻，尤其是那些中了招的安全公司。股价下跌、声誉受损，还要面临用户的质疑和恐惧：“我们的数据被盗了吗？系统被感染了吗？”

2017年6月，全球最大航运公司Maersk遭到勒索软件NotPetya的攻击，不得不重新建立恢复它的网络，包括4.5万台PC和4000台服务器。现在已经是2020年了，勒索软件的复杂度在不断的进化，导致的攻击事件仍然在全球频发。

反病毒厂商Emsisoft在2019年底发布了一份统计调查报告，报告统计了美联邦及州、市政府等103个机构遭受了勒索软件的袭击，发生了约1000起勒索事件。

对于那些尚未遭受勒索软件攻击的人来说，可能还认识不到它具有多么大的破坏性。但防患于未然是每个企业都要严肃考虑的事情，以下是业内专业人员给出的勒索软件解决方案的建议：

1. 做好备份

做好数据备份并与主数据集物理隔离，并且只读存储，从而在遭遇勒索软件之后，可以很快的恢复到未感染状态。如果数据在防火墙之外，则一定要加密，而且密钥要由内部可信人员生成生与管理。不可交与任何第三方服务，以确保数据隐私。

企业要清晰地确定哪些数据需要备份，存储在哪里，以及谁能访问。如果系统在本地，则可以考虑在云端备份。

2. 补丁更新与漏洞扫描

打补丁是一件枯燥繁琐的事，但不能省略。（安全厂商Tanium的一份调查显示，81%的CIO由于担心业务运营受到影响而未能及时打补丁或是安装重要的安全更新）

打补丁、更新系统及应用、各种平台系统的切换、用户管理、配置管理等等，都是些单调的日常工作，但正是这些看以平常的事情，能够极大的降低被攻击的机会，并有助于缓和风险。

此外，经常性的漏洞扫描可以有效地识别应用程序、操作系统，以及网络上的漏洞，是必不可少安全防护手段。

3. 严格限制远程访问

2019年初，CheckPoint对微软的三个RDP客户端进行漏洞测试，分别是：

mstc.exe – 微软内置的RDP客户端

FreeRDP – Github上最为流行和成熟的开源RDP客户端

rdesktop – 较老的开源RDP客户端，在Kali系统中默认的客户端

CheckPoint在这三个RDP客户端中发现了16个漏洞，安全专业人士对此并不十分意外。利用RDP漏洞的鱼叉式钓鱼攻击，是勒索软件一个非常惯用的入侵手段。

因此，一定要严格限制RDP的使用。不用的时候关掉它，使用的时候则要进行双因素验证或者VPN，并要进行口令审计和准确的访问控制。同理，对于开启了远程访问的服务器，要主动对异常登录和行为进行监控，对能够远程访问的用户进行权限控制。管理员要采用多因素认证并把自己的管理员账户与正常用户账户分开。

4. 员工培训

员工是对抗勒索软件最重要的防线之一，因此要长期、经常性的进行员工安全意识培训，包括识别可疑邮件、恶意链接以及规范即时通信工具软件的使用等。

5. 是否应该支付赎金？

如果不幸中了勒索软件，而且也没有备份，这时是否该支付赎金？

对于这个问题，许多安全专家强烈反对支付赎金。他们认为，这样做一方面鼓励并资助了网络犯罪分子的不法行为，另一方面即使支付了赎金也不一定策能够恢复文件。

但也有一些实用主义的看法认为，是否支付赎金是一种商业决策，而且是不得已而为之，毕竟在没有备份和其他办法的情况下，支付赎金拿回数据可能是唯一的办法和希望。虽然很有可能在支付了赎金的情况下也没有取回数据，但从大多数案例来看，犯罪分子在收到了钱的情况下还是倾向于返还数据的。用一句俗话来说，“盗亦有道”，对于犯罪分子而言这也是一门“生意”，他们也想长期的“经营”下去。

如何谈判？

如果决定支付赎金，可能会面临一个谈判过程，就像任何的商业谈判一样，只不过犯罪分子处于主动地位。毕竟你的数据掌握在他们的手中，而且他们还可能渗透进企业的网络，知道了企业的商业秘密或是关键资产。甚至还会知道企业的经济状况，以及能承担多少赎金。

因此，对于大型跨国公司而言，如果就数百上千美元的赎金进行谈判，是没有必要的。但如果是一家小企业，就值得与犯罪分子周旋。但要注意，一定要对方拿出解密的证据，比如提供一个测试文件，以证明能够归还你的数据。此外，即使拿到解密的密钥，也建议用专业人员来操作还原数据，以防止意外。

最后，要考虑可能发生的后果，调查数据可能的去向，并咨询企业的法律顾问。现在勒索软件的攻击者，一旦得手之后不仅仅是加密数据索要赎金，还会悄悄的盗走受害者的数据，在黑市或暗网进行二次出售，以及获得更多的利益。

声明：本文来自数世咨询，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。