非常抱歉,您的搜索操作未匹配到任何结果。

我们建议您尝试以下操作,以帮助您找到所需内容:

  • 检查关键词搜索的拼写。
  • 使用同义词代替键入的关键词,例如,尝试使用“应用”代替“软件”。
  • 重新搜索。
联系我们 登录 Oracle Cloud

什么是勒索软件?

勒索软件的定义

勒索软件是一种描述威胁行为体的恶意意图的恶意有效载荷。威胁行为体会通过控制受害者的数据或系统来向受害者勒索钱财,且一般要求受害者使用加密货币来支付。


恶意攻击者会使用多种攻击向量发起攻击,如果受害者拒绝付款,就可能面临相应后果。攻击者通常会发出以下威胁:

  • 提取并公开受害者的数据
  • 公开可促使受害者妥协的漏洞和运营实践
  • 加密受害者的数据,永久阻止受害者访问
  • 夺取受害者的管理员控制权限或根控制权限,永久禁用相关系统

通常情况下,恶意攻击者会以破坏受害者的 IT 系统和正常运营为威胁,向受害者勒索钱财。勒索软件事件的主要攻击手段是恶意软件,不过现实中也发生了很多不使用恶意软件的勒索软件事件,例如威胁发起拒绝服务 (DoS) 攻击或网站篡改。最后,随着技术发展,勒索软件即服务 (RWaaS) 也应时而生,这是威胁行为体创建的一种付费业务模式:收取客户一定的费用,按照客户的要求有针对性地向个人或企业发起攻击。

勒索软件的工作原理是什么?

勒索软件一般通过钓鱼邮件或偷渡式下载传播。钓鱼邮件通常看起来正当合法、可信赖,意在引诱受害者点击恶意链接或打开恶意附件。偷渡式下载则指在受害者不知情和未取得受害者同意的情况下,自动从互联网上下载恶意程序。受害者下载后,恶意代码可能无需用户操作就会开始运行。一旦恶意代码运行,用户的计算机就感染了勒索软件。

然后,勒索软件会识别被感染系统上的存储驱动器,然后加密每一个存储驱动器上的文件。这种加密一般会给被加密文件添加一个独特的扩展名,例如 .aaa、.micro、.encrypted、.ttt、.xyz、.zzz、.locky、.crypt、.cryptolocker、.vault 或 .petya。加密完成后,勒索软件会创建并向受害者展示一个或一组包含勒索软件攻击相关信息和说明的文件。而当受害者满足勒索软件的条件后,威胁行为体会提供一个秘钥,供受害者解锁被加密文件。

企业应如何提高弹性,防范勒索软件攻击?

基本的安全卫生与健康操作实践可帮助企业防范勒索软件,避免财务损失、停机和中断。

在现实中,很多漏洞都可以归咎于企业内部用户。而通过为内部用户提供电子邮件和互联网浏览安全教育,企业可有效防范勒索软件。此外,社交媒体平台安全教育也十分重要,它可以让内部用户谨记恶意威胁行为体可能利用自己的公开信息,以自己或企业内其他用户作为突破口来发起攻击。

为增强安全实践,企业还可以对自己的各种系统实施技术控制,防止攻击者利用这些系统来传播恶意软件。技术控制一般包括:

  • 对电子邮件和通信平台实施过滤工具和过滤技术,防止用户感染恶意软件
  • 对电子邮件服务器和互联网网关实施反恶意软件扫描、链接验证服务以及沙盒技术
  • 定义并实施关于下载和外部不可信代码使用行为的安全策略,从而防止用户安装恶意软件或执行恶意脚本,避免系统遭到破坏。

除了运行最新的端点保护产品外,企业还应部署适当的身份与访问管理 (IAM) 系统,实施零信任安全策略。凭借强有力的认证措施和最小权限原则,企业可以严格控制关键系统和敏感数据存储。

除了严格的访问控制外,企业应对协作工具、文件共享资源以及其他常见的被访问系统进行限制,甚至在必要和适当时,强制要求进行额外认证。通过消除匿名登录、通用账户和弱凭证,实施严格的特权账户(操作系统根账户和管理员账户或 DBA 账户)控制,企业可实现可靠、稳健的安全态势。

企业应定义和维护公认安全配置基准,按照安全配置指南来部署系统。由于恶意有效载荷常常以软件漏洞作为突破口,企业必须及时应用安全补丁。

最后,企业应单独在不同的 OS 上存储数据/信息备份,使其无法通过网络访问。这同样有助于消除勒索软件的影响。

企业在遭遇勒索软件攻击后应做些什么?

一旦发现勒索软件,企业应通过以下方式,立即阻断恶意有效载荷的传播:

  • 隔离被感染系统,切断其与所有网络的连接
  • 及时修补所有文件共享漏洞,将所有无专业支持的操作系统离线
  • 审查现有 IT 系统中的信任链,防止恶意软件蔓延
  • 隔离网络与数据库,从而阻断恶意软件,防止运营受到进一步影响

为降低勒索软件攻击的影响,企业的补救计划应包括频繁进行安全备份,并制定有效、经验证的恢复步骤。在恢复系统前,企业应合理、谨慎判断初次入侵将何时以及如何发生。而在遭到入侵后,如果不做尽职调查,企业在执行初次恢复时,可能会在无意间恢复安全威胁,再次被感染。因此,在决定恢复到更早但已知安全的状态,还是恢复到更新但可能被感染的状态前,企业必须进行成本收益分析,尽可能降低对业务的冲击。最后,由于很多恶意软件以备份文件和资源为目标,企业应对备份文件和资源实施有效控制。