什么是勒索软件?勒索软件是一种恶意软件威胁行为者,用来感染计算机和加密计算机文件,直到支付赎金。初次感染后,勒索软件会尝试传播到连接的系统,包括共享存储驱动器和其他可访问的计算机。如果威胁行为者的赎金要求没有得到满足(即,如果受害者不支付赎金),文件或加密数据通常会保持加密状态,受害者无法获得。即使在支付赎金解锁加密文件后,威胁行为者有时也会要求额外付款、删除受害者的数据、拒绝解密数据或拒绝提供有效的解密密钥以恢复受害者的访问权限。绝大多数政府不支持支付勒索软件的要求。勒索软件如何运作?勒索软件识别受感染系统上的驱动器并开始加密每个驱动器中的文件。勒索软件通常会添加一个加密的文件扩展名,.aaa、.micro、.encrypted、.ttt、.xyz、.zzz、.locky、.crypt、.cryptolocker、.vault或.petya,以表明该文件已被加密使用的文件扩展名是唯一的勒索软件类型。勒索软件完成文件加密后,它会创建并显示一个或多个文件,其中包含有关受害者如何支付赎金的说明。如果受害者支付赎金,威胁行为者可能会提供一个加密密钥,受害者可以使用该密钥来解锁文件,使它们可以访问。勒索软件是如何传播的?勒索软件通常通过网络钓鱼电子邮件或“路过式下载”传播。网络钓鱼电子邮件通常看起来是由合法组织或受害者认识的人发送的,并诱使用户单击恶意链接或打开恶意附件。“路过式下载”是一种在未经用户同意或通常用户不知情的情况下从Internet自动下载的程序。恶意代码可能会在下载后运行,无需用户交互。运行恶意代码后,计算机会感染勒索软件。您如何保护您的数据和网络?备份您的计算机。经常备份您的系统和其他重要文件,并定期验证您的备份。如果您的计算机感染了勒索软件,您可以使用备份将系统恢复到以前的状态。单独存储备份。最佳做法是将备份存储在无法从网络访问的单独设备上,例如外部硬盘驱动器。备份完成后,请务必断开外接硬盘,或将设备与网络或计算机分开。(请参阅软件工程学院关于勒索软件的页面)。培训机构。组织应确保为其员工提供网络安全意识培训。理想情况下,组织将定期进行强制性网络安全意识培训课程,以确保其人员了解当前的网络安全威胁和威胁参与者技术。为了提高员工的意识,组织可以使用模仿真实网络钓鱼电子邮件的网络钓鱼评估来测试他们的员工。如何防止勒索软件感染?更新和修补计算机。确保使用最新补丁更新应用程序和操作系统(OS)。易受攻击的应用程序和操作系统是大多数勒索软件攻击的目标。(请参阅了解补丁和软件更新。)使用链接和输入网站地址时要小心。直接点击电子邮件中的链接时要小心,即使发件人看起来是您认识的人。尝试独立验证网站地址(例如,联系组织的服务台,在互联网上搜索发件人组织的网站或电子邮件中提到的主题)。记下您单击的网站地址和您输入的URL。恶意网站地址通常与合法网站几乎相同,只是拼写略有不同或使用不同的域(例如,.com而不是.net)。(请参阅小心处理电子邮件附件。)小心打开电子邮件附件。打开电子邮件附件时要小心,即使来自您认为自己认识的发件人,尤其是当附件是压缩文件或ZIP文件时。确保个人信息安全。检查网站的安全性,以确保提交的信息在提供前已加密。验证电子邮件发件人。如果您不确定电子邮件是否合法,请尝试通过直接联系发件人来验证电子邮件的合法性。不要点击电子邮件中的任何链接。如果可能,在联系发件人之前,使用以前的(合法的)电子邮件来确保发件人的联系信息是真实的。通知你自己。随时了解最新的网络安全威胁和勒索软件技术。有关已知网络钓鱼攻击的信息可以在反网络钓鱼工作组网站上找到。您可能还想注册CISA产品通知,它会在发布新警报、分析师报告、公告、时事或提示时提醒您。使用和维护预防性软件程序。安装防病毒软件、防火墙和电子邮件过滤器——并保持更新——以减少恶意网络流量。您如何应对勒索软件感染?请遵循第10页的勒索软件响应清单。11CISA-MS-ISAC联合勒索软件指南。扫描备份。如果可能,请使用防病毒程序扫描备份数据以检查它是否没有恶意软件。中了勒索软件怎么办?家庭用户:立即联系监管机构寻求帮助。组织:立即向IT服务台或安全办公室报告勒索软件事件。所有用户:删除勒索软件后更改所有系统密码。参考来源:美国CISA官网
