勒索软件是组织在过去几年中面临的最具破坏性的恶意软件威胁之一,并且没有迹象表明攻击者会很快停止。这对他们来说太有利可图了。赎金需求从数万美元增加到数百万甚至数千万美元,因为攻击者了解到许多组织愿意支付。您的组织是否突然受到勒索软件病毒的攻击?如果是这样,请深呼吸并尽量保持冷静。面对攻击很容易恐慌或不知所措,但保持冷静和专注对于为您的组织做出最佳决策至关重要。随着越来各种监管义务要求披露数据泄露。虽然私营公司过去不必公开披露勒索软件攻击,但由于这种数据泄露因素,他们可能会越来越多地被迫这样做。发生勒索软件攻击时应采取的初始措施发生勒索软件攻击时,需要采取两项关键且时间敏感的措施:确定攻击者如何进入、关闭漏洞并将其踢出网络这意味着识别勒索软件变体,将他们与威胁行为者联系起来,并建立他们的信誉,特别是如果他们也提出数据盗窃索赔。第一个行动需要一个内部或外部事件响应团队,而第二个行动可能需要一家专门从事威胁情报的公司。一些大公司雇用了这些团队,但许多组织并没有,而且在面对勒索软件攻击时常常感到迷茫,最终浪费了宝贵的时间。在这些情况下,更好的方法可能是聘请具有管理网络攻击响应专业知识的外部顾问。据与CSO交谈的国际律师事务所Orrick的律师称,在大约75%的案件中,外部律师首先被召集并开始响应过程,其中包括通知执法部门联系取证人员、与组织领导进行内部简报,以及特权覆盖范围可能需要对向外部各方发出的通知进行调查评估帮助受害组织联系他们的保险公司,通知他们攻击并获得费用批准,包括律师、取证、危机沟通和任何其他所需费用,包括如果决定支付赎金制成。尽快断开受影响的设备与网络的连接。这有助于防止勒索软件传播到其他计算机或设备。确定哪些数据受到影响并评估损坏的程度。确定感染您设备的勒索软件病毒的特定类型,以了解它的工作原理以及您需要采取哪些步骤来删除它。重要的是要将勒索软件攻击通知所有员工,并指示他们不要点击任何可疑链接或打开任何可疑附件。考虑报告攻击。这有助于提高对攻击的认识,也可能有助于防止未来的攻击。请注意,在某些地区,法律要求企业主主动报告攻击。不要急于做出决定。在决定是支付赎金还是探索其他解决方案之前,请花时间仔细评估您的选择以及每种选择的潜在后果。支付赎金并不是唯一的选择。考虑探索其他解决方案,例如从备份中恢复数据。如果您没有备份,网络安全专家可能会帮助您恢复数据,因为许多勒索软件变体已被解密并且密钥是公开的。网络欺诈者使用的策略从受害者那里快速提取资金除了加密数据外,网络勒索者还使用各种策略。他们还在攻击后使用多种勒索方法来胁迫受害者向他们付款。通常,网络犯罪分子会同时使用多种勒索策略。这些策略的一些示例包括:(1)窃取和泄露网络勒索者不仅对受害者的数据进行加密,而且还经常窃取这些数据。如果不支付赎金,被盗数据文件可能会在专门的泄密网站上公开,这可能会对受害者的声誉造成严重损害,并使他们更容易屈服于勒索者的要求。(2)如果谈判公司介入,密钥将被销毁一些勒索软件作者威胁说,如果他们寻求专业第三方的帮助代表他们进行谈判,他们将删除解密受害者数据所需的私钥。(3)发起DDoS攻击勒索软件攻击者经常威胁要用大量流量淹没受害者的网站,以试图将其关闭并恐吓目标公司更快地支付赎金。(4)导致打印机行为不当一些黑客能够控制打印机并直接在合作伙伴和客户面前打印勒索票据。这提供了对勒索攻击的高度可见性,因为人们很难忽视正在打印的勒索票据。(5)出于恶意目的使用Facebook广告众所周知,犯罪分子会使用广告来引起他们的注意。在一个例子中,勒索软件开发人员使用Facebook广告通过突出该组织的薄弱防御来羞辱他们的受害者。(6)引起客户不安勒索软件作者可能会向数据已被泄露的大公司客户发送威胁性电子邮件。这些电子邮件威胁要泄露收件人的数据,除非受影响的组织支付赎金。攻击者鼓励收件人向受影响的公司施压,要求他们迅速付款。不要试图自己处理情况尽管勒索软件是网络攻击领域的一种趋势,但黑客并不总能成功支付赎金。他们必须不断开发新方法来补充他们的勒索软件库。为了让黑客的生活尽可能艰难,最主要的是不要试图单打独斗。必须有健全的机制来打击勒索者。始终寻求他人的专业帮助,即使这意味着丢失部分或全部数据。有许多组织和资源可以提供专业的帮助和指导。一些可能的选择包括:网络安全专家:这些专业人员可以提供恢复数据方面的专业知识和帮助,以及有关如何防止未来攻击的建议。计算机应急响应小组:许多国家和地区都有被称为CERT的组织,协助响应网络事件(包括勒索软件攻击)并从中恢复。勒索软件恢复服务:专门帮助组织从勒索软件攻击中恢复的公司可以提供一系列服务,包括数据恢复、威胁评估和勒索软件谈判。执法:在许多情况下,让执法机构参与可能是合适的。他们可以帮助调查、帮助恢复数据、识别和起诉攻击者。仔细研究和评估您正在考虑的任何资源或服务至关重要。从多个来源寻求建议以找到最佳出路。通常不建议在谈判前与勒索软件攻击者谈判或支付赎金。这样做会鼓励进一步的勒索软件攻击。支付赎金不仅支持攻击者的犯罪活动,还会使您的组织面临再次成为攻击目标的风险。请记住,无法保证攻击者实际上会提供解密密钥-即使您确实支付了赎金。因此,在决定支付之前仔细权衡风险和潜在后果很重要。勒索软件攻击和支付通常是匿名的,使用加密的通信渠道和加密货币。黑客经常提供加密的聊天或电子邮件服务进行通信。尝试与你的对手谈判额外的渠道和沟通方式。尝试与攻击者建立一条涉及相互信任的通信线路(在这种情况下尽可能多)。如果您决定与攻击者协商并支付赎金,请务必记录所有通信,包括支付赎金的任何说明赎金。此信息可能对正在调查攻击的执法部门和网络安全专家有所帮助。要求攻击者演示解密密钥并通过解密一些随机文件来证明它确实有效。这有助于您确保与真正的攻击者打交道,而不是第三方。研究攻击者及其过去的行为。如果已知攻击者在过去收到付款后会协商或提供解密密钥,这可能有助于增加您对协商的信心,并且还可能使您能够协商较低的金额。与攻击者谈判的技巧如果您已用尽所有其他选择并决定支付赎金是恢复数据的唯一方法,这里有一些与黑客谈判的技巧:但重要的是不要让这影响您的决定。不要表现出任何绝望或紧迫的迹象。始终保持冷静和沉着。不要透露您是否有网络风险保险或网络责任保险(CLIC)。不要提前支付全额赎金。相反,请考虑先支付一小部分赎金,然后在提供解密密钥并成功解密所有数据后支付其余部分。考虑使用您已经拥有的不太常用或不易追踪的加密货币支付赎金。这使得攻击者更难将赎金转换为真钱,并可能使他们更愿意协商较低的金额。考虑主动披露攻击和赎金谈判,以对攻击者施加压力。这可能会使攻击者在未来勒索其他受害者变得更加困难,并可能使他们更愿意协商较低的赎金金额。如果攻击者已经同意协商赎金金额并降低价格,您可以尝试通过继续协商并提供较低的金额来推动进一步降低。但是,请记住,攻击者可能有他们愿意接受的最低金额,并且可能无法促使他们进一步降低价格。如果攻击者不愿妥协或他们提供的条款不可接受,请准备好退出谈判,即使这会导致您的数据丢失。如何防止勒索软件攻击将重点放在预防措施上总是好的,以避免首先成为勒索软件的受害者。以下是执行此操作的一些提示:实施稳健的网络安全政策,包括定期软件更新和使用安全软件。教育您的员工了解勒索软件的风险以及如何防范它,例如不要打开附件或单击来自不熟悉来源的链接。注意备份并实施灾难恢复计划,以确保您可以恢复加密数据。使用强而独特的密码并尽可能使用MFA。考虑购买网络安全保险,以保护您的公司免受勒索软件攻击造成的财务损失。
