为了不哭着给黑客交赎金，你应该知道这11个攻略

12月7日，对于吃瓜群众而言，可能是某个人的生日，或者就是个平常的日子。但对由中国人开设的富帝银行(列支敦士登)的大量客户而言，包括德国和其他地方的政治人物、演员和有钱人，这是一个交付赎金的最后通牒日期。

“要么给钱，要么撕票。”这是绑匪的常用语，不要问我怎么知道，电视剧都是这么演的。

但是，对于特殊的“银行劫匪”——黑客，尤其是使用“勒索软件”大招的黑客而言，下面这招有点狠——“要么给钱，要么我就把你们这些客户中偷税、漏税的信息告诉媒体和政府了。”更狠的是，“绑匪”要求中招的账户支付的金额是帐户余额的10%，当然还是老规矩，用比特币！

这意味着，越有钱，被宰得越狠。

虽然，目前并没有获得其中一些银行客户的反馈，不过可以肯定的是，肯定有人不声不响地就把赎金交了。

关于勒索软件，一旦中招，FBI 和国内的网络安全专家都曾说过：你只能乖乖认输，要么就去交钱，要么就不要这些数据或文件了。最惨的结果是，就算你交了钱，数据和钱都没了（有没有点绑匪的职业道德）。

遭遇勒索软件，除了交赎金，还能怎么办？

在探索这个终极目标前，先来聊点关于勒索软件你可能不知道的事儿。

勒索软件套路太深

轻轻的，我走了，正如我轻轻的来。

勒索软件也有这么“浪漫”。

勒索软件专门以用户文件为攻击目标，同时会避免破坏系统文件。你以为它这么好心是因为黑客还残存一丝善良？图样图森破。

赤裸裸的现实是，黑客这么做的原因，一方面是为了确保用户会收到相关的通知，以告知他们的文件所遭到的攻击，另一方面，用户也能够通过一定的方法支付赎金以取回他们的文件。

对文件进行加密后，此类恶意软件通常会自我删除，并留下某种形式的文档 —— 这个文档会指示受害者如何支付赎金，并重新获得对加密文件的访问权限。某些“变体”还会向受害者设定支付时限，并威胁如果在此时限之前未收到付款，则将删除密钥/解密工具，否则则会增加赎金的价格。

勒索软件怎么入侵你的电脑？此前，雷锋网的读者表示，就是一脸懵x地打开了电脑，就发现着了勒索木马的道，没有一丝丝防备，后来发现，是因为登陆了有挂马的仿冒网站。

除了打开挂马的网站会中招，还有哪些坑不要踩？雷锋网宅客频道向阿里云安全专家正禾打听到以下信息：勒索软件还可能通过漏洞攻击包、水坑式攻击、恶意广告，或者大规模的网络钓鱼活动找到你。

一旦发送成功，勒索软件一般通过某种嵌入式文件扩展名列表来识别用户文件和数据。勒索软件还会通过编程，避免影响某些系统目录（例如 Windows 系统目录或某些程序文件目录），以确保负载运行结束后，系统仍然保持稳定，以使客户能够支付赎金。

中招之后，大部分主流格式的文件都会被“袭击”。

回溯一下，方法好像都懂，但勒索软件如何做到没有一丝防备，悄无声息地潜进来？正禾揭秘，

一组熟练的、以获取赎金为目标的攻击者，一直在收集一家大型公司的相关信息，准备对其发动攻击。机会出现了，攻击者获得了对其网络的初始访问权限。攻击者现在需要升级其授权，并确定网络中的关键目标，他们需要取得对这些目标的控制，这样一来，受害者支付赎金的可能性就会增加。

如上图所示，攻击者正在尝试利用系统中的本地功能以在目标网络里逐步渗透，同时降低被发现的风险。在许多操作系统里，攻击者可以利用很多的远程访问工具，从而在系统间逐步渗透。使用本地工具进行逐步渗透，不会向磁盘引入任何内容，并且也不会被视为异常操作，这就降低了人们发现攻击者的可能性。

付，还是不付，这是一个问题

一旦勒索软件发动攻击，并攻击成功，损失几乎是无法阻挡的。

但是，到底要不要支付赎金，这是一个问题。

正禾告诉雷锋网，如果不支付赎金，那么恢复数据就需要很高的成本。安全和 IT 员工需要全天候进行工作，将系统恢复至运行状态，这个过程中需要支出设备、运营成本等。

如果数据恢复成本大于赎金成本，那么受害组织很有可能会付钱。 否则攻击者会“撕票”，然而这里面也可能会有支付完赎金被骗的情况发生。

看上去好像都很悲剧。

比较简便的方式是，正禾给了一个流程图，让你判断是否需要支付赎金。

当然，土豪可以毫不犹豫地“视金钱如粪土”，直接选择付款。

除了缴纳赎金，还能怎么办？

一个有意思的比喻是——

就像是打仗时，士兵攻城一样。勒索软件的攻击者，会最先攻陷那些没有坚实外壳的系统，完成初始访问。当第一步攻陷行动完成，如果“城墙”内没有安全策略，威胁就会逐渐渗透到内部，以入侵重要的资产或数据，这是攻击的第二步。如果受害者还不留神，“允许”了权限升级，攻击就会最终得逞，造成无法挽回的危害。

正禾认为，“纵深防御”或许可以把危机挡在门外，而不是引狼入室，让恶意软件对你或者企业造成实际损失。以下为正禾提出的具体建议：

1.备份，备份，再备份。重要的事情说三遍！

数据备份和恢复措施是发生被勒索事件挽回损失的重要工作，因此，将此关键措施放在第一位。面对攻击者的赎金勒索，需要清晰的了解并考虑以下点：

• 当系统遭到彻底破坏的时候，受害组织在多大程度上能够接受数据的丢失？

• 本地备份是否可用，或者异地备份的内容是否都被删除或以其他的方式导致不可用？

• 如果本地备份介质的内容被删除或不可使用，异地的备份是否可用？ 异地备份频率如何？每周一次？每半个每月一次？每月一次？

• 是否定期验证过备份内容的有效性？数据是否可以正常使用？

• 是否数据应急恢复流程或手册？

备份恢复是企业的最后一道防线，在最坏的情况下，它将是最后的堡垒，而企业需要建不定期地进行数据备份策略，以确保在最坏的情况有备份措施。

如果企业的业务在云上，可以使用不同方式的备份方法来解决数据备份问题，以确保在发生勒索事件后，尽可能的挽回损失。

2.不得不看云上的帐户

云上针对租户账号提供账号登录双因素验证机制 (MFA) 、密码安全策略、和审计功能，企业可以方便地在自己的云上界面中启用和关闭，以确保云服务账号的安全性。

针对组织内部多角色场景，企业需要使用 RAM 服务为不同角色合理分配账号并授权，以防止在运维管理活动中，出现意外操作而导致的安全风险。

3. 构建“第一道门”

企业可以采用如下两种方式，来阻止攻击进入系统的“第一道门”：

发现并修复业务系统存在的漏洞；

（编辑：常州站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!