勒索软件这几年就像悬在企业头顶的一把剑,不知道什么时候会落下来。我接触过的勒索软件事件越来越多,受害企业从几十人的小公司到上千人的大集团都有。没有哪家企业可以拍着胸脯说自己不会中的。所以今天我想认认真真聊聊勒索软件的防范和应急,希望能帮你少走一些弯路。

先说说勒索软件是怎么进来的。很多人以为勒索软件是黑客费尽心思攻进来的,其实大部分情况没这么复杂。从我的经验来看,勒索软件进入企业较为常见的路径有三条。第一条是钓鱼邮件。员工收到一封看起来正常的邮件,打开附件或者点击链接,勒索软件就悄悄下载并运行了。第二条是远程桌面端口暴露在外网。很多企业为了方便远程运维,把Windows的RDP端口直接对着互联网开,而且用的是弱密码。黑客用扫描工具就能找到这些入口,暴力破解进去之后手动投毒。第三条是软件供应链攻击,通过不安全的补丁更新或者盗版软件的破解程序植入勒索软件。特别是那些习惯用破解软件的公司,中招概率明显偏高。

怎么有效防范勒索软件呢?总结下来有几件事是必须做好的。

做好备份是防范勒索软件的核心。这句话我几乎每次都要强调,因为备份是你被勒索之后可以不用付赎金的基础。备份策略要遵循三二一原则:至少三份副本,两种不同的存储介质,至少一份异地存放。具体来说,就是生产数据一份、本地备份一份、异地或者云端备份一份。备份不能只做一次,要定期做。备份存储不能跟生产网络在同一网段,防止勒索软件横向移动时一起加密。备份数据要定期做恢复测试,确保备份不是废的。我见过一家企业说做了备份,结果被勒索之后想恢复,发现备份早就写坏了,根本恢复不了。定期验证备份的可用性跟做备份本身一样重要。

保持系统和软件的更新也非常重要。很多勒索软件利用的是早已公开并发布了补丁的系统漏洞。如果你不及时打补丁,就等于放着开着的窗户等着小偷进来。建议开启自动更新功能,特别是操作系统、浏览器、办公软件这些日常使用的软件。对于暂时不能升级的老旧系统,至少要在前端加一层防护,比如用防火墙限制对老旧系统的访问或者用虚拟补丁技术做临时防护。

加强邮件安全可以堵住一大半的攻击入口。部署邮件安全网关,对收到的每一封邮件做恶意附件和恶意链接检测。开启高级威胁防护功能,在沙箱环境中运行可疑附件进行分析。配置SPF、DKIM、DMARC邮件认证协议,减少伪造域名邮件的成功率。同时要培养员工的防钓鱼意识,定期做模拟钓鱼测试,让员工学会识别可疑邮件。

权限管控要做到较小化原则。很多勒索软件在感染一台机器后,会利用本地管理员权限在整个网络里横向移动。如果企业没有做好权限管控,勒索软件就可以从一台电脑感染到整个公司。建议给普通用户分配标准用户权限,不要给管理员权限。对一些高危操作比如安装软件、修改系统配置、运行脚本,需要额外的审批和授权。使用应用白名单技术,只允许经过批准的程序运行。

再说说万一真的中了勒索软件,应该怎么应急处理。第一步,发现中了勒索软件后要马上断开受感染设备的有线和无线网络连接。如果勒索软件还在加密其他共享文件,你多拖延一分钟就多损失一分钟。不需要关机,关机可能会让内存中的加密密钥消失,给后续的数据恢复带来麻烦。拔掉网线或者禁用网卡就可以。第二步,立即通知IT安全负责人,启动应急响应流程。如果公司有安全事件响应预案,按预案执行。如果没有,尽快召集相关人员开会评估影响。

第三步,不要立刻支付赎金。支付赎金有两个风险,一是即使付了款,攻击者也不一定给你解密密钥。二是你成了攻击者眼中的优质客户,下次可能被更频繁地攻击。先跟专业的安全团队联系,看看有没有解密工具或者替代恢复方案。有些特定版本的勒索软件已经被安全研究者破解了,有免费的解密工具可用。第四步,对受感染设备做取证分析,搞清楚勒索软件是怎么进来的、影响了哪些系统、有没有窃取数据。这一步对后续的防线加固非常重要。

第五步,从备份中恢复数据。确认入侵路径已经阻断之后,用未被感染的备份数据恢复业务。恢复之前要确保备份数据本身没有被勒索软件加密。恢复过程中逐步接入网络,不要把所有系统一次性全接回去,留出观察窗口,确保勒索软件已经彻底清除。

最后想说,勒索软件攻击不是能不能防住的问题,而是什么时候遇到的问题。把所有精力都放在防上而不准备应对方案,风险很大。提前做好备份、做好预案、定期演练,才能在勒索软件事件中从容应对,把损失降到可控范围。

Q: 中了勒索软件后该不该支付赎金? A: 不建议支付。支付赎金没有保障,攻击者可能拿到钱后不给解密密钥,或者再次发起攻击。应该优先考虑从备份中恢复数据,或者寻找免费的解密工具。如果迫不得已确实需要支付,先咨询专业安全机构的意见。

Q: 勒索软件备份恢复要多久? A: 取决于环境复杂度和备份策略的完善程度。有完善备份和恢复预案的企业,一般几小时就能恢复到正常状态。没有完整备份的企业,可能需要几天甚至几周才能恢复部分业务。

Q: 怎么判断备份有没有被勒索软件加密? A: 备份数据不要跟生产网络共用同一个网络和存储区域。定期做备份数据的可用性检查和恢复测试,确保在需要的时候能正常恢复。