北京2020年7月10日 /美通社/ -- 勒索軟件近年來一直是黑客組織牟取暴利的絕佳手段�����,也是發(fā)展最快的網絡安全威脅之一��。之前Wannacry�、NotPeya全球肆掠、攻城掠地的景象��,尚未完全消除。如今勒索軟件攻擊目標多元化�����、攻擊手段復雜化�、解密數據難度大、危害影響難估量等���,被稱為安全業(yè)界最頭疼的軟件��,也成為政府�、企業(yè)�����、個人最為關注的安全風險之一���,它幾乎成為與APT齊名的攻擊類型。破財消災���,幾乎成了多數被勒索者不得已而為之的選擇����。根據COVEWARE公司的報告,2020年一季度���,企業(yè)平均贖金支付增加至111,605美元�,比2019年第四季度增長了33%���。目前勒索軟件主要的攻擊傳播方式仍然以RDP(遠程桌面服務)和釣魚郵件為主���。因為其變現方式更為粗暴直接,正被越來越多的網絡“灰黑”產采用��。品嘗過“勒索”帶來的巨大且輕而易舉的利益后�����,勒索軟件的演變與發(fā)展更加迅猛異常�。
天地和興總結梳理的上半年工業(yè)企業(yè)10起典型攻擊事件中,有7起是勒索攻擊�����。2月�,勒索攻擊殃及美國天然氣管道公司,CISA未透露勒索軟件名稱�。勒索軟件Nefilim攻擊澳大利亞Toll集團;3月,勒索軟件Ryuk攻擊鋼鐵制造商EVRAZ公司及其北美分支機構���,包括加拿大和美國的鋼鐵生產廠��;4月���,Ragnar Locker勒索軟件襲擊了葡萄牙跨國能源公司EDP(Energias de Portugal),并且索要1580個比特幣贖金(折合約1090萬美元/990萬歐元)�����;5月����,勒索軟件Nefilim襲擊了臺灣石油、汽油和天然氣公司CPC公司及其競爭對手臺塑石化公司(FPCC)���。另有未透露名稱的勒索軟件攻擊了瑞士鐵路機車制造商Stadler����;6月���,勒索軟件EKANS/Snake攻擊了本田汽車制造商。
天地和興工業(yè)網絡安全研究院對所監(jiān)測到的眾多勒索軟件攻擊事件進行梳理,注意到勒索攻擊的目標正向石油����、天燃氣、能源����、制造等關鍵基礎設施行業(yè)發(fā)展。本文篩選10個典型的����、比較活躍的勒索軟件,通過簡要分析其攻擊的目標����、路徑、手段及主要特征��,以此警示關鍵信息基礎設施利益相關方��,警鐘常鳴�����,防患未然���。
典型勒索軟件
1���、勒索軟件Maze
Maze勒索軟件是ChaCha的一個變種���,最早出現于2019年5月。最初���,Maze是使用如Fallout EK和Spelevo EK之類的漏洞利用工具包通過網站進行傳播�,該工具包利用Flash Player漏洞���。后續(xù)Maze勒索軟件增加了利用Windows VBScript Engine遠程代碼執(zhí)行漏洞等能力���。
Maze(迷宮)通過大量混淆代碼來對抗靜態(tài)分析,使用ChaCha20和RSA兩種算法加密文件���,被加密的文檔在未得到密鑰時暫無法解密��。加密完成后對文件添加隨機擴展后綴�,并留下名為DECRYPT-FILES.html的勒索說明文檔�,并修改桌面壁紙���。值得一提的是��,該病毒聲稱���,解密贖金額度取決于被感染電腦的重要程度�����,包括個人電腦���、辦公電腦、服務器��,這意味著高價值目標受攻擊后解密付出的代價也會相應的更高����。
2、勒索軟件Ryuk
Ryuk勒索病毒最早于2018年8月被首次發(fā)現����,它是由俄羅斯黑客團伙GrimSpider幕后操作運營。GrimSpider是一個網絡犯罪集團��,使用Ryuk勒索軟件對大型企業(yè)及組織進行針對性攻擊�����。Ryuk勒索軟件主要是通過網絡攻擊手段利用其他惡意軟件如Emotet或TrickBot等銀行木馬進行傳播,因為TrickBot銀行木馬傳播渠道的運營者是俄羅斯黑客團伙WIZARD SPIDER���,GRIM SPIDER是俄羅斯黑客團伙WIZARD SPIDER的部門之一����。Emotet和TrickBot銀行木馬主要用于盜取受害者銀行網站登錄憑據�,同時充當下載器功能,提供下載其它勒索病毒服務��。這款勒索病在國外比較流行���,主要針對一些大型企業(yè)進行定向攻擊勒索����。Ryuk特別狡詐的一個功能是可以禁用被感染電腦上的Windows系統(tǒng)還原Windows System Restore選項�����,令受害者更難以在不支付贖金的情況下找回被加密的數據���。鑒于攻擊者針對的是高價值受害者����,贖金目標也轉為大型企業(yè)�。
安全分析師認為,Ryuk源代碼很大程度上出自朝鮮Lazarus黑客團伙的Hermes惡意軟件���。但這并不表明Ryuk攻擊本身是朝鮮發(fā)起的��,邁克菲認為其代碼基礎由俄語區(qū)供應商提供���,因為該勒索軟件不會在系統(tǒng)語言設置為俄語、白俄羅斯語和烏克蘭語的計算機上執(zhí)行�。
3、勒索軟件Sodinokibi/ REvil
Sodinokibi勒索病毒(也稱REvil)��,2019年5月24日首次在意大利被發(fā)現��。在意大利被發(fā)現使用RDP攻擊的方式進行傳播感染��,這款病毒被稱為GandCrab勒索病毒的接班人����,在短短幾個月的時間內,已經在全球大范圍傳播���,這款勒索病毒與GandCrab勒索軟件存在很多關聯�,Sodinokibi勒索病毒是一種勒索即服務(RAAS)的模式進行分發(fā)和營銷的,并采用了一些免殺技術避免安全軟件檢測�����。主要通過Oracle WebLogic漏洞����、Flash UAF漏洞、網絡釣魚郵件���、RDP端口�、漏洞利用工具包以及攻擊一些托管服務提供商MSP等方式發(fā)起攻擊�,這款勒索病毒最新的版本為2.2,增加了自啟動注冊表項等����,同時還發(fā)現一批最新的采用PowerShell腳本進行無文件攻擊的變種樣本。
該勒索軟件最特別的一點就是���,不僅告訴人們“不付贖金就拿不回數據”����,還會威脅稱“將在網上公開或在地下論壇競拍這些機密數據”。這種新的勒索方式將此商業(yè)模式推升到了新的高度�����。高針對性����、強定制化的勒索軟件新時代似乎正走向危險新深淵�����。
4����、勒索軟件DoppelPaymer
DoppelPaymer代表了勒索軟件攻擊的新趨勢—勒索文件加密和數據竊取雙管齊下。根據安全研究人員的說法���,此類惡意軟件首先會竊取數據�,然后向受害者發(fā)送贖金勒索消息��,而不是像傳統(tǒng)勒索軟件一樣就地加密鎖死數據��。2019年中期以來一直活躍,今年3月美國精密零件制造商Visser遭此勒索軟件攻擊���,意外泄漏特斯拉���、波音、SpaceX等公司有關的敏感文件�。DoppelPaymer 勒索軟件最早于2019年6月被發(fā)現,主要通過RDP暴力破解和垃圾郵件進行傳播�����,郵件附件中帶有一個自解壓文件�,運行后釋放勒索軟件程序并執(zhí)行。公開資料顯示���,DoppelPaymer是BitPaymer 勒索軟件的一類新變種�����。DoppelPaymer至少有8種變體�,它們逐漸擴展各自的特征集����。
自解壓文件運行后在%Users%目錄下創(chuàng)建gratemin文件夾�����,釋放名為p1q135no. exe的勒索軟件程序并執(zhí)行�,加密文件后�����,在原文件名后追加名為“.locked”的后綴�����,并在每個被加密文件的目錄中創(chuàng)建名為原文件名后追加“.readme2unlock.txt”格式的勒索信����,勒索信中包含勒索說明�、TOR下載地址、支付地址�、DATA 數據信息和郵箱聯系方式等。DoppelPaymer勒索軟件變種使用“RSA+AES”算法加密文件�����,利用多線程快速加密文件���,使用命令ARP–A以解析受害系統(tǒng)的地址解析協議(ARP)表�,具體操作為刪除卷影副本、禁用修復��、刪除本地計算機的備份目錄等�����。目前被加密的文件在未得到密鑰前暫時無法解密����。
5、勒索軟件NetWalker
NetWalker(又名Mailto)勒索軟件最早于2019年8月首次發(fā)現�,Mailto是基于加密文件名格式的勒索軟件的名稱,Netwalker是基于勒索軟件的勒索信內容給出的名稱��,目前針對的目標是企業(yè)和政府機構����,近期開始活躍。Netwalker活動背后的攻擊者使用常見的實用程序����、開發(fā)后工具包和living-off-The-land,LOTL策略來探索一個受到破壞的環(huán)境�,并盡可能多地獲取數據�����。這些工具可以包括mimikatz(及其變體)����、各種PSTools���、AnyDesk����、TeamViewer�����、NLBrute等�����。勒索軟件利用PowerShell編寫���,直接在內存中執(zhí)行,沒有將實際的勒索軟件二進制文件存儲到磁盤中��。惡意軟件利用了反射動態(tài)鏈接庫(DLL)注入的技術,也稱reflective DLL加載����,可以從內存注入DLL,不需要實際DLL文件�,也不需要任何Windows加載程序即可注入。這讓此勒索病毒成為了無檔案病毒(fileless malware)��,能夠保持持續(xù)性����,并利用系統(tǒng)內的工具來進行攻擊而不被偵測到和殺軟查殺。
在加密完成后����,進程退出前最后會彈出勒索信,勒索提示信息文件[加密后綴]-Readme.txt��,加密后的文件后綴名為隨機字符串����。
6、勒索軟件CLOP
Clop勒索軟件于2019年2月出現在公眾視野中����,Clop背后團隊的主要目標是加密企業(yè)的文件�����,收到贖金后再發(fā)送解密器���。目前Clop仍處于快速發(fā)展階段。該惡意軟件暫無有效的解密工具��,致受害企業(yè)大量數據被加密而損失嚴重�����。
與其他勒索病毒不同的是�����,Clop勒索軟件部分情況下攜帶了有效的數字簽名����,數字簽名濫用和冒用在以往情況下多數發(fā)生在流氓軟件和竊密類木馬程序中。勒索軟件攜帶有效簽名的情況極為少見��,這意味著該軟件在部分攔截場景下更容易獲取到安全軟件的信任�,進而感染成功���,造成無法逆轉的損失���。
Clop勒索軟件通過多種途徑感染受害者的計算機設備�。主感染文件會利用隨機腳本提取惡意可執(zhí)行文件����,惡意Java腳本被設置為通過誘使受害者訪問或被重定向至惡意站點將惡意可執(zhí)行文件下載并安裝至受害者計算機上。另一種分發(fā)傳播Clop勒索軟件的途徑是利用插入到文檔中的惡意宏代碼�。這些文檔常以垃圾郵件附件的形式發(fā)送給受害者。
此惡意軟件旨在通過附加“.Clop ”擴展名來加密受害計算機上的數據并重命名每個文件�����。例如����,“sample.jpg”被重命名為“sample.jpg.Clop”。成功加密后���,Clop會生成一個文本文件“ClopReadMe.txt”并在每個現有文件夾中放置一個副本����,文本文件包含贖金通知消息。
7�����、勒索軟件EKANS
EKANS勒索軟件(也稱Snake)����,于2020年1月首次被發(fā)現,是一種新的勒索軟件��,專門針對工業(yè)控制系統(tǒng)���。EKANS代碼中包含一系列特定用于工業(yè)控制系統(tǒng)功能相關的命令與過程�,可導致與工業(yè)控制操作相關的諸多流程應用程序停滯�。EKANS勒索軟件是用Golang編寫的,將整個網絡作為目標���,并且存在大量混淆�����。其中�����,包含了一種常規(guī)混淆���,這種混淆在以前并不常見,通常是與目標方法結合使用���。
EKANS在執(zhí)行時會刪除計算機的卷影副本��,還會停止與SCADA系統(tǒng)����、虛擬機��、工業(yè)控制系統(tǒng)��、遠程管理工具�����、網絡管理軟件等相關的眾多進程���。然后���,EKANS還會加密系統(tǒng)上的文件,從而跳過Windows系統(tǒng)文件和文件夾。在文件擴展名后面還會附加一個勒索5字符字符串(即名為invoice.doc的文件被加密并重命名為invoice.docIksrt)�。該惡意軟件在每個加密文件后附加了“EKANS”文件標記。加密過程完成后����,勒索軟件將在C:\Users\Public\Desktop文件夾中創(chuàng)建一個勒索記錄(名為“Fix Your Files.txt”),其中包含要聯系以接收付款指示的電子郵件地址����。EKANS目前的主要感染媒介似乎是釣魚附件。
8�����、勒索軟件Nefilim
Nefilim出現于2020年3月��,可能是通過公開的RDP(遠程桌面服務)進行分發(fā)��。Nefilim與Nemty共享許多相同的代碼�,主要的不同之處在于,Nefilim移除了勒索軟件即服務(RaaS)的組件�����,依靠電子郵件進行支付����,而不是Tor支付網站����。Nefilim使用AES-128加密文件�����,每個加密的文件都將附加.NEFILIM擴展名����,加密完成后�����,調用cmd命令進行自我刪除����。釋放的勒索信中包含不同的聯系電子郵件,并且威脅如果在7天內未支付贖金�����,將會泄漏數據�。
從技術上講����,Nefilim目前主要的傳播方法是利用易受攻擊的RDP服務�。一旦攻擊者通過RDP進入了網絡,他們就會繼續(xù)建立持久化��,在可能的情況下查找和竊取其他憑證�����,然后將勒索軟件的payload傳播給潛在目標���。
9����、勒索軟件Ragnar Locker
RagnarLocker勒索軟件在2019年12月底首次出現��,是一種新的勒索軟件��,將惡意軟件部署為虛擬機(VM)��,以逃避傳統(tǒng)防御�����。勒索軟件的代碼較小,在刪除其自定義加殼程序后僅有48KB��,并且使用高級編程語言(C/C++)進行編碼�����。
RagnarLocke是使用GPO任務執(zhí)行Microsoft Installer(msiexec.exe)�,傳遞參數從遠程Web服務器下載并以靜默方式安裝制作的122 MB未經簽名的MSI軟件包。MSI軟件包包含一個Oracle VirtualBox虛擬機管理程序和一個名為micro.vdi的虛擬磁盤映像文件(VDI)�����,該文件是Windows XP SP3操作系統(tǒng)的精簡版本映像�����。由于vrun.exe勒索軟件應用程序在虛擬客戶機內部運行����,因此其過程和行為可以不受阻礙地運行���,物理主機上的安全軟件是無能為力的�。
RagnarLocker在選擇受害者時是很有選擇性的���。目標往往是公司��,而不是個人用戶�����。該惡意軟件的目標是對可以加密的所有文件進行加密����,并提出勒索,要求用戶支付贖金以進行解密����。
10、勒索軟件PonyFinal
一種新型的人工勒索軟件“PonyFinal”����,通過手動啟動有效載荷來部署攻擊。它對目標公司的系統(tǒng)管理服務器使用“暴力手段”����,無需依靠誘騙用戶通過網絡釣魚鏈接或電子郵件來啟動有效負載。主要針對在COVID-19危機中的醫(yī)療衛(wèi)生機構����。
PonyFinal的入侵點通常是公司系統(tǒng)管理服務器上的一個賬戶�����,PonyFinal的黑客們使用猜測弱密碼的暴力攻擊來攻擊該帳戶�����。一旦黑客進入內部系統(tǒng)后�����,他們會部署Visual Basic腳本��,該腳本會運行PowerShell反向外殼程序以轉儲和竊取本地數據。
此外��,PonyFinal勒索軟件還會部署遠程操縱器系統(tǒng)以繞過事件日志記錄���。一旦PonyFinal的黑客們牢牢地掌握了目標網絡���,他們便會傳播到其他本地系統(tǒng)并部署實際的PonyFinal勒索軟件。PonyFinal是用Java語言編寫的��,攻擊者還會將目標鎖定在安裝了Java Runtime Environment(JRE)的工作站上����。攻擊者使用從系統(tǒng)管理服務器竊取的信息來鎖定已安裝JRE的端點���。勒索軟件是通過包含兩個批處理文件的MSI文件交付的,其中包括將由攻擊者激活的有效負載�����。通常會在每個加密文件的末尾會被添加一個“.enc”文件擴展名�。而贖金記錄通常名為README_files.txt,會包含贖金付款說明的簡單文本文件����。
2020上半年典型勒索軟件一覽表 |
序號 |
勒索軟件 名稱 |
首次發(fā)現 時間 |
所屬家族 |
編寫語言 |
攻擊方式 |
攻擊目標 |
幕后運營者 |
攻擊事件 |
備注 |
1 |
|
2019年5月29日 |
ChaCha |
極其復雜的代碼,反逆向 |
利用漏洞��、網絡釣魚�����、RDP |
技術提供商和公共服務(政府機構��、教育���、衛(wèi)生) |
屬于俄羅斯聯邦的所有C2域 |
4月1日�,石油公司 Berkine 遭受勒索攻擊 |
數據泄露 |
2 |
Ryuk |
2018年8月 |
Hermes |
未知 |
通過垃圾郵件傳播Emotet銀行木馬 |
大型工控企業(yè)、組織��、機構等 |
俄羅斯黑客團伙GrimSpider |
3月鋼鐵制造商EVRAZ遭受勒索攻擊 |
導致大多數工廠都已停止生產 |
3 |
Sodinokibi/REvil |
2019年5月24日 |
GandCrab |
未知 |
通過 RDP爆破進行傳播���、社會工程 |
MSP和其他組織(例如地方政府) |
未知 |
巴西電力公司Light S.A.遭受勒索攻擊 |
Salsa20流密碼加密�;索要1400萬美元贖金 |
4 |
DoppelPaymer |
2019 年 6 月 |
BitPaymer |
未知 |
RDP��、惡意附件��、漏洞利用等 |
大型企業(yè)�����、組織 |
朝鮮 |
3月美國精密零件制造商Visser遭此勒索攻擊 |
數據泄露 |
5 |
NetWalker |
2019年8月 |
NEMTY |
PowerShell |
無文件勒索軟件 |
醫(yī)療和教育機構 |
未知 |
6月��,美國醫(yī)療系統(tǒng)Crozer-Keystone最近遭受勒索攻擊 |
因未支付比特幣贖金��,其數據在暗網上被拍賣 |
6 |
CLOP |
2019年2月 |
CryptoMix |
未知 |
以垃圾郵件附件的形式 |
大型企業(yè) |
未知 |
3月美國生物制藥公司ExecuPharm遭受勒索攻擊 |
數據泄露 |
7 |
EKANS/SNAKE |
2020年1月 |
未知 |
Golang |
利用釣魚附件 |
針對工業(yè)控制系統(tǒng)環(huán)境 |
未知 |
6月本田汽車Honda遭受勒索攻擊 |
造成部分工廠停工��,損失十分嚴重 |
8 |
Nefilim |
2020年3月 |
未知 |
未知 |
利用RDP服務 |
企業(yè)��、組織等 |
未知 |
5月臺灣石油��、汽油和天然氣公司CPC公司及其競爭對手臺塑石化公司(FPCC)遭受勒索攻擊 |
導致服務中斷�����,其IT和計算機系統(tǒng)關閉 |
9 |
RagnarLocker |
2019年12月 |
未知 |
C/C++ |
惡意軟件部署為虛擬機(VM) |
針對托管服務提供商的常用軟件 |
未知 |
4月葡萄牙跨國能源公司EDP遭受攻擊 |
索要1580的比特幣贖金(折合約1090萬美元) |
10 |
PonyFinal |
2020年4月 |
未知 |
Java |
人為操縱�,使用暴力攻擊 |
醫(yī)療衛(wèi)生、教育 |
未知 |
4月美國最大ATM 供應商 Diebold Nixdorf遭受勒索攻擊 |
未支付贖金 |
思考及建議
2020年����,熱度飆升的勒索軟件已經成為與APT并列的最危險的網絡安全威脅。針對性���、復雜化和高傷害成本是2020年勒索軟件加速“進化”的三大特征�����。勒索軟件不僅數量增幅快���,而且危害日益嚴重,特別是針對關鍵基礎設施和重要信息系統(tǒng)的勒索攻擊���,影響更為廣泛���。被勒索機構既有巨額經濟損失,又有數據無法恢復甚至被惡意泄露的風險,雙重勒索的陰影揮之不去���。勒索攻擊的危害遠不止贖金造成的經濟損失��,更嚴重的是會給企業(yè)和組織機構帶來額外的復雜性�����,造成數據損毀或遺失�����、生產力破壞�、正常業(yè)務中斷�����、企業(yè)聲譽損害等多方面的損失����。比如3月初,美國精密零件制造商Visser Precision遭受勒索軟件DoppelPayment攻擊���,攻擊者入侵了Visser的電腦對其文件進行加密,并要求Visser在3月底支付贖金,否則將把機密文件內容公開到網絡上���。由于沒有收到勒索款項�,DoppelPaymer在網上公開了關于SpaceX����、Lockheed-Martin、特斯拉���、波音等公司的機密信息���,被泄露的資訊包括Lockheed-Martin設計的軍事裝備的細節(jié),比如反迫擊炮防御系統(tǒng)中的天線規(guī)格��、賬單和付款表格����、供應商資訊、數據分析報告以及法律文書等��。此外����,Visser與特斯拉 SpaceX之間的保密協議也在泄露文件中�。
毫無疑問���,勒索軟件攻擊在今后很長一段時間內仍然是政府�、企業(yè)�、個人共同面對的主要安全威脅。勒索軟件的攻擊方式隨著新技術的應用發(fā)展不斷變化���,有針對性的勒索軟件事件給不同行業(yè)和地區(qū)的企業(yè)帶來了破壞性攻擊威脅���,勒索攻擊產業(yè)化、場景多樣化��、平臺多元化的特征會更加突出����。在工業(yè)企業(yè)場景中,勒索軟件慣用的攻擊向量主要是弱口令��、被盜憑據��、RDP服務��、USB設備�、釣魚郵件等����,有效防范勒索軟件攻擊��,仍需要針對性做好基礎防御工作���,構建和擴張深度防御,從而保障企業(yè)數據安全����,促進業(yè)務良性發(fā)展。
1���、強化端點防護
及時加固終端����、服務器�,所有服務器、終端應強行實施復雜口令策略�,杜絕弱口令;安裝殺毒軟件���、終端安全管理軟件并及時更新病毒庫��;及時安裝漏洞補?���。环掌鏖_啟關鍵日志收集功能����,為安全事件的追溯提供基礎。
2�����、關閉不需要的端口和服務
嚴格控制端口管理���,盡量關閉不必要的文件共享權限以及關閉不必要的端口(RDP服務的3389端口)���,同時使用適用的防惡意代碼軟件進行安全防護。
3��、采用多因素認證
利用被盜的員工憑據來進入網絡并分發(fā)勒索軟件是一種常見的攻擊方式���。這些憑據通常是通過網絡釣魚收集的����,或者是從過去的入侵活動中獲取的。為了減少攻擊的可能性�����,務必在所有技術解決方案中采用多因素身份驗證(MFA)��。
4���、全面強化資產細粒度訪問
增強資產可見性,細化資產訪問控制���。員工���、合作伙伴和客戶均遵循身份和訪問管理為中心。合理劃分安全域���,采取必要的微隔離����。落實好最小權限原則���。
5�、深入掌控威脅態(tài)勢
持續(xù)加強威脅監(jiān)測和檢測能力,依托資產可見能力�、威脅情報共享和態(tài)勢感知能力,形成有效的威脅早發(fā)現��、早隔離����、早處置的機制。
6����、制定業(yè)務連續(xù)性計劃
強化業(yè)務數據備份,對業(yè)務系統(tǒng)及數據進行及時備份���,并驗證備份系統(tǒng)及備份數據的可用性�����;建立安全災備預案���。同時,做好備份系統(tǒng)與主系統(tǒng)的安全隔離��,避免主系統(tǒng)和備份系統(tǒng)同時被攻擊,影響業(yè)務連續(xù)性����。業(yè)務連續(xù)性和災難恢復(BCDR)解決方案應成為在發(fā)生攻擊時維持運營的策略的一部分。
7��、加強安全意識培訓和教育
員工安全意識淡漠���,是一個重要問題��。必須經常提供網絡安全培訓,以確保員工可以發(fā)現并避免潛在的網絡釣魚電子郵件��,這是勒索軟件的主要入口之一�����。將該培訓與網絡釣魚演練結合使用���,以掌握員工的脆弱點��。確定最脆弱的員工��,并為他們提供更多的支持或安全措施��,以降低風險�。
8、定期檢查
每三到六個月對網絡衛(wèi)生習慣����、威脅狀況、業(yè)務連續(xù)性計劃以及關鍵資產訪問日志進行一次審核�。通過這些措施不斷改善安全計劃。及時了解風險����,主動防御勒索軟件攻擊并減輕其影響。
此外���,無論是企業(yè)還是個人受害者���,都不建議支付贖金。支付贖金不僅變相鼓勵了勒索攻擊行為�,而且解密的過程還可能會帶來新的安全風險。
