近年來(lái)，越來(lái)越多計(jì)算機(jī)受到勒索病毒的威脅。但仍有許多朋友對(duì)勒索病毒認(rèn)識(shí)不夠清楚，沒(méi)有采取有效的防護(hù)手段。今天，金石軟件在此整理了一篇文章，幫您全面了解勒索病毒，科學(xué)防護(hù)，防患未然。

一、什么是勒索病毒？

      勒索病毒本質(zhì)上來(lái)說(shuō)，是黑客們不滿足于這種收益不穩(wěn)定且操作復(fù)雜的模式，轉(zhuǎn)為更直接的綁架-勒索。

　　另一方面，是虛擬貨幣的興盛，不可追查的交易方式為他們提供了逃避法律制裁的溫床。

　　舉個(gè)例子：

　　一般病毒=小偷

　　撬開(kāi)你的門(mén)鎖，進(jìn)家門(mén)偷東西，做一些破壞，或者借你的地方開(kāi)派對(duì)，把你的家弄得一團(tuán)糟。

　　勒索病毒=劫匪

　　不進(jìn)入你的門(mén)，也不撬鎖，對(duì)你的家完全不感興趣，直接拿著十把大鎖，卡卡卡把你所有的門(mén)窗關(guān)上，然后在家門(mén)口等你——想進(jìn)門(mén)，交錢(qián)吧。

二、為什么勒索病毒難以根治？

1、勒索病毒制作者多為尖端黑客其技術(shù)之高深，就連千億規(guī)模的大型公司被攻擊后也只能支付贖金。市面上專(zhuān)業(yè)的數(shù)據(jù)恢復(fù)服務(wù)廠商也很難保證您的數(shù)據(jù)完整。
2、難以追查。

　　第一款勒索病毒源于1987年，但當(dāng)時(shí)金錢(qián)存儲(chǔ)方式較傳統(tǒng)，錢(qián)匯至黑客賬戶后，被迅速溯源追查。所以勒索病毒一直到虛擬貨幣的興起后才變得猖獗。當(dāng)贖金通過(guò)比特幣、ETH等貨幣支付后，監(jiān)管機(jī)構(gòu)根本無(wú)法追溯源頭，給他們提供了逃脫法律制裁的機(jī)會(huì)。

三、勒索病毒攻擊案例

1、2020年4月

　　公司：EDP(Energias de Portugal)

　　行業(yè)：能源

　　地區(qū)：葡萄牙

　　贖金：1580 BTC(約為 1,090 萬(wàn)美元或 990 萬(wàn)歐元)

　　勒索病毒：Ragnar Locker

　　攻擊方式：

　　Ragnar Locker 勒索軟件操作者聲稱(chēng)竊取了超過(guò) 10TB 的公司敏感文件，并威脅 EDP 公司，除非支付贖金，否則將泄露所有被盜數(shù)據(jù)。據(jù)了解，這些機(jī)密信息包括合同、賬單、計(jì)費(fèi)程序、交易記錄、客戶信息、員工信息等。該公司尚未對(duì)此次事件作出回復(fù)。

2、2020年11月

　　公司：卡普空(Capcom)

　　行業(yè)：游戲公司

　　地區(qū)：日本

　　贖金：1100 萬(wàn)美元

　　勒索病毒：Ragnar Locker

　　攻擊方式：

　　勒索團(tuán)伙在勒索贖金信中指出，黑客竊取了 Capcom 存儲(chǔ)在日本、加拿大與美國(guó)之公司網(wǎng)絡(luò)上多達(dá) 1TB 的機(jī)密文件，Ragnar Locker 要求以比特幣的形式支付贖金，否則會(huì)將公司內(nèi)部機(jī)密資料外泄。

3、2020年12月

　　公司：富士康

　　行業(yè)：制造

　　地區(qū)：墨西哥

　　贖金：1804.0955 BTC(約3400萬(wàn)美元2.3億人民幣)

　　勒索病毒：DoppelPaymer

　　攻擊方式：

　　勒索團(tuán)伙對(duì)富士康在墨西哥的一家工廠進(jìn)行攻擊，加密了約 1200 臺(tái)服務(wù)器，竊取了 100GB 的未加密文件，并刪除了 20TB 至 30TB 的備份內(nèi)容。自攻擊以來(lái)，該區(qū)工廠官網(wǎng)癱瘓，給生產(chǎn)、運(yùn)作造成了極大影響。

4、2021年

　　2021年3月，美國(guó)最大的保險(xiǎn)公司之一CAN Financial遭到黑客組織Phoenix的勒索軟件攻擊，約15000臺(tái)設(shè)備被加密，不計(jì)其數(shù)的客戶資料受到泄漏的風(fēng)險(xiǎn)。CNA Financial在試圖恢復(fù)文件無(wú)果之后，開(kāi)始與攻擊者談判，黑客最初索要 6,000 萬(wàn)美元，談判后向黑客支付了 4,000 萬(wàn)美元，創(chuàng)下了歷史上最高的已支付贖金金額的記錄。

　　全球首次因勒索病毒而讓一個(gè)國(guó)家宣布進(jìn)入緊急狀態(tài)

　　2021年5月，美國(guó)最大的成品油管道運(yùn)輸商Colonial Pipeline遭到“Darkside”黑客組織的勒索病毒攻擊，美國(guó)東部沿海的燃油網(wǎng)絡(luò)陷入癱瘓。同月，美國(guó)東部17個(gè)州和首都所在的華盛頓特區(qū)進(jìn)入緊急狀態(tài)。

　　8月，全球IT咨詢巨頭埃森哲遭受來(lái)自LockBit團(tuán)伙的攻擊，LockBit勒索團(tuán)隊(duì)聲稱(chēng)竊取了超過(guò)6TB的數(shù)據(jù)，并勒索5000萬(wàn)美元(約3.2億人民幣)贖金。

　　近年來(lái)勒索病毒擴(kuò)散迅速，贖金也節(jié)節(jié)攀升，且以目前技術(shù)手段，想要根除或制裁黑客還遙遙無(wú)期。為了您數(shù)據(jù)健康和錢(qián)包安全，我們?yōu)槟婆e了幾種最簡(jiǎn)單，最廉價(jià)的防治方式。

四、應(yīng)對(duì)措施

1、升級(jí)數(shù)據(jù)庫(kù)版本

　　低版本數(shù)據(jù)庫(kù)存在著較多漏洞，更容易遭受到勒索病毒攻擊，就像獅子捕獵，總會(huì)挑選體弱年老的獵物下手一樣。

　　如您的數(shù)據(jù)庫(kù)版本為SQL2005/2008，請(qǐng)您及時(shí)升級(jí)到最新版本。如您對(duì)升級(jí)操作不熟悉，可以聯(lián)系金石軟件工程師，我們將為您提供免費(fèi)的升級(jí)服務(wù)。

2、選擇更復(fù)雜的密碼

　　許多朋友數(shù)據(jù)庫(kù)密碼較為簡(jiǎn)單，如：123456或888888，此類(lèi)密碼在面對(duì)勒索病毒攻擊時(shí)毫無(wú)還手之力。希望您及時(shí)更換密碼為字母、標(biāo)點(diǎn)+不規(guī)則數(shù)字密碼，如：Ca578.8j414，并定期進(jìn)行更換。

3、購(gòu)買(mǎi)快照服務(wù)

　　什么是快照?簡(jiǎn)單來(lái)說(shuō)，就是一種全自動(dòng)的數(shù)據(jù)存儲(chǔ)服務(wù)。

　　您購(gòu)買(mǎi)此服務(wù)后，您的服務(wù)商(阿里巴巴或騰訊等)會(huì)每隔一段時(shí)間自動(dòng)將您的數(shù)據(jù)存儲(chǔ)一份，遇到攻擊后，將存儲(chǔ)數(shù)據(jù)恢復(fù)即可。

　　至于存儲(chǔ)的時(shí)間是每小時(shí)一次還是每天一次，或者每10分鐘一次，是要看您購(gòu)買(mǎi)的快照等級(jí)。

　　一般來(lái)說(shuō)，一天一次快照對(duì)大多數(shù)企業(yè)而言都?jí)蛴昧?，損失些許數(shù)據(jù)也不會(huì)耽誤太長(zhǎng)時(shí)間。而且價(jià)格每天只需1元左右，非常實(shí)惠。

4、實(shí)時(shí)自行備份

　　顧名思義，自行備份需要您的手工操作，每日將數(shù)據(jù)導(dǎo)出，保存到安全的存儲(chǔ)設(shè)備上。在服務(wù)器遇到攻擊時(shí)，可以選擇先將所有數(shù)據(jù)清空，再將存儲(chǔ)設(shè)備上的數(shù)據(jù)恢復(fù)即可。

五、注意事項(xiàng)

1 發(fā)現(xiàn)異常第一時(shí)間斷網(wǎng)

　　如果您發(fā)現(xiàn)系統(tǒng)出現(xiàn)異常，第一時(shí)間斷掉網(wǎng)絡(luò)，并聯(lián)系金石工程師協(xié)助您處理。

2 未清理干凈病毒不要插入存儲(chǔ)設(shè)備

　　部分朋友發(fā)現(xiàn)中病毒后會(huì)非?；艔垼噲D自行恢復(fù)，但這是一種非常危險(xiǎn)的行為。病毒會(huì)通過(guò)您插入的數(shù)據(jù)存儲(chǔ)設(shè)備進(jìn)行快速傳播，所以在確定病毒已清空前，不要進(jìn)行任何插入數(shù)據(jù)存儲(chǔ)設(shè)備的操作。