被勒索软件攻击后该不该支付赎金？

勒索软件

勒索软件（ransomware）是一种流行的木马，通过骚扰、恐吓甚至采用绑架用户文件等方式，使用户数据资产或计算资源无法正常使用，并以此为条件向用户勒索钱财。这类用户数据资产包括文档、邮件、数据库、源代码、图片、压缩文件等多种文件。赎金形式包括真实货币、比特币或其它虚拟货币。

一般来说，勒索软件攻击者还会设定一个支付时限，有时赎金数目也会随着时间的推移而上涨。有时，即使用户支付了赎金，最终也还是无法正常使用系统，无法还原被加密的文件。

在一项调查中显示，被勒索软件攻击后，支付赎金的组织中有80%表示他们受到了第二次攻击。

勒索软件呈上升趋势，但它对现实世界有何影响？

Threatpost 进行了一项针对被勒索软件攻击的企业的独家民意调查研究，包括研究缓解措施和组织已采取的防御措施。以Cybereason和 Group Salus的补充报告为背景，可以很好地了解与勒索软件相关态度和安全实践的趋势是如何转变的。

随着勒索软件攻击的数量和复杂性不断增加，随着美国主要燃油、燃气管道运营商Colonial Pipeline受到黑客攻击，被迫关闭全部管道运营系统这种事件的发生，组织越来越意识到这类风险，但如何解决勒索软件的策略却各执己见。比如，美国主要燃油、燃气管道运营商Colonial Pipeline遭受勒索攻击后，美国联邦政府交通部联邦汽车运输安全管理局宣布美国17个州和华盛顿特区进入紧急状态，以应对勒索软件的攻击。最终Colonial Pipeline向黑客支付了近500万美元的赎金。

在 Threatpost 调查的所有 120 名受访者中，只有不到三分之一表示他们曾是勒索软件的受害者。就受害者而言，受破坏最严重的行业是科技和制造业（分别占受访者的 17% 和 15%）。其次均匀分布在金融、医疗保健和关键基础设施中。

在受到过勒索攻击的人中，有80% 的人表示他们没有支付赎金。其原因是：支付赎金并不能100%保证可获得解密密钥。

这说明，这些勒索攻击者是不能信赖的。根据 Cybereason 的最新统计数据可以看出，被勒索攻击后付款的企业，实际上可能会被攻击者标记为容易付款的组织。而事实也证明，在支付赎金的组织中，有 80% 的组织表示他们受到了第二次攻击，其中一半的企业受到了同一种勒索攻击，三分之一的企业受到了其他的勒索攻击。

在 Cybereason 的研究中，大约 65% 的遭受勒索软件攻击的组织报告了损失，大约四分之一的组织不得不完全关闭他们的业务；大约一半 (53%) 表示他们的品牌和声誉受到损害。

Cybereason 发现，支付赎金的企业中有 35% 支付了 35 万至 140 万美元，而 7% 的企业支付了超过 140 万美元的赎金。

相比之下，Threatpost 发现，如果不支付赎金，超过一半的受害者 (57%) 的补救费用将低于 50,000 美元。相比之下，在攻击后确实支付了赎金的受害者中，大约有一半支付了不到 50,000 美元的补救费用，而且这还不包括赎金支付。

勒索软件缓解措施

当被问及组织应采取哪些重要防御措施来防范勒索软件攻击时，组织将关键数据备份 (24%)、用户意识培训 (18%) 和端点/设备保护 (15%) 是最为有效的防范措施。

但实施这些防御措施说起来容易做起来难。民意调查受访者列举了在抵御勒索软件攻击方面面临的一系列挑战。其中最大的挑战是内部威胁，29% 的人表示缺乏员工意识（关于电子邮件和社会工程威胁）。与此同时，19% 的人表示预算限制（没有钱部署或升级防御平台）；而 18% 的受访者表示，缺乏补丁和遗留设备是最大的挑战。

与此同时，一项针对Group Salus的 200 名受访者的全国调查发现，只有 15% 的中小型企业 (SMB) 高管（年收入高达 1 亿美元的领先公司）认为勒索软件是最大的威胁，将直接导致财务支出。

尽管有近 40% 的公司遭受过任何类型的网络攻击，其中45% 的公司报告他们丢失了客户数据，27% 的公司表示他们因攻击而损失了大量资金。一次攻击的平均成本为 200,000 美元。

Group Salus 调查还发现，30% 的 SMB 高管最担心在网络事件中丢失不可替代的数据，25% 最担心由于对组织失去信任而永久失去客户。然而，勒索软件并不是首要考虑因素。

如何防范勒索病毒攻击

1）从正规渠道获取正版计算机操作系统软件，切勿安装、使用盗版软件；

2）个人终端应安装杀毒软件及防火墙工具软件；

3）及时按系统提示进行操作系统的补丁及更新操作；及时下载更新最新病毒数据库并定期进行查杀毒操作；

4）定期将重要文档资料从个人终端备份至外部安全的移动存储介质（U盘、移动硬盘等），养成数据备份的良好习惯；

5）不要轻易打开来路不明邮件及其附件，或者点击来路不明的任何链接；

6）一旦发现个人终端感染病毒，应立即断开网络连接以免本网络区域内其他终端受波及，并及时向技术支撑人员报告。