如果询问安全专家,当受到勒索软件攻击时该怎么做——这种复杂的恶意软件会感染设备或网络,使用军用级加密来限制访问,并要求支付解密密钥的费用——你通常会得到相同的答案:“永远不要支付赎金。”
但对很多人来说,这根本不是一个选择。例如,去年11月,田纳西州迪金森县(Dickinson County)治安官部门的一名员工。他不小心点击了一个恶意广告,将办公室网络暴露在臭名昭著的CryptoWall勒索软件之下。侦探杰夫McCliss他告诉当地新闻第五频道“加密墙”加密了“所有你能在调查中找到的文件”,比如证人口供和证据照片。即使在与联邦调查局和美国军方协商后,麦克利斯告诉新闻电台,唯一的解决办法是向网络罪犯支付500美元,让他们把文件拿回来。
这并不是一个孤立的案例,例如,芝加哥郊区的一个警察局最近在遭遇类似的袭击后支付了600美元的赎金《芝加哥论坛报》.对勒索软件攻击没有充分准备的企业真的没有不付钱的动机。事实上,许多认为自己已经做好准备的人发现,他们别无选择,只能与劫持人质者谈判。
采用实时备份并经常测试其工具的组织通常能够在勒索软件攻击下毫发无损——它们可以简单地擦除受感染的设备并恢复备份文件。
对于许多组织来说,这很难说是现实,特别是对于没有IT资源限制的中型公司,或者甚至是IT人员分散的大型组织。安全培训公司KnowBe4的首席执行官Stu Sjouwerman说,即使是已经为这种情况做好准备的组织也经常发现他们的文件恢复功能无法工作。KnowBe4为勒索软件的受害者提供咨询和帮助。许多投资文件备份解决方案的组织都没有测试它们的恢复功能。当他们需要它工作时,他们发现他们无法恢复他们备份的所有文件,使得备份工作徒劳无功。
“他们总是忽视(恢复功能的测试),”Sjouerwman说。“这是一种最佳实践,但正如你所知道的,它承受着很大的压力。他们被迫整天救火,同时也把新系统上线。因此,在日复一日的it环境中,很难找到时间做这类事情。”
从那以后,支付赎金的决定基本上取决于加密数据的价值是否高于赎金要求。
Sjouwerman说,在大多数情况下,支付赎金对该组织来说是“无需动脑筋的事”。这是因为勒索软件基本上是自动化的,为所有受害者提供解密密钥需要大约500美元。警察局的证据所需的赎金可能与个人电脑用户的照片所需的赎金相同。
勒索软件是网络犯罪的沃尔玛。他们只是决定将整个过程自动化,”Sjouwerman说。“他们会尽可能多地使用网络钓鱼邮件地址和公司。对他们来说,他们已经明白了商业模式是:有些人有备份,有些人没有。对于那些不喜欢的人来说,这是显而易见的。”
这些攻击背后的网络罪犯关心的是受害者支付赎金的可能性最大化。理论上,如果他们加密了更有价值的数据,他们可以增加赔偿。但关键是要确保他们支付,而将价格保持在合理范围内将增加更多受害者支付的机会。
荣誉在小偷
根据这些原则,许多勒索软件的幕后主使都致力于在互联网上建立一个值得信赖的声誉,兑现所有的赎金,并在交易完成后对受害者置之不理。12月,Sjouwerman告诉CSO一种叫做OphionLocker的新型勒索软件这是为了识别过去被它感染过的设备,这样它就不会重复攻击相同的受害者。根据他与勒索软件受害者的合作经验,Sjouwerman说,每个支付了赎金的受害者都收到了他们的解密密钥,大多数都是在支付赎金后的一个小时内收到的。
其目的是让勒索软件受害者尽可能容易地做出决定——如果他们支付赎金,他们将获得访问他们的文件,并可以把整个折磨抛在脑后。Sjouwerman说:“如果他们没有做好准备而被击中,大多数人将付出代价。”
因此,自从2013年9月CryptoLocker发布以来,勒索软件的发展如此迅速也就不足为奇了。CryptoLocker现在已经不存在,它将这种模式引入了互联网。赛门铁克预计于九月(PDF), cryptolocker风格的勒索软件在2014年增长了700%。McAfee最近报道(PDF),勒索软件在2014年第四季度增长了155%。
资讯科技保安界可能会建议不要支付赎金,以消除网络罪犯从事这类骗局的动机。但这通常是IT决策者最不愿意做的事情,他们只想拿回他们的文件,然后重新开始工作。对于面临丢失数周或数月数据的组织,他们可以把这笔费用作为一次学习经验来冲销。
“这是开玩笑,比别的更讽刺,但是你几乎要感谢东欧网络黑手党送你一个社会工程审计,测试你的员工和你的IT部门click-happy,同时如果最佳实践实施或完成,“Sjouwerman说。“这个审计很便宜,只要500美元。”
这个故事,“勒索软件:支付还是对抗?”最初发表于足球竞猜app软件 .