Cyber Threat: Ransomware Attack

What is a ransomware attack?

Ransomware is a type of malware that encrypts data and holds systems hostage until a ransom is paid. Cybercriminals generally demand payment in cryptocurrency in exchange for a decryption key. However, paying the ransom does not guarantee that cybercriminals will fulfill their promise to return your data. Even if access is restored, sensitive data may still be sold on the dark web. No matter how big or small an organization is, ransomware attacks have severe consequences, including financial losses, operational disruptions, reputational damage and data breaches.

3D 红色挂锁带有美元符号,代表金融数据安全,背景为深色数字化场景。
63%

各组织在 2025 年拒绝支付赎金

IBM

130 万

2024 年,勒索软件攻击针对美国组织

Statista

1,240 万美元

2024 年因勒索软件攻击导致的预计损失

FBI IC3

勒索软件攻击的工作原理是什么?

Infection

步骤 1: Infection

网络犯罪分子通过钓鱼邮件、恶意附件或利用安全漏洞(如被盗凭证)感染系统。它们通常会在发起攻击前横向移动网络,以实现破坏效果最大化。

加密

步骤 2: 加密

一旦入侵,网络犯罪分子会找到有价值的数据,并使用军用级算法加密文件。他们可能会禁用安全工具、删除备份,并破坏其他系统。

Ransom demand

步骤 3: Ransom demand

文件被锁定,并附带一项勒索要求,威胁您在短期内支付大量加密货币,否则便会出售、泄露或删除您的敏感数据。

最常见的五种勒索软件攻击类型

加密勒索软件

加密勒索软件使用强加密算法加密文件,并要求以加密货币换取解密密钥。它会阻止访问敏感数据并干扰业务运营,即使支付赎金,也无法保证数据完全恢复。

图片显示带有红色覆盖层和骷髅图标的计算机代码,代表加密勒索软件攻击。

锁机勒索软件

与加密勒索软件只加密单个文件不同,锁定型勒索软件会将用户完全锁定在整个设备或系统之外。它通常会显示伪造的执法机构信息,以恐吓受害者支付赎金。这种勒索软件会完全中断工作流程,直到系统恢复。

计算机屏幕图像,显示红色文件夹和中央红色覆盖层,其中包含锁定文件和恶意软件图标,代表锁定型勒索软件攻击。

双重勒索赎金软件

在双重勒索攻击中,网络犯罪分子会提取敏感数据并加密,要求支付的赎金不仅用于解密,还用于阻止数据泄露。即使支付了赎金,数据仍然可能被泄露或在暗网上出售。

该图显示带有红色覆盖层的计算机代码,上面有信用卡图标和骷髅符号,代表窃取并加密数据的双重勒索攻击。

三重勒索软件

三重勒索软件在双重勒索软件的基础上增加了额外压力层。网络犯罪分子会窃取敏感数据并加密,同时发动额外网络攻击,例如分布式拒绝服务(DDoS)攻击或向客户施加威胁,从而加剧业务中断及声誉损害。

图中红色面板显示数据、资金和警告图标,代表涉及数据窃取、资金勒索及其他威胁的三重勒索软件攻击。

勒索软件即服务(RaaS)

RaaS 通过将勒索软件作为付费服务提供,使技能较低的网络犯罪分子也能使用勒索软件。附属网络犯罪分子发起实际攻击,而勒索软件开发者则从已支付的赎金中抽取部分份额。

该图显示带有红色文本和骷髅图标的代码,代表勒索软件即服务(RaaS),其中恶意行为者使用脚本和自动化手段部署勒索软件攻击。

勒索软件清除指南

要清除勒索软件,组织必须谨慎且有条不紊地操作,以将声誉损害降到最低,并安全恢复运营。

报告攻击

报告攻击

必要时通知贵组织的安全团队及执法部门。通过及早报告勒索软件攻击,相关部门可以协助协调修复工作并处理法律合规问题。

隔离受感染设备

隔离受感染设备

断开受感染的计算机或服务器与互联网及内部网络的连接,以防勒索软件传播至其他设备。

重启进入安全模式

重启进入安全模式

尽管某些类型的勒索软件仍可运行,但大多数勒索软件可通过将受感染设备重启至安全模式来阻止。这样做还能让您有时间安装可靠的杀毒软件

运行杀毒软件并恢复系统

运行杀毒软件并恢复系统

通过全面审核、会话记录和密码自动填充功能,保护内部基于 Web 的应用、云应用和自带设备(BYOD)免受恶意软件侵害,防止数据外泄,并控制浏览会话。

评估备份情况

评估备份情况

在所有 Windows、Linux 和 macOS 端点上实现零常设权限,并启用即时 (JIT) 访问,配合可选的审批工作流和 MFA 强制执行。

尝试恢复数据

尝试恢复数据

如果可能,请使用合法的解密工具,例如 No More Ransom 上列出的工具,来解锁加密文件。避免使用可疑的第三方工具,因为它们可能通过窃取或篡改数据使情况恶化。

如何防范勒索软件攻击

执行定期系统备份

频繁的自动备份是防范勒索软件最有效的措施。确保所有备份均离线存储并定期测试,以保证无需支付赎金即可恢复数据。

培训员工识别网络钓鱼

网络钓鱼邮件是网络犯罪分子发起勒索软件攻击的常用手段。最佳实践包括使用模拟钓鱼测试、定期安全培训以及严格的网络安全规范,帮助员工识别并报告可疑邮件。

保持软件更新

网络犯罪分子常常利用操作系统、软件或设备中未修补的漏洞获取访问权限。定期在所有系统中应用安全更新,以保持防护并符合监管标准。

监视暗网

网络犯罪分子经常在暗网上出售员工凭证。像 BreachWatch® 这样的工具会实时提醒 IT 团队,如果公司凭证被泄露,他们能够快速响应并保护受影响账户。今天就进行一次免费的暗网扫描,查看贵公司的凭证是否已泄露。

使用企业密码管理器和特权访问管理(PAM)解决方案

网络犯罪分子常常利用被泄露、弱或重复使用的密码获取未经授权的访问。像 Keeper® 这样的企业密码管理器可以帮助实施强大且唯一的密码,支持多因素身份验证(MFA),并降低基于密码的网络攻击风险。对于特权账户和关键系统,可使用 KeeperPAM® 等 PAM 解决方案,全面掌握谁有权访问敏感数据以及如何使用这些访问权限。

使用 Keeper 保护企业免受勒索软件攻击

close
企业用户促销
支持
close
立即购买