勒索软件是一种计算机病毒，它夺取用户计算机的控制权或对数据进行加密，然后要求赎金以恢复正常操作。勒索软件最著名的例子是Reveton、CryptoLocker和WannaCry。勒索软件通常通过网络钓鱼攻击或点击劫持传播。一旦安装了病毒，用户就无法访问他们的计算机数据或使用机器。许多勒索软件攻击要求通过比特币等加密货币支付赎金。

让我们定义勒索软件

一旦勒索软件进入系统，它就会通过控制、加密文件或完整系统以及阻止用户访问来让自己知道，直到支付请求（通常显示在警告消息中）得到满足。不幸的是，不能保证破解加密所需的密钥会在付款时归还。

这种狡猾的恶意软件通常通过偷渡式下载、电子邮件链接、社交网络消息和网站机会主义地进入；最近，勒索软件已通过攻击性蠕虫和有针对性的攻击传播。勒索软件与许多特洛伊木马一样，伪装成合法文件，勒索字条出现在屏幕上，通常威胁要删除或免费发布。结果通常是品牌受损、昂贵的诉讼或失去客户忠诚度。

WannaCry、Petya、BadRabbit等攻击是2017年的头条新闻。仅WannaCry在一个周末就在全球150多个国家/地区传播到300,000台设备，并造成数百万甚至数十亿的损失。

以下是最近Forrester报告中的一些见解：

我如何获得勒索软件？

勒索软件通过病毒文件传播，用户必须将其安装为.exe。病毒进入网络后，可能会横向跨设备传播。在这种情况下，勒索软件也称为蠕虫。网络用户可能会因网络钓鱼或点击劫持攻击而错误地在本地计算机上安装文件。如果网络上安装了防病毒软件，它必须具有勒索软件攻击文件的签名或通过可疑活动检测到它。否则，它可以逃脱检测。

勒索软件的类型

最常见的勒索软件形式是加密攻击。用户计算机上的所有文件都被病毒加密，除非支付赎金，否则无法解锁。这是勒索软件的最终模式。许多人宁愿支付赎金也不愿丢失所有数据。另一种勒索软件是删除威胁。在这种情况下，如果在某个日期之前没有支付赎金，数据就会受到删除的威胁。另一个不太常见的变种是敲诈或人肉攻击。

如何保护自己免受勒索软件的侵害？

已知的勒索软件将被防病毒软件覆盖，但与任何威胁一样，这些实用程序无法有效屏蔽零日攻击。同样，即使是训练有素的专业用户也可能成为网络钓鱼或点击欺诈攻击的牺牲品。勒索软件蠕虫在网络中横向传播，无需人工干预。这取决于漏洞利用代码的复杂性。检测恶意活动的防病毒软件是最好的方法，即在从Web安装文件之前扫描.exe。

谁是勒索软件的目标？

勒索软件通常针对大型公司和政府机构，其中单个用户的错误可能导致广泛的感染模式。其他用户可能会受到垃圾邮件或网络钓鱼攻击的感染。

如何防止勒索软件？

从McAfee、Kapersky、Symantec或Norton等主要提供商之一安装经过验证的防病毒软件，以获得最佳保护，并避免从Web链接安装任何.exe文件。留意来自未知来源的带有附件的可疑电子邮件。这些电子邮件通常会有拼写错误、使用通用语言（即“亲爱的先生/女士”），或者来自一个看起来可疑的地址。

Reveton在2012年通过冒充警察部门并要求罚款开始了勒索软件的趋势。CryptoLocker在2013年开始了比特币勒索攻击的趋势。

勒索软件的注意事项

勒索软件如何影响我的业务？

勒索软件让企业主考虑他们如何处理防病毒、网络安全和数据备份。建议企业在防火墙上使用包含已知勒索软件攻击的防病毒扫描。管理员必须考虑他们对工作PC上的数据丢失有多大的容忍度，以及如何在桌面生产力机器上集成定期安全备份。了解VMware服务定义防火墙如何帮助缓解勒索软件和其他攻击。

是否应该支付赎金？

一般来说，答案不是是否可以避免。原因有两个：无法保证攻击者会释放被扣为人质的文件和系统，这让勒索软件分发者相信您愿意付费。

公司支付赎金并不罕见，尤其是在勒索软件爆发有时会出现生死攸关的情况下。事实上，根据CybersecurityVentures最近的研究，勒索软件在2017年的犯罪金额估计为50亿美元，与2016年的2400万美元和2015年的850,000美元相比大幅增加。

CyberedgeGroup的2018年网络威胁防御报告对来自全球的公司进行了调查，发现其中55%的组织在2017年成为勒索软件的受害者。在支付赎金的企业中，超过一半的企业丢失了数据，这表明支付赎金可能无效。至于那些没有付款的人，近87%的人有幸恢复了他们的数据，尽管目前尚不清楚恢复的成本是多少。

行业脉搏：勒索软件呈指数增长

以下是勒索软件如何迅速演变为最可怕的恶意软件类型之一的快速浏览。

每天4,000次攻击

据FBI称，这比2015年的攻击量增加了300%。

300万台计算机遭到攻击

2017年，研究人员在全球范围内发现了120多个新的勒索软件系列受影响的系统

115亿美元的成本预测

2019年可能每14秒就会发生一次勒索软件攻击，使日均超过6,000次

答案：在执行攻击之前停止勒索软件

由于当今勒索软件在财务上的成功，攻击者越来越多地开发勒索软件变体，这些变体可以绕过大多数检测已知攻击模式的传统恶意软件保护。新变种，例如利用PowerShell、脚本、宏、远程shell攻击和基于内存的攻击的Locky和高级攻击，可以逃避大多数防病毒软件的检测。

具有流式预防技术的下一代防病毒(NGAV)解决方案使用深度分析来检查文件并识别可能导致勒索软件爆发的事件。通过在攻击实际发生之前识别勒索软件特有的恶意行为，可以自动阻止攻击。此外，通过对攻击的全面了解，公司可以快速修复攻击者发现的漏洞，以防止未来爆发。