勒索软件知识库

步入正轨ha investito nello sviluppo continuo 的 software proprietari 对于 recuperare i dati 对于 si a causa 的 un attacco 赎金ware da sistemi storage, macchine virtuali, file 的 backup, nastri e altri supporti 的 archiviazione.

I danno provocati dai 赎金ware variano in base al tipo 的 payload e il ripristino dei dati può复杂。 步入正轨为成功的数据恢复提供了最好的解决方案。

Un 赎金ware è一种旨在阻止的恶意软件’accesso a un sistema informatico o pubblicare online i dati 的a vittima. Una volta sferrato l’attacco, l’黑客要求受害者赎金，承诺 –并非总是如实– 的 ripristinare l’收到付款后即可访问数据。

从岁月开始’随后出现了80种不同的特洛伊木马变种，但是’引发新一波攻击浪潮的元素è collegata 附件’比特币的介绍。这种加密货币允许黑客收集 无需通过传统渠道即可轻松地从受害者那里赚钱。

英文单词“ransom”意味着赎回和è因此，该术语用于指代阻止数据并索取金钱以释放数据的软件。在许多情况下，专家还提到加密木马， 以来é赎金记录基于以下事实：数据已加密且所有人都无法访问’utente. 

勒索软件是一种恶意软件，可以锁定操作系统或整个服务器，并对现有数据进行加密。黑客通过告诉受害者数据，使受害者承受不断的压力 付款后才可以再次使用 赎金。

Il 赎金ware è una forma 的 malware che blocca l'accesso al sistema informatico o 的 vulga i dati 的a vittima online. L'hacker chiede un riscatto 附件a vittima e promette 的 ripristinare l'accesso ai dati 的 pagamento.

Dagli anni '80 sono comparsi numerosi trojan 赎金ware ma la reale opportunità 对于 gli 黑客 è aumentata con l’比特币的介绍。这种加密货币使黑客可以在线兑换赎金，而无需使用 传统渠道。

勒索软件攻击背后的人通常是技术娴熟的骗子，在计算机编程方面拥有丰富的经验。通常，勒索软件会通过电子邮件附件，网络或浏览器感染计算机 已感染。

方式à 的 attacco dei 赎金ware sono molto simili a più常见的黑客系统：例如，在受感染的网站上浏览，垃圾邮件中的链接，或在接收到的邮件中嵌入的病毒 社会的。在许多情况下，管理人员发送的电子邮件中包含可疑的交货单或收债请求。另一方面，附件  non contiene alcuna informazione rilevante, ad eccezione del 赎金ware.

Datto的数据显示，勒索软件平均每年使公司损失750亿美元。这包括赎金本身，随后的恢复工作，组织和IT计划，以保护组织免受进一步的攻击，以及é 停机时间à，法医调查，培训成本，收入/生产力的恢复和损失à. Stime più prudenti 的 Cybersecurity Ventures conteggiano i danni da 赎金ware a oltre $ 11,5 miliardi nel 2019, un aumento sorprendente rispetto ai $ 325 milioni 的 quattro anni fa. 是 a che la cifra sia 的 $ 75 miliardi o $ 11,5 miliardi, i danni sono ingenti 对于 tutte le aziende che subiscono un勒索软件攻击。A maggio del 2019, ad esempio, la città 的 Baltimora è stata chiusa dai sistemi governativi 对于 oltre un mese. I sistemi vitali 对于 la produzione 的 vaccini, bancomat, aeroporti e ospedali sono stati tutti colpiti. Sebbene la richiesta 的 赎金ware fosse 的 $ 76.000, il prezzo 的 recupero è 总额接近2000万美元。

鱼叉式网络钓鱼

传送系统più comune 对于 i 赎金ware è通过垃圾邮件网络钓鱼：附件到达’e-mail 的a vittima, mascherati da file 的 cui si possono fidare.

下载并打开’附件，恶意软件将控制您的计算机，对部分或全部文件进行加密。什么时候我们ò accade, l’解密数据的唯一方法è通过仅已知的数学键 附件’hacker

在某些情况下，恶意软件还会显示一条消息，指出系统“Windows” 的’utente è bloccato. L’utente è然后受邀拨打电话“Microsoft” e inserire 六位数代码以重新激活系统。该消息声称该电话è免费，但这不是è vero. Mentre è在电话里打假“Microsoft”, l’用户产生的费用 长途电话。

远程访问点

I 迈克菲研究人员 指出，尽管网络犯罪分子仍在使用鱼叉式钓鱼策略，但越来越多的人 的黑客可以从开放的和公开的远程访问点（例如RDP和虚拟网络计算（VNC））访问公司系统。 RDP凭证可以被破解，从密码泄漏中获取或仅在市场上购买 黑暗的网络。以前勒索软件黑客会为勒索软件和解密密钥创建命令和控制环境的地方，现在大多数犯罪分子会向勒索受害者提供勒索要求，其中包括地址 匿名电子邮件服务，使他可以隐藏自己的身份à.

根据最后 迈克菲威胁报告， nel primo trimestre del 2019, gli attacchi con 赎金ware sono cresciuti del 118％。不仅在那里è stato un aumento significativo del numero 的 attacchi, ma l'anno passato ha visto anche la comparsa 的 nuove famiglie 的 赎金ware e cyber criminali che utilizzano tecniche più创新造成混乱。下面 sono descritte alcune 的e principali varianti 的 赎金ware che causano gravi interruzioni nell'arco 的 pochi anni.

阿纳托娃
Uno dei 赎金ware nati nel 2019 è阿纳托娃。这种新的恶意软件隐藏在游戏或应用程序图标的后面，以诱骗用户下载病毒。作为恶意软件的演变形式，Anatova可以适应 快速并使用几个“trick”不被发现，由于其模块化设计，può合并功能à可以阻止反勒索软件方法和技术的附加组件。 il team Advanced Threat Research 的 McAfee ha scoperto questo nuovo 赎金ware 附件’在可能对用户和企业构成严重威胁的2019年初之前。

法
Una variante del virus CrySiS, il 赎金ware 法 è自2018年以来一直活跃。网络犯罪分子继续ò开发无法破解的新变体。

甘达蟹
Questo 赎金ware utilizza la crittografia AES e carica nel sistema un file chiamato ‘GandCrab.exe’. Il virus colpisce sia utenti privati che aziende che utilizzano sui propri PC 微软 视窗.
2019年5月31日，创作者 的 甘达蟹 hanno annunciato la fine degli attacchi 的 questo 赎金ware avendo già从不幸的赎金中赚了超过20亿美元。

表情包
表情包è un 赎金ware originariamente nato nel 2014 对于 attaccare le banche. Il virus ha subito 的 verse evoluzioni sino a 的 ventare “invisibile”甚至抗赎金产品。黑客通常会传播Emotet 通过垃圾邮件，使其看起来合法并带有’使用诱人的语言诱骗受害者单击链接。

琉克
琉克è un 赎金ware che prende solitamente 的 mira le aziende 对于 ottenere il massimo del ritorno economico. Secondo CrowdStrike, tra agosto 2018 e gennaio 2019, 琉克ha incassato oltre 705,80 bitcoin dagli attacchi sferrati, 对于 un 总价值3,701,893.98美元，其中最大的攻击之一è在《 Tribune Publishing》于2018年圣诞节期间产生的内容。首先在那里’公司以为’攻击只与打扰有关 临时服务器：不久之后ò è stato subito chiaro che si trattava del 赎金ware 琉克 .Questo malware è noto anche con l’appellativo “大鱼狩猎”适用于具有高投资回报率的公司。 Questi attacchi su larga scala comportano una forte 对于 sonalizzazione 的e campagne 对于 adattarsi al meglio ai singoli obiettivi e aumentarne quindi l’效率，因此Ruyk需要很多“lavoro”由黑客按设施 l’attacco in più阶段。第一阶段è quella 的’attacco tramite phishing con 的 scopo 的 infettare il network 的e aziende 对于 mappare il sistema e identificare gli asset da colpire. La seconda e la terza fase, invece, 索取赎金以释放加密数据。

扩散系统più comune 对于 i 赎金ware è rappresentato dal phishing spam: 附件egati che arrivano nella posta elettronica 的a vittima, sotto forma 的 file affidabile. Secondo le ricerche effettuate da 趋势科技， 一家公司à软件安全性，91％的网络攻击和相关破坏始于’e-mail 网络钓鱼。

一旦’allegato è下载并打开后，恶意软件可以ò assumere il controllo del computer 的a vittima, criptando alcuni file 的’utente. Quando ciò accade, l’解密文件的唯一方法è 使用只有所有人都知道的数学键’hacker.

在某些情况下，恶意软件还会显示一条消息，指出系统‘Windows’ 的’utente è bloccato. L’utente è因此鼓励拨打电话“Microsoft” 并输入六位数密码以重新激活系统。根据留言电话è gratuita, ma non è正确：一边打电话给假人“Microsoft”, l’用户累积费用，就好像他在执行 长途电话。

另一个恶意软件è chiamato leakware o 网络软件在这种情况下’hacker minaccia 的 的 vulgare i dati sensibili presenti sul 的 sco rigido 的a vittima 除非支付赎金。目标通常是电子邮件和Word文档，但也有一些案例披露了用户的私人消息，图片和电话簿。

网件è noto 对于 essere più efficace dei 赎金ware in relazione al pagamento del riscatto da parte 的a vittima. Con i 赎金ware, si possono conservare backup separati dei dati cui non è più可以访问，但是 网络软件，曾经是黑客è entrato in possesso 的e informazioni che la vittima non intende rendere pubbliche, non resta molto altro da fare che pagare.

近年来，  numero 的 attacchi 赎金ware è以惊人的速度增长。不幸的是，’ascesa 的a tecnologia va 的 pari passo con  l’aumento del crimine informatico. Ma quanto sai 的a minaccia 赎金ware 不断发展？您知道采取什么措施来防止攻击吗？

由于网络钓鱼攻击的持续成功，用户培训是抵御勒索软件的最佳手段之一。此外è需要实施标准的IT安全做法和技术（例如防病毒软件）， antimalware, rilevamento / prevenzione 的e intrusioni, firewall, monitoraggio 的a rete e controlli degli accessi.
Le organizzazioni dovrebbero chiudere tutte le porte che non necessitano 的'accesso a Internet e quelle che 的 fanno dovrebbero 受到仔细监视和保护。 

É altresì必须引入额外的保护层，例如经常进行的备份。这些备份必须完整，必须易于访问，并且组织应定期对其进行测试 验证其可靠性à. Sfortunatamente, il 赎金ware si evolve continuamente e trova nuovi modi 对于 infettare i sistemi. A volte attacca specifici sistemi o database. Il primo step del malware è使用权利 管理员的文件被盗以禁用联机备份，尤其是在SAN上。通过这种方式，恶意软件可以à擦除NAS系统。在其他时候，它甚至设法渗透和加密备份文件。备份应用 virtualizzate come Veeam, ad esempio, sono state in passato oggetto 的 attacchi 赎金ware. La domanda non è因此，如果恶意软件感染à您的公司也一样，但是什么时候做à。组织需要做好准备。磁带 留在里面  的e library corrono il grande rischio 的 essere sovrascritti, crittografati o altrimenti danneggiati dal 赎金ware. 

Le best practice da adottare sono in costante evoluzione e descrivono nel dettaglio quali azioni intraprendere in caso 的 attacchi 赎金ware. La cosa più importante è从不付赎金。联邦调查局è坚定的支持者 针对这一立场，美国市长会议确保其所有成员保证绝不向网络犯罪分子支付赎金。毕竟，满足赎金要求的人没有任何 garanzia 的a decrittazione dei 的 ro file. Potrebbe anche essere chiesto 的 ro 的 pagare più金钱，否则他们可能会发现感染了其他恶意软件的数据和系统。

除了不支付赎金外，受害者还必须立即联系执法部门。企业需要立即关闭并断开所有系统的连接 连接到网络，并始终先克隆关键磁盘，然后再制作 任何变化。一旦组织检测到攻击，就不会浪费时间。否则，感染可能会扩散到更多ù用户，系统和应用程序。

最近几年看到了能够解密某些勒索软件的新程序的开发。公司的IT部门应与供应商或执法部门联系，以查看是否’他们是受害者的感染 può容易解密。如今，有超过100种解密工具可用于更多ù 的 400 varianti 的 赎金ware. Caso in questione: l'FBI ha rilasciato le chiavi 的 decodifica principali 对于 il 赎金ware 甘达蟹 对于 consentire 附件e vittime 的 effettuare il decrypt. I criminali informatici, dal canto 的 ro, sono 附件a costante ricerca 的 nuove modalità攻击和数据阻止。一旦包含效果 的’从现在开始攻击，备份是传统上恢复数据的最佳方法。允许定期正确地存储在云中，备份应用程序或磁带上的备份文件 公司再次访问其数据。然而， è necessario prestare attenzione ai file 的 backup 对于 assicurarsi che non siano stati a 的 ro volta vittime del contagio. Il ripristino 的 file che contengono 赎金ware può 引起IT系统的新感染。此外，我经常 已知备份不完整，过时甚至损坏。

您可能会被认为以勒索赎金来访问您的数据已经à相当烦人，但与它相比可能没什么’攻击造成的实际损害金额。

后者可能包括：

• 数据的损坏和破坏（或丢失）

生产力不足à

• 攻击后正常业务的中断

• 法医调查

• 恢复和删除被劫为人质的数据和系统

• 他们损害声誉

• 培训员工应对攻击

1.La sicurezza 电子邮件 è fondamentale!

根据McAfee l的报告’e-mail resterà公司网络安全威胁的主要攻击媒介，尤其是针对性攻击。因此，请确保此主要漏洞因素à è对于运行网络或连接到互联网的任何人来说都是必不可少的。

大多数用户通过打开看似正常的电子邮件但包含受感染的附件（例如文档，照片，’动画，视频或任何其他文件。不需要深入的知识即可将恶意软件代码插入文件。在许多情况下，YouTube上有许多说明性文章或视频，展示了如何隐藏代码，因此如今，即使是孩子也可以。

考虑到这一点， 您绝对不能打开来自未知发件人的电子邮件附件！ Se ricevi un’来自未知发件人的电子邮件，请立即将’azienda.

记得： la protezione e l’integrità 的’企业IT始终是正确的选择。

2.确保网络安全和安全’ambiente IT!

一台计算机被勒索软件加密è无疑带来了不便，但是当勒索软件在网络中传播时，ò不仅成为IT部门的噩梦，而且也成为I​​T部门的危险’intero business!

该公司à还没有这样做的人应该 考虑到’软件解决方案的实施 专门针对数据安全 用于在Exchange服务器将所有传入电子邮件传递给收件人之前验证所有传入电子邮件。通过这种解决方案，可以大大降低病毒传播的风险’公司网络内部。

Inoltre, gli amministratori IT e i manager dovrebbero考虑到’实施其他网络安全软件，该软件会自动检查网络及其文件。如果勒索软件试图对大量加密进行加密，则这种解决方案将发出警报à 的 file sulla rete.

Queste soluzioni verificano il traffico in uscita, 对于 tanto se il 赎金ware cerca 的 collegarsi al 的 ro server esterno 对于 avviare il processo 的 crittografia, la procedura potrebbe essere interrotta in uno stadio piuttosto precoce.

Infine, aggiorna sempre i software e i sistemi operativi con le ultime patch non appena sono 的 sponibili. Come abbiamo spesso sottolineato, gli 黑客 hanno successo quando la vittima presenta 的e falle nella propria sicurezza!

3.让您的员工变得聪明！

In caso 的 un attacco 赎金ware anche l’utente più专家恐慌。因此， 每个员工’公司应该确切知道发生攻击时该怎么办。
勒索软件攻击不仅应包括在pi管理级别的业务连续性计划中ù对于IT专家而言，这是一个很高的要求，但是如果有影响，还应该将操作说明写在每个办公室墙上挂着的纸上。简单提示，例如：

• 与Internet和内部网络断开连接
• 尝试正确关闭设备或立即致电IT安全部门/ l’amministratore IT

特别是，IT管理人员应始终了解最新动态ù最近在网络安全和黑客攻击领域。因此，必须阅读最新新闻并紧跟该领域的最新发展，网络解决方案或软件。à对于这些员工。

4. Proteggi il Remote 桌面 Protocol (RDP) 的a tua 公司

远程桌面协议（RDP）通常与远程服务一起使用。在2018/2019年期间，该漏洞à通过BlueKeep CVE 2019 0708是è scatenata, recenti patch 微软 hanno coperto quel thread. 

如果您的公司不需要使用RDP，è最好诉诸更多解决方案ù sicura. Se ciò non è possibile, è必须采取以下措施：

• 使用VPN来访问’企业RDP可以在员工与Internet之间建立安全连接。所有数据流量都是通过加密的虚拟隧道发送的，这应防止网络罪犯侵入系统。
• 确保您设置了双重身份验证
• 提供重要内部服务的员工应具有完成工作所需的最大访问权限。所有访问关键系统或备份的员工都必须具有两要素身份验证。
• 制定更新的灾难恢复计划以确保您的RDPè受到威胁后，您将拥有所有关键数据的备份。
  

5.确保您具有最新备份

保护自己也意味着需要备份数据。高度安全的备份è在为可能的组织做准备中的关键要素 勒索软件攻击。È您需要彻底且频繁地测试备份。这样在发生攻击时 任何形式的恶意软件，à您可以快速重建系统，而不会出现问题。如果可能，请确保您的备份系统未连接到网络（或暂时）è必要），这将防止à也不会受到恶意软件的影响。

当您与网络犯罪专家交谈时，大多数人都敦促您不要支付赎金é资助黑客会有所帮助 à solo a incrementare gli attacchi 赎金ware.

但是，许多组织都反对此建议，评估更多加密数据的价值ù比赎金要高。 2018年 45% 的e aziende statunitensi colpite da 赎金ware pagare i propri aggressori. Ma 对于 ché?!

总理事会è不支付赎金。但是，决定不 支付所需的费用可能不是许多公司的最佳解决方案，尤其是当存在该选项时à che la società可能会永久失去’访问重要数据，会受到当局的罚款à控制或永久关闭您的业务à。对于许多公司而言，在支付相对适度的赎金或维持业务之间进行选择并没有è孩子的游戏。

在某些勒索软件情况下，’黑客竭尽全力让受害者相信赎金值得付出，使他相信那里’所需金额足够低  e sicuramente più比重建丢失的数据便宜。如果受害者在特定时间段内付款，黑客有时会提供折扣。三天。

实际上，一些公司正在积累专门用于赎金支付的比特币储备。这种情况主要发生在英国，那里的组织似乎更多ù愿意支付赎金。第二 哥谭·夏尔马Exeltek咨询集团首席执行官，“约有三分之一的英国中型公司报告称，手头有比特币可以应对勒索软件攻击的紧急情况（如果没有）è可以使用其他解决方案”.

Se 对于 qualsiasi ragione sei vittima 的 un attacco 赎金ware, segui queste istruzioni:

• 永远不要支付赎金！
  付费黑客并不能保证您将能够重新获得数据的所有权。在很多情况下–特别是在恶意软件的情况下“ranscam” o wiper – non avrai più accesso 数据。这样，除了丢失基本信息之外，您还将丢失您的钱！

• 即使您具备一些IT技能来还原数据，也不要试图自己解密数据，è自此以来的冒险过程é如果出现问题，您将永远销毁文档。