勒索软件谈判的注意事项

勒索软件是组织在过去几年中面临的最具破坏性的恶意软件威胁之一，而且没有迹象表明攻击者会很快停止。这对他们来说太有利可图了。赎金要求从数万美元增长到数百万甚至数千万美元，因为攻击者了解到许多组织愿意支付。

您的组织是否突然受到了勒索软件病毒的攻击？如果有请深吸一口气，尽量保持镇定。面对攻击很容易恐慌或不知所措，但保持冷静和专注对您的组织做出最佳决策至关重要。

随着越来越多的勒索软件组织通过将文件加密与数据盗窃相结合来采用这种双重勒索技术，最终导致拒绝服务的勒索软件攻击也会成为数据泄露，根据您所在的地区位置所要承担的各种监管义务需要披露数据泄露事件。虽然过去私营公司不必公开披露勒索软件攻击，但由于这种数据泄露组件，他们可能会越来越多地被迫这样做。

发生勒索软件攻击时应采取的初始措施

当勒索软件攻击发生时，需要执行两个关键且时间敏感的操作：

• 确定攻击者如何进入的、关闭漏洞并将他们踢出网络
• 了解您正在处理的内容，这意味着确定勒索软件变体，将其与威胁参与者联系起来，并建立他们的可信度，尤其是当他们还提出数据盗窃索赔时。

第一个行动需要内部或外部的事件响应团队，而第二个行动可能需要一家专门从事威胁情报的公司。

一些大公司聘用了这些团队，但许多组织并没有这样做，而且在面临勒索软件攻击时常常感到迷茫，最终浪费了宝贵的时间。在这些情况下，更好的方法可能是聘请在管理网络攻击响应方面具有专业知识的外部顾问。根据与 CSO 交谈的国际律师事务所 Orrick 的律师的说法，在大约 75% 的案件中，外部律师首先被召集并开始响应流程，其中包括：

• 通知执法部门
• 联系取证人员
• 与组织领导进行内部简报沟通
• 以特权覆盖调查
• 评估可能需要的对外界的通知

帮助受害组织与其保险公司联系，通知他们攻击事件并获得费用批准，包括律师、取证、危机沟通和任何其他所需费用，包括在做出决定后支付赎金。

尽快断开受影响的设备与网络的连接。这有助于防止勒索软件传播到其他计算机或设备。

确定哪些数据受到影响并评估受损的程度。

确定感染您设备的勒索软件病毒的具体类型，以了解该恶意软件的运行方式以及您需要采取哪些步骤来将其删除。

重要的是要将勒索软件攻击通知所有员工，并指示他们不要点击任何可疑链接或打开任何可疑附件。

考虑报告攻击。这有助于提高对攻击的认识，也可能有助于防止未来的攻击。请注意，在某些地区，法律要求企业主主动上报攻击事件。

不要急于做出决定。在决定是否支付赎金或探索其他解决方案之前，请花时间仔细评估您的选择以及每个选择的潜在后果。

支付赎金并不是唯一的选择。考虑探索其他解决方案，例如从备份中恢复数据。如果您没有备份，网络安全专家可能会帮助您恢复数据，因为许多勒索软件变种已被解密并且密钥是公开可用的。

网络诈骗分子用来迅速从受害者那里获取资金的策略

除了加密数据之外，网络勒索者还使用各种策略。他们还使用攻击后的多种勒索方法胁迫受害者向他们付款。通常，网络犯罪分子会同时使用多种勒索策略。这些策略的一些例子包括：

(1) 窃取和泄露

网络勒索者不仅对受害者的数据进行加密，而且还经常窃取这些数据。如果不支付赎金，被盗的数据文件可能会在专门的泄密网站上公开，这可能会对受害者的声誉造成严重损害，并使他们更有可能屈服于勒索者的要求。

(2) 如果谈判公司介入，则会销毁密钥

一些勒索软件作者威胁说，如果他们寻求专业第三方的帮助来代表他们进行谈判，他们将删除解密受害者数据所需的私钥。

(3) 发起 DDoS 攻击

勒索软件攻击者经常威胁要用大量流量淹没受害者的网站，以试图将其关闭并恐吓目标公司更快地支付赎金。

(4) 导致打印机行为异常

一些黑客能够控制打印机并直接在合作伙伴和客户面前打印勒索票据。这为勒索攻击提供了高级别的可见性，因为人们很难忽略正在打印的赎金票据。

(5) 将 Facebook 广告用于恶意目的

众所周知，犯罪分子会使用广告来吸引他们的注意力。在一个例子中，勒索软件开发者使用 Facebook 广告通过强调该组织防御薄弱来羞辱他们的受害者。

(6) 激起顾客的不安

勒索软件作者可能会向数据遭到泄露的大公司的客户发送恐吓电子邮件。这些电子邮件威胁要泄露收件人的数据，除非受影响的组织支付赎金。攻击者鼓励收款人向受影响的公司施压，要求他们迅速付款。

不要试图自己处理这种情况

尽管勒索软件是网络攻击领域的一种趋势，但黑客并不总是能成功获得赎金。他们必须不断开发新方法来补充他们的勒索技术库。

为了让黑客的日子尽可能难过，最主要的是不要试图单独行动。要有完善的机制来打击勒索者。

务必向他人寻求专业帮助，即使这意味着丢失部分或全部数据。有很多组织和资源可以提供专业的帮助和指导。一些潜在的选择包括：

• 网络安全专家：这些专业人员可以提供恢复数据的专业知识和帮助，以及如何防止未来攻击的建议。
• 计算机应急响应团队：许多国家和地区都有称为CERT的组织，协助响应网络事件（包括勒索软件攻击）并从中恢复。
• 勒索软件恢复服务：一些公司专门帮助组织从勒索软件攻击中恢复，可以提供一系列服务，包括数据恢复、威胁评估和勒索软件谈判。
• 执法：在许多情况下，让执法机构参与可能是合适的。他们可以帮助调查、帮助恢复数据、识别和起诉攻击者。

仔细研究和评估您考虑使用的任何资源或服务至关重要。从多个来源寻求建议以找到最佳出路。

谈判前

一般不建议与勒索软件攻击者协商或支付赎金。这样做会鼓励进一步的勒索软件攻击。支付赎金不仅支持攻击者的犯罪活动，还会使您的组织面临再次成为攻击目标的风险。

请记住，无法保证攻击者实际上会提供解密密钥 – 即使您确实支付了赎金。因此，在决定支付之前仔细权衡风险和潜在后果非常重要。

勒索软件攻击和支付通常是匿名进行的，使用加密的通信渠道和加密货币。黑客通常会提供加密的聊天或电子邮件服务进行通信。尝试与对手协商额外的沟通渠道和方式。尝试与攻击者建立一条涉及相互信任的通信线路（在这种情况下尽可能多。）

如果您决定与攻击者谈判并支付赎金，请务必记录所有通信，包括支付赎金的任何说明。此信息可能对正在调查攻击的执法部门和网络安全专家有所帮助。

要求攻击者演示解密密钥，并通过解密几个随机文件来证明它确实有效。这可以帮助您确保您是在与真正的攻击者打交道，而不是第三方。

研究攻击者及其过去的行为。如果已知攻击者在过去收到付款后会协商或提供解密密钥，这可能有助于增加您对协商的信心，也可能使您有能力协商较低的金额。

与攻击者谈判的技巧

如果您已用尽所有其他选择并确定支付赎金是恢复数据的唯一方法，请参考以下与黑客谈判的一些提示：

• 攻击者可能试图通过威胁销毁或泄露数据来向您施压，但重要的是不要让这影响您的决定。不要表现出任何绝望或紧迫的迹象。始终保持冷静和沉着。
• 不要透露您是否有网络风险保险或网络责任保险 (CLIC)。
• 不要提出预先支付全部赎金。相反，请考虑预先支付一小部分赎金，其余部分在提供解密密钥并且您已成功解密所有数据后支付。
• 考虑以您已经拥有但不太常用或不易追踪的加密货币支付赎金。这会使攻击者更难将赎金转换为实际金钱，并可能使他们更愿意协商较低的金额。
• 考虑主动公开攻击和赎金谈判，以对攻击者施加压力。这可能会使攻击者在未来勒索其他受害者变得更加困难，并可能使他们更愿意协商较低的赎金金额。
• 如果攻击者已经同意协商赎金金额并降低了价格，您可以尝试通过继续协商并提供较低的金额来推动进一步降低。但是，请记住，攻击者可能有一个他们愿意接受的最低金额，并且可能无法推动他们进一步降低价格。

如果攻击者不愿妥协或他们提供的条款不可接受，请准备好退出谈判，即使这会导致您的数据丢失。

如何防止勒索软件攻击

将重点放在预防措施上总是好的，以避免首先成为勒索软件的受害者。以下是这方面的一些提示：

• 实施稳健的网络安全政策，包括定期软件更新和安全软件的使用。
• 教育您的员工了解勒索软件的风险以及如何防范它，例如不要打开附件或点击来自不熟悉来源的链接。
• 注意备份并实施灾难恢复计划，以确保您可以在数据加密时恢复数据。
• 使用强而独特的密码并尽可能使用MFA。
• 考虑购买网络安全保险，以保护您的公司免受勒索软件攻击造成的经济损失。