这不是演习。

在全世界范围内最多的勒索软件攻击在短短4天内袭击了150个国家/地区的500,000台计算机之后,全世界的公司和执法机构都陷入了混乱。勒索软件(称为WannaCry,WCry,WannaCrypt或WannaDecryptor)感染易受攻击的计算机并加密所有数据。然后,计算机的所有者或用户面对一个不祥的屏幕,显示一个倒数计时器,并要求在所有者重新获得对加密数据的访问之前,以比特币支付300美元的赎金。直到倒计时结束,文件被永久销毁后,要求的价格会随着时间增加。迄今为止,据报道,公司支付的赎金总额不到60,000美元,这表明公司选择让其文件被销毁,而是依靠备份而不是向攻击者付款。然而,企业的总破坏成本预计将在数亿至数十亿美元之间。

去年秋天,我们警告客户勒索软件–一种新型的网络攻击形式–对于网络安全和事件恢复将需要不同的方法。由于WannaCry攻击的规模和传播速度是史无前例的,因此该警告的紧迫性已经明确。尽管到目前为止,北美的实体遭受的损害最小,而且上周事件中涉及的特定勒索软件变体已被基本消除,但即使对恶意软件代码进行很小的更改也可以将其重新激活并迅速部署一系列新的攻击。我们再次敦促我们的客户积极准备,咨询网络安全专家并制定全面的网络事件响应计划,以考虑各种可能的攻击

什么是勒索软件?

勒索软件是一种恶意软件,它可以禁用系统或对数据,关键系统文件和应用程序进行加密,并需要付费才能重新启用或解锁它们。有两种勒索软件:“ Locker”,使数据保持不变,但阻止所有者在其设备上访问它。和“加密勒索软件”,使用户可以访问其计算机,但可以加密其文件和应用程序;一旦支付了赎金,黑客就会发送解密密钥。

勒索软件如何进入公司的系统?

勒索软件可以通过多种方式下载:通过“网络钓鱼”计划,诱使员工单击有害链接或下载有害文件;通过下载受感染的应用程序;或通过主流网站上的被盗广告(称为“恶意广告”)。黑客在使用各种各样的手段将勒索软件引入计算机和移动设备时变得越来越老练和富于创造力。

与典型的勒索软件不同,没有证据表明WannaCry是通过网络钓鱼方案,垃圾邮件活动或通过受到破坏的广告进行分发的。取而代之的是,WannaCry通过自我传播的蠕虫传播,这种攻击是十多年前流行的,但此后很少见。

WannaCry攻击如何传播?

WannaCry勒索软件利用Windows操作系统中的一个漏洞。计算机网络特别容易受到攻击,因为勒索软件通过PC使用的标准文件共享技术进行传播。微软在三月份发布了针对当前受支持的操作系统的漏洞补丁程序,而不受支持的Microsoft Windows操作系统(包括在许多受到WannaCry攻击最严重打击的外国中广泛发现的Windows XP)仍然处于危险之中。此后,Microsoft已为其不受支持的系统发布了免费补丁。

如何保护我的公司免受勒索软件攻击?

  • 无论您使用哪种操作系统,都应安装所有可用的安全更新和补丁程序。 立即.
  • 如果运行的操作系统不受支持,请停止!立即将所有计算机升级到支持的系统。
  • 切勿在系统上运行未经许可的软件,因为它不会收到必要的补丁或自动更新。
  • 备份所有关键的应用程序和数据–并测试备份系统,以确保在受到攻击之前可以将其还原并正常工作。确保备份未连接到要备份的计算机和网络。
  • 确保将防病毒和防恶意软件解决方案设置为自动执行常规扫描。
  • 确保您的系统包括健壮的防火墙以及入侵检测/防御系统,这些系统是最新的并且能够接收更新和补丁。
  • 无论传输途中还是固定时,都应尽可能对数据进行加密。虽然加密不会阻止勒索软件攻击,但如果攻击者选择导出数据或试图将其用于经济利益,它将保护您的数据。
  • 限制对敏感文件的访问,并确保人员只能访问执行其工作所需的数据。
  • 确保所有员工都知道威胁和攻击方法,并遵守健全的网络安全政策:
    • 训练–并提醒—您的员工有关“网络钓鱼”攻击的危险以及如何报告任何未遂攻击的信息
    • 确保员工验证任何链接和附件的发件人的身份
  • 在公司系统以外的其他地方保存一份应急计划的副本,包括主要联系人的电话号码。

如果我的公司遭受勒索软件攻击该怎么办?

让您的外部律师参与进来,以便您的决策过程和任何调查的方向都可以受到律师-客户特权的保护。然后,您有几种选择:

  1. 支付赎金。 FBI不支持向对手支付赎金,特别是因为最终无法保证将恢复系统访问权限。
  2. 如果您有备份和冗余,则可以在不支付赎金的情况下还原系统。
  3. 致电安全/法务公司,以获取有关释放系统的帮助;
  4. 提醒当地联邦调查局外地办事处报告事件并寻求帮助。

如果我选择支付赎金,如何以及在哪里获得比特币?多久时间?

未经IT部门的帮助,请勿遵循勒索软件建议的链接,因为它们可能导致软件进一步破坏您的计算机和文件。在大多数情况下,勒索软件将要求通过比特币付款,因为无法逆转通过比特币进行的付款,并且因为即使不是不可能,任何人都很难识别接收者。如果您的律师事务所有应对勒索软件的经验,那么您的律师事务所可以在购买和发送比特币的物流方面为您提供帮助。

您将需要在信誉良好的比特币交易所开户并购买足够的比特币。交换公司将需要您将您的银行帐户与提供给您的比特币钱包相关联,以便您可以将ACH进行美元转账。交易公司需要识别您是否遵守其反洗钱和了解客户(AML / KYC)的合规程序。公司需要多少信息以及需要多长时间取决于您需要购买的比特币数量,以及交易所的入场速度。在启动ACH付款后,交换公司通常需要两到三天的时间才能将发送的美元兑换成比特币。比特币进入与您的帐户关联的比特币钱包后,您几乎可以立即将其发送到世界任何地方的任何其他钱包。如果您不小心将其发送到勒索软件犯罪者以外的其他地址,则将无法撤消或恢复比特币。

我的网络保险会覆盖勒索软件攻击吗?

通常,与勒索软件攻击相关的最大费用来自运营损失。尽管迄今为止,赎金金额通常低于大多数保单的保留阈值,但网络保险可能会解决业务中断的问题。同样,勒索软件进入您的系统的载体也可能会影响您的网络保险处理攻击的方式。在依赖或依靠其网络保险之前,公司应清楚地了解明确涵盖或排除了哪些类型的事件。

请记住,WannaCry攻击的副作用可能还远远没有结束。公司必须保持警惕,时刻注意社交工程计划(例如,某人声称自微软发起业务的公司,如果可以访问其服务器,则提供支持)以及其他攻击者创建并用于利用WannaCry攻击的变种勒索软件分别和独立。

如有任何疑问,请联系 劳拉·耶尔(Laura Jehl)。

有用的网址:
Microsoft更新目录
FBI勒索软件讲义
情况说明:勒索软件和HIPPA