虽然研究表明，这13个行业的组织都是勒索软件的主要目标，但专家们强调，任何组织（无论规模大小或行业）都不能幸免。

一、如何识别攻击？

由于恶意代码通常隐藏在非法软件中，例如PowerShell脚本、VBScript、Mimikatz和PsExec，因此勒索软件攻击非常难以检测。组织必须结合使用自动化安全工具和恶意软件分析来发现可能导致勒索软件攻击的可疑活动。

以下是三种类型的勒索软件检测技术： 

基于签名的勒索软件，比较从可疑活动收集的样本哈希值与已知签名；

基于行为的勒索软件，检查与历史数据相关的新行为；

使用一个诱饵（如蜜罐）进行欺骗；

勒索软件攻击发生得很快，因此能够快速检测并做出反应是很重要的。

二、如何防止勒索软件攻击？

组织可以通过采取强大的网络安全态势来增强勒索软件防御能力，并限制其造成的损害。圣母大学（University of Notre Dame）IT高级主管概述了防止勒索软件攻击的以下步骤：

维护纵深防御安全计划；

考虑先进的保护技术，如零信任端点检测和响应；

让员工了解社会工程的风险；

定期打补丁；

经常备份关键数据；

不要仅仅依赖于备份；

此外，企业可以实施业务流程，限制甚至消除通过电子邮件进行的交易，以使链接和附件变得更加突兀，更好地引起安全专业人员的注意。

云提供了一种独特的勒索软件保护，因为组织可以将其用于备份和恢复策略。公司可以创建无法从核心企业环境访问的孤立备份，而无需更改基础设施或进行大量的管理认证/授权调整。

三、如何应对勒索软件攻击并从中恢复？

一旦发生勒索软件攻击，组织必须遵循他们在攻击发生前创建和测试的勒索软件事件响应计划。

组织将试图删除勒索软件，但这可能是非常具有挑战性的。安全专家必须确保他们不允许恶意软件进一步渗透到系统中。以下步骤可以帮助组织清除勒索软件：

1. 隔离受感染的设备。

2. 确定勒索软件类型，以实现更有针对性的补救工作。

3. 删除勒索软件，这包括检查它是否被删除，使用反恶意软件或反勒索软件隔离它，向外部安全专业人员寻求帮助，如果需要，手动删除它。

4. 通过恢复攻击发生前的旧版本操作系统来恢复系统。

勒索软件检测和删除工具可以帮助自动化或至少加快恢复时间。他们可以删除设备上的所有恶意软件，以确保它是干净的。此外，这些工具还可以检测威胁、阻止攻击并清除恶意软件残留的痕迹。

投稿请联系：詹明敏18971171244

合作请联系：周睿智15623341831