在本週的RSA 2020會議上，FBI特別探員Joel DeCapua分享了關於勒索軟件相關的話題。FBI通過私人分享或者VirusTotal等渠道收集比特幣錢包和贖金記錄，來統計近六年來受害者支付了多少贖金。

據DeCapua的數據，在2013年1月10日至2019年7月11日期間，大約有價值144350000萬美元的比特幣支付給了勒索軟件攻擊者，這損失並不包括與攻擊相關的運營成本，而是純粹的贖金支付。

通過分析獲得贖金的勒索軟件家族，Ryuk以總計6126萬美元的贖金收入脫穎而出。排在第二位的是Crosis/Dharma，收入爲2448萬美元，其次爲Bitpaymer，收入爲804萬美元。

需要注意的是，全球範圍內在過去六年裏，因勒索攻擊造成的實際支付贖金必定遠超FBI所統計的數字，因爲有大量贖金記錄和加密貨幣錢包是無法獲取到的。其次，很多公司對勒索攻擊事件實行嚴格保密，以防影響股價。

Joel DeCapua在RSA 2020 演講實錄

FBI提供勒索軟件防禦技巧

在DeCapua的分享中，還提供了一些關於企業如何抵禦勒索軟件攻擊的建議。

1.RDP佔網絡入侵的70%-80%

DeCapua 指出，Windows 遠程桌面協議 （RDP） 是攻擊者在部署勒索軟件之前訪問網絡的最常見方法。有70%-80%的勒索軟件都是以RDP作爲最初的立足點。

因此，如果企業中使用RDP，建議使用網絡級身份驗證 （NLA），要求客戶端在實際連接到遠程桌面服務器之前通過網絡進行身份驗證，這樣能夠有效提升安全性，與此同時，還需要對RDP帳戶使用唯一且複雜的密碼。

有條件的話，可以將所有 RDP 服務放在 VPN 之後，以便它們不能在互聯網上公開訪問。

2. 小心網絡釣魚攻擊

DeCapua 特別提到，除了通過RDP網入侵之外，勒索軟件多會利用網絡釣魚或者是遠程代碼執行漏洞。

所有用戶都必須警惕帶有附件的陌生郵件，要求您啓用內容或啓用編輯，在與 IT 人員或系統管理員溝通之前之前，就不要輕易授權。

網絡釣魚越來越難被發現，而且越來越複雜，尤其是現在攻擊者試圖黑掉同事的帳戶，並利用他們來釣魚其他員工。

因此，對於任何帶有附件的電子郵件，請始終保持警惕，如果您不能100%確定它們是否安全，請在打開之前通過電話聯繫發件人或與系統管理員聯繫。

3. 保持軟件和操作系統的及時更新

每月的第二個星期二，微軟都會發布其軟件和 Windows 的安全更新，在更新發布後不久就披露POC漏洞利用是非常常見的，這對管理員和研究人員很有用，但也可供攻擊者用於攻擊。

因此，儘快安裝這些更新非常重要，尤其是面向公衆的服務（如 RDP、Exchange 等）。

4. 使用複雜密碼

每個人都知道需要使用不同的複雜密碼，來保證每個登錄賬戶的唯一性。可惜，並不是所有人都嚴格聽從這個建議，依然會在每個網站上使用相同的密碼。

這意味着如果其中一個站點遭到黑客攻擊，您暴露的憑據可能會被用於其他站點的憑據填充攻擊，甚至可能用於網絡登錄。

建議使用密碼管理器來管理複雜的密碼，可以有效提升每個賬戶的安全性。

5. 監控您的網絡

DeCapua表示，企業中難免會有人遭受網絡釣魚、黑客攻擊或者其他形式的網絡入侵，因此始終監控網絡中的可疑活動非常重要。

DeCapua 說：“你無法阻止入侵，但當攻擊者橫向移動並試圖提升他們的權限時，行爲就會變得很明顯。”

企業需要藉助網絡監控工具和入侵檢測系統，以檢測網絡中的可疑活動和流量。

6. 制定應急計劃和備份

如果事故已經發生，那麼你最好需要有一個良好的應急計劃和備份。

無論您多麼努力地保護您的計算機和網絡，總會有人點擊錯誤的東西，或者服務器以某種方式暴露。

因此，請始終確保每晚都有經過測試且可以正常使用的文件版本控制備份例程，包括無法通過雲端訪問的離線備份。

一般的勒索軟件攻擊者也會針對性破壞受害者基於雲的備份服務，並在加密之前刪除所有備份。因此，保留不能被入侵者擦除的脫機備份非常重要。

*參考來源： BleepingComputer ，轉載請註明來自FreeBuf.COM

相關文章