對 The Heritage 公司的 300 多名員工而言，最近過得很糟糕。

鑒於伺服器受勒索軟體攻擊且事後的 IT 恢復工作並不順利，The Heritage 公司被迫關門，超過 300 名員工瞬間失業。公司最終通知員工，讓他們去找一份新工作。

事件回顧

The Heritage 是一家電話銷售公司，有 61 年的歷史，總部位於美國阿肯色州，並在 Sherwood、Jonesboro 和 Searcy 三地設有分支機構。

就在 2019 年聖誕節前幾天，The Heritage 公司 CEO Sandra Franecke 發了一封內部公開信。

「很不幸，大約 2 個月前，公司伺服器遭到黑客攻擊。黑客通過惡意軟體加密公司系統文件，索要贖金。我們試圖支付贖金來獲取解密『鑰匙』，讓系統恢復運行起來。」公司 CEO Sandra Franecke 在公開信中寫道。

然而，攻擊後，最初一周開展的數據恢復工作並未按照計劃進行，因此公司未能在聖誕節前夕恢復全部服務。

Sandra Franecke 表示，「會計工作中斷，我們無法處理資金。因為我們不能將報表發出去，郵件中心關閉，這意味著沒有資金可以流入。」

由於這次勒索軟體攻擊，公司損失「數十萬美元」，並被迫「重組公司的不同部門」。

鑒於 IT 系統恢復工作進展緩慢，公司領導層決定暫停所有服務，這意味著超過 300 名員工將要失業。

有員工告訴當地媒體，他們甚至壓根不知道公司遭遇勒索軟體攻擊，並且裁員很意外，這讓許多人措手不及。

不過，Sandra Franecke 稱公司為員工保留工作崗位，並通知員工 2020 年 1 月 2 日向公司打電話可以獲知最新消息。

1 月 2 日，有員工向公司致電，他們得到回覆，IT 系統的恢復工作尚未成功，員工可以去找新工作了。

這條消息說，「儘管我們取得一些進展，但仍有許多工作要做。考慮到這一點，我們不會阻止你尋找新工作。請照顧好自己，祝您和您的親人新年快樂。「

有員工表示，他們對公司從勒索軟體中恢復過來已經失去信心。

中小企業成勒索軟體攻擊新的重點

對於這件事，ZDNet 媒體評論道，「發生在 The Heritage 公司身上的事並非孤立事件。在過去兩年中，因缺少支付恢複數據的贖金，或缺少重建 IT 基礎架構所需的資金，許多中小公司被迫關門。」

例如，2019 年 4 月，因遭遇勒索軟體攻擊，電子病歷系統被破壞，美國密西根州一家醫療診所的醫生決定永久停業，並提前一年退休。

同樣，位於加州的另一家醫療辦公室遭遇勒索軟體攻擊，患者個人醫療信息被加密，且缺乏資金用來支付贖金，因此關門。

據啟明星辰安全研究中心總監陳亘介紹，2014 年左右，勒索軟體攻擊開始進入人們的視野。它主要通過一些簡單的釣魚郵件傳播，主要針對個人用戶，並且是廣泛的無目的的攻擊活動。隨著 2017 年 WannaCry 借高危漏洞的大規模傳播，勒索病毒被人們廣泛熟知。

「但後來黑客發現，真正中勒索病毒後支付贖金的人往往是極少數，大部分人都是一格了之。大規模投遞的低回報率反倒增加了攻擊者的成本。因此，WannaCry 事件之後，攻擊者逐漸轉向攻擊那些防禦措施有限，但被勒索後會造成重大影響而不得不支付贖金才能恢復業務的定向目標，中小企業則成為這些攻擊者的重點。」他表示。

有統計顯示，雖然 2019 年勒索軟體整體攻擊下降 20%，但針對中小企業的攻擊卻增加了 12%。在陳亘看來，一方面由於中小企業在網絡安全投入上往往不如大型企業，對網絡安全事件存在僥倖心理。「沒有專業的網絡安全運營人員，甚至使用 IT 網管充當所謂的安全人員，以為網絡安全僅僅是殺殺毒、打打補丁就可以達到要求。他說。

其次，中小企業的 IT 系統往往採用外包模式，安全架構單一，相對容易被攻破，相較於擁有較為完善網絡安全抵禦系統或先進防範意識的大型企業，針對中小企業攻擊對黑客來說往往「事半功倍」。

另外，中小企業的信息資產對於自身來講多屬於核心資產，一旦遭到破壞會造成不可挽回的損失，輕則業務停滯，重則面臨倒閉的風險，因此針對中小企業的攻擊成功後，企業一般都不得不支付贖金以達到恢復生產的目的。

有公開資料顯示，勒索軟體攻擊的成本僅在一年內就超過 10 億美元，而且勒索軟體攻擊數量還在持續增加。

當我們遭遇勒索軟體攻擊時，黑客一般會索要贖金，因此交不交錢成為一個關鍵問題。是否交贖金，每個企業要根據自己情況具體分析。

但是，我們可以從下表中看到交贖金與不交贖金的優劣勢：

防範勒索軟體攻擊的「3+9」建議

那麼，企業應該如何防範勒索軟體攻擊，陳亘給出三條建議：

• 針對網絡安全加大投入，購買專業安全公司的安全產品和安全服務，對企業網絡進行全面加固；
• 加強企業工作人員的安全防護意識，適時進行網絡安全攻防演習，將網絡安全相關考核成績納入部門重要考核之一；
• 企業重要 IT 系統上雲，併購買專業雲廠商的專業安全防護服務。同時對企業重要核心資產進行備份，防止因為被勒索導致企業生產停滯。

如果是個人消費者，有以下幾條建議供參考：

1、及時給電腦打補丁，修復漏洞；

2、謹慎打開來歷不明的郵件，點擊其中連結或下載附件，防止網絡掛馬和郵件附件攻擊；

3、儘量不要點擊 office 宏運行提示，避免來自 office 組件的病毒感染；

4、需要的軟體從正規（官網）途徑下載，不要用雙擊方式打開.js、.vbs、.bat 等後綴名的腳本文件；

5、升級防病毒軟體到最新的防病毒庫，阻止已知病毒樣本的攻擊；

6、開啟 Windows Update 自動更新設置，定期對系統進行升級；

7、養成良好的備份習慣，對重要數據文件定期進行非本地備份，及時使用網盤或移動硬碟備份個人重要文件；

8、更改帳戶密碼，設置強密碼，避免使用統一的密碼，因為統一的密碼會導致一台被攻破，多台遭殃，黑客會通過相同的弱密碼攻擊其它主機；

9、如果業務上無需使用 RDP 的，建議關閉 RDP，以防被黑客 RDP 爆破攻擊。

關注我並轉發此篇文章，私信我「領取資料」，即可免費獲得InfoQ價值4999元迷你書！