据统计，2020年出现一百余个新的勒索软件，勒索软件攻击事件同比增长了150%以上。2021年勒索软件不断进化，攻击手段更为复杂，全球多个企业深受其害。最近，各地接连发生多起勒索软件攻击事件，侧面也说明了基础设施安全防范的脆弱性，这样看来，数据备份和安全防范显得尤为重要。

云祺为大家总结了今年5月份发生的几起重大勒索软件攻击事件。

1、DarkSide又对日本东芝公司发动攻击

经过一周的斡旋，美国成品油管道运营商Colonial Pipeline宣布恢复运营，代价则是向勒索组织DarkSide支付400万美元的赎金。与此同时，这家骇客组织又盯上了日本东芝公司。据报道，5月14日DarkSide在暗网上发布消息称，已窃取日本东芝公司法国分公司多达740G管理层机密信息和个人资料。东芝表示正在成立一个战略审查委员会调查受到的攻击。

2、CNA被勒索2.57亿元赎金

据报道，美国保险公司巨头CNA遭到勒索软件攻击后，最终向对方支付了4000万美元（约合人民币2.57亿元）的赎金，得以重新获得了对公司网络的控制权。

此次攻击的实施者是一个名为Phoenix的组织，在遭遇Phoenix勒索软件程序后，CNA 15000台设备被加密，网络被强行中断，部分系统无法运行。除了CAN的内部网络之外，Phoenix CryptoLocker还对在攻击过程中连接到公司VPN的远程员工的计算机进行了加密。CNA最初无视Phoenix组织的要求，但因无法自行恢复数据，不久后还是被迫支付了这笔赎金。

3、美国多家医疗机构遭连环勒索

近日，FBI发布安全通告指出，勒索软件团伙Conti试图攻击破坏十多家美国医疗和应急机构的网络。Conti在全球400多个攻击目标中，超过290个位于美国，其中包括市政府、急救911中心等。

Conti勒索软件据悉是由总部位于俄罗斯的网络犯罪组织Wizard Spider所控制。Conti与臭名昭著的勒索软件Ryuk共享部分代码，Ryuk在2020年7月左右活动减少后，Conti开始使用TrickBot分销渠道。根据FBI的说法，Conti赎金要求是针对每家机构量身定制的，赎金要求最高达2500万美元。

4、广东某30强房企遭勒索攻击

广东某30强房企遭受勒索软件的攻击，全集团的网络无法使用，导致全公司无法进行正常办公作业，数天都不得不采取最原始的方式进行沟通和办公。勒索方要求400万美元的赎金，并且只能支持数字货币结算。

正是因为房企的数字化转型，网络系统对于企业的重要性增加，大量的购房信息、数据报表、财务信息存放在网络环境中，被勒索组织盯上的机率也就愈大。

近几年，关键信息基础设施一直是黑客利用勒索软件攻击的重点目标，一旦感染将给企业和用户带来无法估量的损失，具有数据恢复代价大和数据恢复可能性极低的特点。下面是一些关于勒索软件的防护建议，提醒大家警惕勒索软件，做好相关防范工作。

勒索软件传播途径:

（一）网站挂马

用户浏览挂有木马软件的网站，上网终端计算机系统极可能被植入木马并感染上勒索软件。

（二）邮件传播

攻击者在互联网上撒网式发送垃圾邮件、钓鱼邮件，一旦收件人点开带有勒索软件的链接或附件，勒索软件就会在计算机后台静默运行，实施勒索。

（三）漏洞传播

通过计算机操作系统和应用软件的漏洞攻击并植入软件。2017年在国内泛滥的WannaCry大规模勒索事件，正是利用微软445端口协议漏洞，进行感染传播网内计算机。

（四）捆绑传播

攻击者将勒索软件与其他软件尤其是盗版软件、非法破解软件、激活工具等进行捆绑，从而诱导用户点击下载安装，并随着宿主文件的捆绑安装进而感染用户的计算机系统。

（五）介质传播

攻击者通过提前植入或通过交叉使用感染等方式将携有勒索软件的U盘、光盘等介质进行勒索软件的移动式传播，勒索软件随着其自动运行或用户点击运行导致计算机被感染。

防护建议：

（一）定期做好重要数据、文件的异地/异机容灾备份工作，重要系统应采取双活容灾备份；

（二）采取必要措施加强计算机系统安全防护，定期开展漏洞扫描和风险评估；

（三）及时更新升级系统和应用，修复存在的中高危漏洞；

（四）安装主流杀毒软件并及时升级软件库，定期进行全面软件扫描查杀；

（五）在系统中禁用U盘、移动硬盘、光盘的自动运行功能，不要使用/打开来路不明的U盘、光盘、电子邮件、网址链接、文件；

（六）在电脑及服务器等终端上关闭445、135、137、138、139、3389、5900等端口；

（七）避免使用弱口令，为每台服务器和终端设置不同口令，且采用大小写字母、数字、特殊字符混合的高复杂度组合结构；

（八）不要在网上下载安装盗版软件、非法破解软件以及激活工具；

（九）关闭不必要的文件共享权限；

（十）尽量避免直接对外网映射RDP服务及使用默认端口。

今年是勒索软件频发的一年，社会数字化转型的同时也需考虑数据安全，云祺在此也提醒广大用户，重视数据安全工作，建立高效的容灾备份解决方案，才是应对勒索软件的最优解决方案。

云祺针对勒索软件的的应对措施:

1、从源头防范勒索软件

自动检查文件的合法性，当文件类型被修改或文件被加密时能够及时发现，不会同步变化数据到备份服务器，从而有效防止勒索软件再入侵。

2、实时备份，RPO=0

云祺容灾备份系统支持实时备份，实时监控每一次 IO 变化，并通过增量方式记录变化数据，无备份时间窗口，真正实现数据零丢失，备份恢复至被勒索软件感染的前一刻，最小备份恢复力度可达毫秒级。

3、异地灾备，本地异地双重保护

云祺容灾备份解决方案可帮助用户建设异地容灾系统，异地备份系统与生产环境相互隔离，副本任务独立，且不会对主备份产成影响。即使本地业务系统因勒索软件导致业务暂时中断，也可在异地拉起业务，实现业务接管。

4、归档上云，数据第三重保护

云祺支持将用户重要备份数据本地归档或者云归档，有效地管理数据，实现数据的长期保存。发生意外后，可通过归档的数据恢复至容灾端实现数据恢复。多种数据备份方式供用户选择最合适的解决方案。

云祺针对勒索软件防御功能预览

云祺将在今年发布云祺容灾备份系统最新版本,创新性的加入备份数据保护功能,可以有效的防止勒索软件篡改数据。

云祺通过特有的Vinchin Encrypted backups技术，全周期全方位对备份数据进行监控和保护，当有勒索软件或恶意软件尝试修改备份数据时，将被直接拒绝访问，从而有效保护备份数据。

云祺备份数据保护功能可以有效抵御恶意攻击，为用户数据安全再添保障，云祺容灾备份系统最新版本将于今年上线，敬请期待吧！