2024 年 2 月,美国最大医疗支付处理商 Change Healthcare 遭 ALPHV/BlackCat 勒索软件攻击,导致全美数千家医院和药局的保险理赔系统中断长达数周,最终支付 2200 万美元赎金。2025 年,勒索软件攻击的目标从大型企业扩展到中小企业、学校和个人,每次攻击平均中断业务 21 天。了解勒索软件的原理和防护方法,比以往任何时候都更重要。
一、勒索软件是如何运作的?
勒索软件的核心技术是对称加密(通常是 AES-256)与非对称加密(RSA)的组合:
- 渗透系统:通过钓鱼邮件、漏洞利用、RDP 暴力破解或受感染的软件进入系统
- 横向移动:在网络中扩散,尝试感染更多设备(特别是备份服务器)
- 加密阶段:
- 在本地端生成一个随机的 AES-256 对称密钥
- 用此 AES 密钥加密受害者所有的目标文件(速度快)
- 再用攻击者的 RSA 公钥加密那把 AES 密钥
- 攻击者的 RSA 私钥只存在于攻击者手上,受害者无法取得
- 勒索阶段:显示勒索通知,要求以 Monero 或 Bitcoin 支付赎金换取 RSA 私钥
- 双重勒索(现代变体):在加密前先窃取数据,威胁若不付款就公开敏感信息
了解 AES 加密原理:AES 加密工具让你直接体验 AES 加密与解密——输入文字和密钥,了解为什么没有正确密钥就无法还原加密内容,这正是勒索软件让受害者束手无策的根本原因。
二、2024–2026 年重大勒索软件事件
Change Healthcare 攻击(2024 年 2 月)
ALPHV/BlackCat 集团攻击 UnitedHealth 旗下的医疗支付处理商,造成全美医疗系统支付中断。母公司最终支付 2200 万美元赎金,却仍未取得所有数据,事后又遭另一个勒索集团二次勒索。
英国医院 NHS 攻击(2024 年 6 月)
Qilin 勒索集团攻击英国 NHS 合作厂商 Synnovis,导致伦敦多家医院取消逾 3000 台手术和门诊,重要病人资料外泄。NHS 拒绝支付 5000 万美元赎金。
三、3-2-1 备份法则:最有效的防护手段
- 3:保留至少 3 份数据副本(1 份原始 + 2 份备份)
- 2:储存在至少 2 种不同的媒体
- 1:至少 1 份备份放在异地或离线(不连接网络)
现代勒索软件在加密前会主动扫描并删除网络上的备份。离线备份(Air-gapped Backup)是唯一能免疫勒索软件的备份方式。建议定期测试还原流程,并计算备份文件的 Checksum 验证完整性。
验证备份完整性:Checksum 工具可在浏览器本地计算任何文件的 MD5、SHA-256 等哈希值,适合定期验证重要备份文件是否完好未被篡改。
四、常见入侵渠道
| 入侵渠道 | 比例(约) | 典型情境 |
|---|---|---|
| 钓鱼邮件 | ~40% | 恶意附件(Office 宏、PDF)或钓鱼链接 |
| 远程桌面(RDP) | ~25% | RDP 暴露在公开网络且密码薄弱 |
| 软件漏洞 | ~15% | 未修补的 VPN、防火墙或应用程序漏洞 |
| 供应链攻击 | ~10% | 受感染的第三方软件更新 |
| 凭证窃取 | ~10% | 使用暗网购得的账号密码登录企业系统 |
账号安全:密码生成器可在浏览器本地生成高强度随机密码,搭配密码管理器为每个系统设置独立强密码,大幅降低凭证窃取导致的入侵风险。
五、遭受攻击后的应对步骤
- 立即隔离感染主机:拔除网线或禁用 Wi-Fi,防止继续横向扩散
- 保留现场:不要立即格式化,保留加密前的磁盘映像可能有助于未来解密
- 确认勒索软件种类:前往 nomoreransom.org 查询是否有可用的免费解密工具
- 评估备份:确认离线备份是否完好
- 谨慎考虑付款:支付赎金不保证取得有效解密密钥
总结
- 勒索软件用 AES-256 加密文件,再用攻击者持有的 RSA 密钥加密 AES 密钥,没有正确私钥几乎无法解密
- 钓鱼邮件和 RDP 暴力破解是最常见的入侵渠道
- 3-2-1 备份法则是最有效的防护手段,其中"离线备份"最为关键
- 遭攻击时优先隔离、查询免费解密工具(nomoreransom.org),再评估是否还原备份
- No More Ransom 计划已协助全球超过 160 万人免费解密,节省逾 30 亿美元赎金