随后Sodinokibi、DoppelPaymer等多(duō)个勒索软件纷纷效仿。

2020年1月份，Sodinokibi勒索软件团伙直接对外公开知名企业肯尼思·科(kē)尔（Kenneth Cole）的员工和财務(wù)信息的一些信息，声称窃取了70,000多(duō)份包含财務(wù)和工作数据的文(wén)档，以及超过60,000条公司客户记录。Sodinokibi团伙要求支付赎金，并威胁要公开包含完整转储的被盗数据。

2020年2月份，DoppelPaymer勒索软件团伙更是直接建立“Dopple Leaks”网站专门用(yòng)来发布已加密且未支付赎金的受害者被盗文(wén)件，包括PEMEX（墨西哥(gē)國(guó)家石油公司）在内的多(duō)家单位均被发布到网站上。

勒索软件“升级”带来的影响

从黑客的角度看，过去的勒索攻击，并非百分(fēn)百受益。少部分(fēn)受害者可(kě)通过备份数据进行业務(wù)恢复。此外，受害者即使支付赎金也未必能(néng)获得真正的解密密钥，在无法恢复文(wén)件的不确定性中，很(hěn)多(duō)受害者决定不支付赎金。

而加密并窃取数据这种新(xīn)的勒索攻击方式，使得黑客获益的概率更高。一方面，受害者基于数据泄露压力缴纳赎金的概率更高；另一方面，黑客即使收取不到赎金，通过贩卖数据，也能(néng)获得不低的收益。

因此，信服君认為(wèi)，未来主流勒索团伙很(hěn)可(kě)能(néng)选择这种新(xīn)的勒索攻击方式，并且在这一领域持续创新(xīn)，攻击方式和手段将会变得更加复杂。带窃密功能(néng)的勒索攻击将趋于增長(cháng)，并且成為(wèi)未来的流行趋势。

在这种新(xīn)的勒索攻击趋势下，政企事业单位则面临着更大的勒索攻击防范压力。单位一旦被攻击成功，除了勒索导致的经济损失，还面临着机密和敏感文(wén)件被公开导致的业務(wù)经济损失、商(shāng)誉损害、法律诉讼等风险。

防范建议

面对新(xīn)型勒索软件攻击，企业的应对之道无疑是建立更完善的防御能(néng)力，防止攻击者完成整个攻击过程。

因此，信服君建议用(yòng)户采用(yòng)“立體(tǐ)防护”的方法：在网络层面，进行多(duō)层防护措施，在恶意软件传播到系统造成真正损害之前将其阻止。在系统层面，用(yòng)户可(kě)假设恶意软件已经渗透到企业系统的某一层级，然后相应地采取有(yǒu)效措施予以限制其可(kě)能(néng)带来的进阶影响并加快安全响应速度。

1、在网络层面防止恶意软件传播，建议使用(yòng)综合型安全网关，并配置对应的安全策略

（1）限制通过网络的文(wén)件类型；

（2）设置恶意URL过滤，阻止已知為(wèi)恶意的网站；

（3）做好文(wén)件检测，检查某些协议中的内容是否存在恶意软件；

（4）启用(yòng)IPS漏洞防御功能(néng)，截断病毒的漏洞传输通道；

（5）启用(yòng)IPS账号爆破防御，对RDP爆破进行拦截，防止病毒通过账号攻击进入企业网络。

2、在系统层面阻止恶意软件运行

假定恶意软件感染了用(yòng)户的设备，此时应该采取措施防止恶意软件运行。对于每种设备类型和操作系统，所采取的手段也会有(yǒu)所不同，但通常应该使用(yòng)设备级安全功能(néng)，例如：

（1）考虑使用(yòng)防病毒软件，并保持软件為(wèi)最新(xīn)；

（2）在办公套件中禁用(yòng)或者约束宏，例如禁用(yòng)或者限制其它脚本环境（例如PowerShell）、避免使用(yòng)可(kě)移动存储，以保护系统免受恶意Office宏的攻击；

（3）尽快安装安全更新(xīn)，以修复产品中可(kě)被利用(yòng)的漏洞；

（4）如果可(kě)以的话，启动对操作系统、应用(yòng)程序和固件的自动更新(xīn)；

（5）使用(yòng)最新(xīn)版本的操作系统和应用(yòng)程序以利用(yòng)最新(xīn)的安全功能(néng)；

（6）配置基于主机的防火墙和网络防火墙，默认情况下不允许入站连接。