毁了一家中小企业，让300多人失业，我们如何应对勒索软件攻击？

对The Heritage公司的300多名员工而言，最近过得很糟糕。

鉴于服务器受勒索软件攻击且事后的IT恢复工作并不顺利，The Heritage公司被迫关门，超过300名员工瞬间失业。公司最终通知员工，让他们去找一份新工作。

事件回顾

The Heritage是一家电话销售公司，有61年的历史，总部位于美国阿肯色州，并在Sherwood、Jonesboro和Searcy三地设有分支机构。

就在2019年圣诞节前几天，The Heritage公司CEO Sandra Franecke发了一封内部公开信。

“很不幸，大约2个月前，公司服务器遭到黑客攻击。黑客通过恶意软件加密公司系统文件，索要赎金。我们试图支付赎金来获取解密‘钥匙’，让系统恢复运行起来。”公司CEO Sandra Franecke在公开信中写道。

然而，攻击后，最初一周开展的数据恢复工作并未按照计划进行，因此公司未能在圣诞节前夕恢复全部服务。

Sandra Franecke表示，“会计工作中断，我们无法处理资金。因为我们不能将报表发出去，邮件中心关闭，这意味着没有资金可以流入。”

由于这次勒索软件攻击，公司损失“数十万美元”，并被迫“重组公司的不同部门”。

鉴于IT系统恢复工作进展缓慢，公司领导层决定暂停所有服务，这意味着超过300名员工将要失业。

有员工告诉当地媒体，他们甚至压根不知道公司遭遇勒索软件攻击，并且裁员很意外，这让许多人措手不及。

不过，Sandra Franecke称公司为员工保留工作岗位，并通知员工2020年1月2日向公司打电话可以获知最新消息。

1月2日，有员工向公司致电，他们得到回复，IT系统的恢复工作尚未成功，用户可以去找新工作了。

这条消息说，“尽管我们取得一些进展，但仍有许多工作要做。考虑到这一点，我们不会阻止你寻找新工作。请照顾好自己，祝您和您的亲人新年快乐。“

有员工表示，他们对公司从勒索软件中恢复过来已经失去信心。

中小企业成勒索软件攻击新的重点

对于这件事，ZDNet媒体评论道，“发生在The Heritage公司身上的事并非孤立事件。在过去两年中，因缺少支付恢复数据的赎金，或缺少重建IT基础架构所需的资金，许多中小公司被迫关门。”

例如，2019年4月，因遭遇勒索软件攻击，电子病历系统被破坏，美国密歇根州一家医疗诊所的医生决定永久停业，并提前一年退休。

同样，位于加州的另一家医疗办公室遭遇勒索软件攻击，患者个人医疗信息被加密，且缺乏资金用来支付赎金，因此关门。

据启明星辰安全研究中心总监陈亘介绍，2014年左右，勒索软件攻击开始进入人们的视野。它主要通过一些简单的钓鱼邮件传播，主要针对个人用户，并且是广泛的无目的的攻击活动。随着2017年WannaCry借高危漏洞的大规模传播，勒索病毒被人们广泛熟知。

“但后来黑客发现，真正中勒索病毒后支付赎金的人往往是极少数，大部分人都是一格了之。大规模投递的低回报率反倒增加了攻击者的成本。因此，WannaCry事件之后，攻击者逐渐转向攻击那些防御措施有限，但被勒索后会造成重大影响而不得不支付赎金才能恢复业务的定向目标，中小企业则成为这些攻击者的重点。”他表示。

有统计显示，虽然2019年勒索软件整体攻击下降20%，但针对中小企业的攻击却增加了12%。在陈亘看来，一方面由于中小企业在网络安全投入上往往不如大型企业，对网络安全事件存在侥幸心理。“没有专业的网络安全运营人员，甚至使用IT网管充当所谓的安全人员，以为网络安全仅仅是杀杀毒、打打补丁就可以达到要求。他说。

其次，中小企业的IT系统往往采用外包模式，安全架构单一，相对容易被攻破，相较于拥有较为完善网络安全抵御系统或先进防范意识的大型企业，针对中小企业攻击对黑客来说往往“事半功倍”。

另外，中小企业的信息资产对于自身来讲多属于核心资产，一旦遭到破坏会造成不可挽回的损失，轻则业务停滞，重则面临倒闭的风险，因此针对中小企业的攻击成功后，企业一般都不得不支付赎金以达到恢复生产的目的。

有公开资料显示，勒索软件攻击的成本仅在一年内就超过 10 亿美元，而且勒索软件攻击数量还在持续增加。

当我们遭遇勒索软件攻击时，黑客一般会索要赎金，因此交不交钱成为一个关键问题。是否交赎金，每个企业要根据自己情况具体分析。

但是，我们可以从下表中看到交赎金与不交赎金的优劣势：

防范勒索软件攻击的“3+9”建议

那么，企业应该如何防范勒索软件攻击，陈亘给出三条建议：

1.针对网络安全加大投入，购买专业安全公司的安全产品和安全服务，对企业网络进行全面加固；

2.加强企业工作人员的安全防护意识，适时进行网络安全攻防演习，将网络安全相关考核成绩纳入部门重要考核之一；

3.企业重要IT系统上云，并购买专业云厂商的专业安全防护服务。同时对企业重要核心资产进行备份，防止因为被勒索导致企业生产停滞。

如果是个人消费者，有以下几条建议供参考：

1、及时给电脑打补丁，修复漏洞；

2、谨慎打开来历不明的邮件，点击其中链接或下载附件，防止网络挂马和邮件附件攻击；

3、尽量不要点击 office 宏运行提示，避免来自 office 组件的病毒感染；

4、需要的软件从正规（官网）途径下载，不要用双击方式打开.js、.vbs、.bat 等后缀名的脚本文件；

5、升级防病毒软件到最新的防病毒库，阻止已知病毒样本的攻击；

6、开启 Windows Update 自动更新设置，定期对系统进行升级；

7、养成良好的备份习惯，对重要数据文件定期进行非本地备份，及时使用网盘或移动硬盘备份个人重要文件；

8、更改账户密码，设置强密码，避免使用统一的密码，因为统一的密码会导致一台被攻破，多台遭殃，黑客会通过相同的弱密码攻击其它主机；

9、如果业务上无需使用 RDP 的，建议关闭 RDP，以防被黑客 RDP 爆破攻击