经常问的问题

勒索软件是恶意软件，通常通过加密关键数据来禁用对受害者系统的访问或所有受害者系统的访问。勒索软件是通过几种方法分发的。其中包括电子邮件网络钓鱼，恶意广告和利用套件。通常，攻击者要求赎金以换取解密密钥，以恢复受害者的数据和/或系统。最近，勒索软件攻击有医疗保健和公共卫生部门的增加为了经济利益。一个联邦调查局公告提供了更详细的勒索软件概述。

任何存储在其计算机或网络上的重要数据的个人或组织都可以成为勒索软件的受害者。我们已经看到了对许多私人企业以及联邦，州和地方政府机构的攻击。勒索软件攻击的潜在影响可能在该国农村或服务不足的地区尤其急剧，在该地区，单个医疗保健组织的丧失能力可能会产生更大的后果。

因为攻击者经常使用矛盾的钓鱼- 假装来自受信任的来源的针对性电子邮件 - 作为获得网络的访问手段，个人用户，员工或承包商需要对可疑的消息保持警惕。

勒索软件事件可能会严重影响业务流程，并使组织没有数据或IT资源来操作和提供关键任务服务。对于需要24/7全天候运营能力的医疗保健提供者而言，这可能特别关注。赎金需求的货币价值增加了​​，一些需求超过100万美元。勒索软件事件在自然界和范围内也变得更具破坏性和影响力。在整个最初的破坏过程中，勒索软件事件的经济和声誉影响有时也证明了对大小组织的挑战。

勒索软件攻击的影响可能包括：

• 暂时的，可能是永久的，敏感或关键数据的丢失。（没有保证，如果勒索软件运营商收到付款，则可以恢复文件。）
• 对组织提供患者护理的能力的严重破坏（长时间使患者拒之门外。）
• 对关键患者服务的严重破坏。
• 完全关闭组织的运营。
• 与补救工作相关的财务损失。
• 损害您组织的声誉。

有几种方式发生勒索软件攻击。最常见的之一是通过网络钓鱼活动，其中电子邮件中的附件或链接在受害者的收件箱中伪装成伪装的东西，因为他们应该信任的东西。一旦下载并打开，恶意软件就可以接管受害者的计算机。勒索软件可以传播以感染网络中的多台计算机，从而在整个受害者的组织中造成损坏。

一旦感染了受害者的计算机，勒索软件可能会采取几种操作。但是，到目前为止，最常见的结果是对某些或所有用户的文件进行加密，使其无法使用。

恶意行为者可以得到试图对关键基础设施造成伤害的民族国家或试图丰富自己的网络犯罪分子的支持。网络犯罪分子可以是孤独的狼演员或有组织犯罪集团的一部分。

正确响应事件需要在攻击实际发生之前进行预先计划。以下是最常见的步骤，但是您的组织应该制定一个经过深思熟虑的响应计划，涉及您组织中可能受到影响的所有主要利益相关者。该站点包括许多响应工具和资源。

• 识别受感染的系统及其在组织运营中的作用。
• 评估是否可以安全地从网络中删除感染系统，以防止进一步传播。
• 确定受影响的数据是否包括敏感数据，例如电子保护的健康信息（EPHI），可能需要其他报告。
• 如有必要，实施备份程序以继续操作。
• 勒索软件的补救感染系统 - 可信赖媒体的重建系统以及从安全且安全备份中恢复数据可能是最安全的路径。
• 如果法律和/或法规的要求或您的组织认为适当的情况，请向相关当局报告感染。还考虑涉及事件响应公司和/或行业威胁情报共享组。

没有确定的方法，因此准备和提前计划至关重要。

• 定期备份所有关键数据，并保留多个敏感或专有数据的副本。这些备份应安全地与普通系统安全地隔离，并防止非法访问。强烈建议将当前的备份副本放在现场。定期测试备份恢复，以确保在紧急情况下可以成功恢复保存的数据。
• 定期准备和测试一种替代手段，可以在没有正常计算机和/或网络的日常操作的情况下操作关键流程。
• 创建并实施适当的事件响应和恢复计划，以准备勒索软件攻击。
• 实施用户意识和培训。因为最终用户通常是主要目标，请提高员工和利益相关者对勒索软件和网络钓鱼威胁的认识。
• 修补操作系统，软件和固件后，一旦制造商尽快发布安全更新，同时仍遵循组织安装前进行测试的政策和程序。
• 设置防病毒软件和防默软件解决方案以自动更新。

许多相同的步骤适用于医疗设备。但是，操作员对这些系统的访问可能存在限制。有关更多详细信息，请在MITER Medical Decection网络安全中查看和实施这些步骤，如适用：区域事件准备和响应剧本。另请参阅NIST医疗保健部门网络安全网站。