020 年似乎是不太平静的一年，不仅有新冠病毒肆虐全球，勒索病毒的攻击也屡见不鲜。继七月底Garmin 惊爆遭到勒索软件入侵，全球线上服务断线四天后，又一旅游巨头再传遭骇。

这家遭骇的公司是嘉信力旅游公司（Carlson Wagonlit，以下称CWT），是全美前五大的旅游公司，年净利润高达了1.5亿美元。据《路透社》报导，流出的对话纪录，CWT已经向骇客支付450万美元等值比特币的赎金。

骇客使用了Ragnar Locker的勒索软件。就像其他的勒索软件一样，这种病毒会藏匿在用户下载的档案中，并将文件加密。受害者唯一能解锁的方式就是和骇客妥协，支付赎金。

据悉，CWT 一共有2TB 的资料被加密，包括员工文件、财务数据等等。骇客在一开始要求的赎金是1,000 万美元，该公司的谈判代表表示，目前公司正受到新冠疫情流行的影响，无法支付1,000 万美元的赎金。

在和黑客多次在线协商后， CWT 最终在7 月28 日支付了约414 颗比特币，当时价格约为450 万美元等值的比特币。

该公司在声明中仅轻描淡写地表示：

我们暂时先关闭系统，作为预防措施，但目前我们系统又恢复成在线状态，整件事件已经落幕了。虽然现在只是调查的初期阶段，但现在没有迹象表明用户、旅客的讯息有任何的损失。

小心了！Ragnar Locker是新型态的勒索软件

现在普遍认为，Ragnar Locker是去年底才出现的新品种病毒，据科技媒体《iThome》的报导，这个勒索软件会在Windows XP VM环境下执行Oracle VirtualBox，这样就可以在防毒软件侦测不到的「安全环境」中执行。

资安公司Sophos 的研究人员指出，骇客在受害者的电脑植入Ragnar Locker 后，会先从目标电脑上窃取资料，然后再加密文件。

Ragnar Locker攻击方法有二：一是利用代管服务供应商的系统漏洞，或市攻击Windows Remote Desktop Protocol（RDP）连线以骇入目标网路。另一个比较新颖的方法则是「群组管理句GPO」，骇客利用GPO程式执行从远端伺服器下载并安装内含Ragnar Locker   病毒的套件。

而CWT 并不是第一个受害的公司。在四月时，能源公司葡萄牙能源（Energias de Portugal）就已率先遭到公司，骇客向该公司勒索1,580 颗比特币（约1,110 万美元）。

支付赎金可能无法解决问题

事实上，类似的勒索软件已经进步到除了加密文件外，还可以备份受害人的用户资料。

受害人如果决定要支付赎金，首先要确定骇客有能力解锁加密的档案。现在有很多骇客其实是在暗网上购买勒索软件，他们自身是无法解密的。数据指出，有五分之一的公司在支付赎金后，没有获得解密文件的密码。

因此最好的方法是传一个加密的档案给骇客，看他是否有能力可以解密。

考量到所加密和泄漏的资讯的重要性，付赎金其实也是选项之一。就如同这次的CWT 公司在考量到时间成本（调查、诉讼）以及资料的重要性，他们认为支付赎金是较「便宜」的选项。

需要注意的是，在选择支付赎金这条路后，骇客可能会瞄准其它姐妹公司，或是相关企业，因为他们现在已经知道这类公司会选择息事宁人。当然，预防胜于治疗。部落格《Smartfense》的作者桑榭就认为，企业应该发展出一个多层次导向的保全机制，每一层机制都必须应该要让公司可以免于一或多次攻击。

本文链接地址：https://www.wwsww.cn/btbzixun/5712.html
郑重声明：本文版权归原作者所有，转载文章仅为传播更多信息之目的，如作者信息标记有误，请第一时间联系我们修改或删除，多谢。