勒索软件是什么？它们如何运作？

勒索软件是什么？

勒索软件的定义非常简单——它是一种恶意软件，能够阻止用户或组织访问其电脑上的文件。黑客利用勒索软件锁定或加密受感染设备上的文件，并以此勒索赎金，以换取解密密钥。

虽然勒索软件攻击通常以获取经济利益为目的，但有时其主要目的是破坏业务运营，造成系统瘫痪并损害企业声誉。2022 年全球报告的网络攻击数据¹显示，大约 68% 为勒索软件攻击（共计 1.55 亿起）。由此可见，勒索软件仍然是企业和个人面临的主要网络安全威胁之一。

勒索软件攻击通常是怎么进行的？

目前已知的勒索软件实例多达数百种，且每一种都比前一种更为复杂。但攻击过程通常遵循特定的步骤，以获取对受害者文件的访问权限，对其进行加密，并勒索赎金以换取解密密钥。

勒索软件通常采用非对称加密技术，这是一种依赖于一对密钥（即公钥和私钥）对文件进行加密和解密的加密方法。网络犯罪分子会为受害者生成这样一对密钥——公钥用于加密文件，私钥则用于解密，而用于解密文件的私钥则存储在攻击者的服务器上。勒索软件开发者通常会使用强大的加密算法，这意味着受害者如果没有解密密钥，几乎无法自行解密文件。

勒索软件攻击的典型进行过程如下：

1. 1.前期侦查：攻击者收集有关潜在目标的信息，并寻找软件漏洞；
2. 2.实施感染：犯罪分子通过诱骗受害者下载恶意文件或点击恶意链接，将勒索软件植入受害者的系统。他们通常会利用网络钓鱼攻击（包括带有受感染附件和链接的网络钓鱼电子邮件或针对性网络钓鱼）或软件漏洞来实现这一目的。攻击者还可能采用社会工程学技术，例如将勒索软件伪装成软件更新，诱骗个人和组织下载；
3. 3.执行加密：恶意软件一旦进入受害者的电脑或网络，就会立即开始加密文件。如果没有解密密钥，这些加密文件将无法读取；
4. 4.横向移动：进入受害者系统后，攻击者可能会进一步探索网络，寻找其他系统进行入侵并传播恶意软件；
5. 5.发送勒索信：勒索软件加密文件后，会在受感染的电脑屏幕上显示勒索信。该通知会告知受害者其文件已被锁定，并提供有关如何支付赎金以获取解密密钥的说明；
6. 6.提出勒索要求：勒索通知通常会包含付款要求，而且通常使用加密货币，因为加密货币更难追踪。犯罪分子还会设定付款期限。通知中还可能包含威胁，例如，如果未在规定时间内支付赎金，则可能会篡改或销毁加密数据或解密密钥；
7. 7.支付赎金（不建议）：虽然一些勒索软件受害者可能会选择向黑客支付赎金，希望以此恢复对文件的访问权限，但并不能保证犯罪分子会信守承诺，归还文件的访问权限。

勒索软件会对终端设备造成什么影响？它会加密设备上的重要文件，使其无法访问，并严重破坏设备的正常运行。如果没有及时发现，活跃的勒索软件感染可能会迅速蔓延到连接的设备或网络中。

勒索软件攻击的受害者

勒索软件攻击的受害者涵盖了个人、组织和企业。新加坡网络安全局早前发布的《2023 年新加坡网络概况报告》显示，勒索软件已经成为新加坡企业最常见的网络安全威胁²。值得关注的是，报告指出，2024 年网安局收到的报告案件比 2023 年增加了近 20％，这意味着勒索软件攻击的风险仍在上升，而实际受害者可能更多。

网络犯罪分子通常会将医疗、金融、制造以及政府机构等关键部门作为攻击目标。这些机构往往掌握着更有价值的数据和更充裕的财务资源，因此也更容易成为支付巨额赎金的对象。

企业

勒索软件攻击者瞄准各种规模的公司和企业，因为他们清楚知道，这些实体拥有他们渴望获取的宝贵数据、客户信息和知识产权。

2023 年，全球有高达 72% 的企业成为勒索软件攻击的受害者，这一数字创下了过去五年来的最高纪录，也充分表明勒索软件攻击企业的趋势仍在不断加剧。勒索软件攻击的影响范围之广，甚至波及到了金融行业。例如，在 2025 年 4 月，新加坡的星展银行和中国银行（新加坡分行）的印刷供应商 Toppan Next Tech（TNT）遭受勒索软件攻击³，负责为这两家银行部分客户打印和分发账单和信函的 TNT 在此次事件可能导致了约 1 万 1000 名客户资料遭到泄露。

医疗保健机构和关键基础设施

在网络犯罪分子眼中，医疗保健机构无疑是利润丰厚的目标——它们存储着高度敏感且关乎患者生命安全的信息，因此针对医院的攻击往往会造成极其严重的后果。至于电网、交通系统等关键基础设施，一旦遭受攻击，则可能导致大范围的社会瘫痪。

个人和家庭用户

网络犯罪分子也会攻击个人用户，因为他们也觊觎个人的敏感信息，例如财务信息、家庭照片以及各类个人文件。由于个人用户较少向执法部门报案，因此针对个人的勒索软件攻击统计数据也相对匮乏。

勒索软件攻击的代价

勒索软件攻击会对企业造成财务、声誉以及法律等多方面的严重损害。即使受害组织最终没有支付赎金，由此导致的停机时间和声誉受损也会带来相当可观的经济负担。

财务代价

一旦勒索软件受害者屈服于黑客的勒索，便可能面临严重的财务打击。2024 年，数据安全公司 Cohesity 对新加坡 300 多名信息技术和安全执行人员进行了调查，其中 47% 的企业支付的赎金金额为 10 万至 49 万 9999 美元，36% 的企业支付的赎金更是高达 50 万美元或以上⁴。

即使企业坚决拒绝支付赎金，勒索软件的侵袭往往也会导致代价高昂的业务中断。更糟糕的是，后续的恢复工作也可能旷日持久且耗资巨大。企业不仅需要深入调查安全漏洞，全面提升自身的网络安全防御能力，还必须尽快恢复受损的系统和数据。

声誉损害

对企业而言，勒索软件攻击的另一大严重后果是声誉受损，因为这类攻击往往会严重动摇公众的信任。客户可能会强烈质疑企业保护敏感信息的能力，从而导致大量客户流失，甚至对企业品牌形象造成难以挽回的长期损害。

例如，前文提到的 TNT 遭遇勒索软件攻击事件，即使泄露的信息不涉及登录凭证、密码、身份证号码、存款余额或客户总资产等敏感数据，星展银行与中国银行（新加坡分行）也可能因此受到影响，导致声誉受损。

法律与监管风险

勒索软件感染事件可能会给企业带来极其严重的法律和监管风险，例如因未能妥善保护敏感数据而遭受巨额罚款和严厉处罚。企业必须严格遵守相关的数据保护法规，例如新加坡的《个人资料保护法令》（PDPA）⁵、欧洲的《通用数据保护条例》（GDPR）以及美国的《加州消费者隐私法案》（CCPA）等。

未能及时报告数据泄露事件并采取适当的安全措施，可能会导致更为严重的法律后果，如高额罚款乃至法律诉讼。以 2018 年英国航空公司遭遇的数据泄露事件⁶为例，该事件波及约 50 万名客户。最终，该公司不仅面临监管机构的严厉调查，还被英国信息专员办公室（ICO）处以了基于 GDPR 法规的巨额罚款。

如何有效预防勒索软件攻击？

想要建立完善的勒索软件预防体系，需要采取一系列积极主动的防御措施。这些措施主要包括：

• 定期数据备份：数据备份是应对勒索软件攻击的关键防线。如果受害者在数据遭到破坏后仍能顺利访问备份数据，勒索软件攻击的威胁将大大降低。因此，部署一套安全可靠的数据备份解决方案非常重要，例如基于软件即服务（SaaS）的系统恢复工具，以尽可能地减少甚至完全避免勒索软件攻击造成的损失。为确保备份数据的安全性，防止其被犯罪分子加密，强烈建议采用只读格式存储备份数据，这样便能免受勒索软件的侵害。此外，将备份数据存储在离线环境或安全的云端，启用版本控制以保留多个数据副本，并定期进行备份恢复测试以验证备份的有效性，都是非常重要的备份方式。
• 全面提升员工的网络安全意识：定期开展针对全体员工的网络安全意识培训，是降低企业遭受勒索软件攻击风险的有效手段。培训内容应重点强调以下几个方面：
  • 绝不点击任何来源不明或可疑的链接。
  • 绝不打开任何来历不明或意外收到的附件。
  • 绝不向任何未经核实身份的个人透露任何个人或敏感信息。
  • 在下载任何软件之前，务必仔细核实其来源的合法性。
  • 避免使用任何来源不明的 USB 驱动器。
  • 在连接公共或不安全的 Wi-Fi 网络时，务必使用 VPN 服务。

• 实施严格的用户身份验证和访问控制：采用安全可靠的用户身份验证机制，例如多重身份验证（MFA）和强大的访问控制策略，是保护企业数据安全的重要措施。同时，严格执行最小权限原则，确保用户仅能访问其工作职责所需的最低限度的数据和资源，并仅授权特定人员管理用户的访问权限。
• 加强安全软件部署和补丁管理：部署有效的防病毒和反恶意软件解决方案、端点检测与响应（EDR）系统、电子邮件安全网关以及浏览器安全扩展等安全工具，能够显著提升企业抵御勒索软件攻击的能力。此外，及时更新软件和补丁，可以有效修复网络犯罪分子可能利用的软件漏洞。这些更新不仅能为企业的安全工具和操作系统提供最新的威胁情报，还能增强其检测和阻止现有以及新型勒索软件变种的能力。

如何准确识别勒索软件感染的早期迹象？

以下列举了六个主要的勒索软件感染迹象，若您一旦发现一些迹象，务必立高度重视并采取相应的应急措施：

• 电脑和网络活动明显减缓：这是勒索软件攻击最常见的早期征兆之一。勒索软件通常会通过扫描设备中的文件存储位置来启动其恶意活动，从而导致系统运行速度显著下降。请注意，虽然设备运行缓慢也可能是由于网络带宽被大量占用所致，但仍需仔细排查，以确定真正的罪魁祸首。
• 文件、文件名和位置出现异常变化：如果您发现文件或整个文件夹遭到任何未经授权的更改，或者出现了未知或无法解释的新增文件，甚至某些文件缺失了文件扩展名，都应高度警惕，这很可能表明您的系统已经遭受了网络攻击。
• 发生未经授权的数据提取：任何文件丢失的情况，都应当被视为潜在安全漏洞的严重警告信号，并立即对相关文件进行全面的安全检查。
• 出现无法识别且未经授权的文件加密：如果您在网络上发现任何无法识别且未经授权的加密文件，务必立即拉响安全警报并采取相应的应急响应措施。
• 桌面被完全锁定：部分勒索软件变种可能会直接锁定您的整个桌面，使您完全无法访问电脑或其中的任何文件，直至您支付赎金。
• 屏幕上显示醒目的勒索信息：电脑屏幕上突然出现醒目的勒索信息，明确告知您已遭受勒索软件感染，这是勒索软件攻击最为直观和明显的标志。

最常见的勒索软件变种

勒索软件家族众多，每个家族都有其独特的勒索软件变种。以下列举了一些近年来造成巨大破坏、臭名昭著的勒索软件变种：

1. 1.WannaCry（或 WanaCrypt0r）：2017 年，WannaCry 勒索软件变种利用微软 Windows 系统中一个名为 EternalBlue 的漏洞，像电脑病毒一样迅速在网络中蔓延。它感染了全球数十万台电脑，并对英国国家医疗服务体系（NHS）发起了猛烈攻击，造成超过 9000 万英镑的巨大损失。
2. 2.Petya/NotPetya：Petya 是较早出现的变种，而 2017 年出现的 NotPetya 则展现出更强的破坏力。它主要攻击欧洲和美国的 Windows 电脑，不仅加密文件，还会覆盖主引导记录（MBR），导致更严重的系统损坏，甚至永久删除文件。
3. 3.CryptoWall：CryptoWall 是一种具有极强持续性的勒索软件。它会加密用户的数据，使其无法访问，然后勒索用户支付加密货币赎金，才能恢复数据。
4. 4.Ryuk：据说与朝鲜的拉撒路集团有关联，Ryuk 主要以大型企业、医院和执法机构为目标，索要高额赎金，且大多以比特币形式支付。它曾在美国等地发动多起备受瞩目的攻击。
5. 5.GandCrab：GandCrab 活跃于 2018 年至 2019 年，是当时最具“生产力”的“勒索软件即服务”（RaaS）变种之一。RaaS 是一种犯罪商业模式，勒索软件组织负责开发勒索软件，然后允许其他人（即使这些人缺乏技术专长）利用这些勒索软件发起攻击，并从中抽取一定比例的赎金。
6. 6.REvil（或 Sodinokibi）：REvil 也是“勒索软件即服务”模式的典型代表。它曾发动过多次备受瞩目的攻击，其中包括 2021 年针对 Kaseya 的攻击⁷。REvil 采用“双重勒索”策略，不仅加密受害者的数据，而且威胁称，如果受害者拒绝支付赎金，就会将这些数据公之于众。
7. 7.Dharma（或 CrySiS）：Dharma 勒索软件主要针对 Windows 系统，并衍生出多个变种。CrySiS 通常通过暴露的远程桌面协议（RDP）端口渗透到受害者的系统中。它以频繁更新和极强的逃避检测能力而著称。
8. 8.Locky：Locky 于 2016 年首次出现，是传播范围最广的勒索软件类型之一。时至今日，其变种和攻击策略仍在不断涌现。Locky 主要通过恶意附件进行传播。在典型的攻击场景中，受害者会打开看似无害的 Word 文档，之后被诱导启用宏并释放隐藏其中的木马程序，进而加密受害者的文件。
9. 9.Cerber：Cerber 勒索软件因其独特的“朗读”勒索信函功能而备受关注。其开发者将 Cerber 作为软件即服务（SaaS）出售给其他网络犯罪分子，并从中抽取一定比例的收入。
10. 10.Maze：Maze 勒索软件活跃于 2019 年至 2020 年，是双重勒索策略的先行者。它主要通过电子邮件网络钓鱼和鱼叉式网络钓鱼攻击进行传播。
11. 11.NetWalker：NetWalker 也是一种典型的双重勒索勒索软件。它在新冠疫情期间尤为猖獗，主要针对参与疫情应对工作的组织。
12. 12.DarkSide：DarkSide 也是“勒索软件即服务”模式的代表。它主要通过黑客利用远程桌面协议（RDP）中的漏洞进行传播。该组织声称对 2021 年 5 月发生的美国科洛尼尔管道运输公司（Colonial Pipeline）攻击事件⁸负责，该事件曾导致美国部分地区出现严重的燃料短缺。
13. 13.GoodWill 勒索软件：GoodWill 勒索软件于 2022 年首次被发现，是一种新型勒索软件。与其他勒索软件团伙不同，GoodWill 的运营者并不直接索要赎金，而是要求受害者为穷人做一些善事。

如何应对勒索软件攻击？

如果您的公司或您个人不幸成为勒索软件攻击的受害者，您可以采取以下应对措施。首先，您需要确认所遇到的问题并非简单的防病毒软件或其他恶意软件感染。之后，您可以：

1. 1.隔离受感染的系统：立即断开受感染设备与所有网络的连接，以阻止勒索软件的进一步扩散。
2. 2.切勿支付赎金：即使支付赎金，也无法保证您能从黑客手中获得解密密钥。而且，支付赎金只会助长他们的犯罪行为。
3. 3.报告事件：立即通知您所在组织的 IT 或安全团队，以及当地执法机构，以便他们启动调查。同时，及时将事件进展和恢复工作告知所有相关方，包括员工、客户和合作伙伴。
4. 4.评估攻击影响：全面评估攻击的范围，准确确定哪些系统和数据受到了影响。
5. 5.确保遵守数据泄露通知相关法律法规：严格遵守数据泄露通知方面的各项法律法规，避免承担额外的法律责任。
6. 6.尝试恢复数据：尽可能从未受勒索软件影响的备份中恢复受损文件。
7. 7.清除勒索软件，修复漏洞，并加强安全防御：彻底清除系统中的勒索软件，及时修补所有已知的安全漏洞，并全面加强安全防御措施，以防止类似事件再次发生。

如何删除勒索软件？

若任何用户或公司不幸遭遇勒索软件攻击，可以按照以下步骤来清除系统中的勒索软件：

1. 1.隔离受感染设备：为了阻止勒索软件进一步扩散，请立即断开受感染设备与所有有线和无线连接的连接，包括互联网、局域网、移动设备、U盘、外置硬盘以及云存储账号。同时，也请务必检查所有已连接的设备，确认它们是否也受到了感染。
2. 2.准确识别勒索软件类型：了解感染您设备的勒索软件的具体类型，将有助于您选择正确的清除方法。在必要时，您可以寻求网络安全专家的协助，或者使用专门的软件工具进行诊断。
3. 3.彻底清除勒索软件：请确认您的设备上是否仍然存在勒索软件，因为有些勒索软件在成功感染后会自行删除。如果勒索软件仍然存在，请使用反恶意软件或反勒索软件程序将其隔离并删除。鉴于手动定位和卸载勒索软件文件是一项复杂且具有挑战性的操作，我们强烈建议您寻求专业安全人员的帮助。
4. 4.利用备份进行恢复：如果您拥有安全且最新的备份，并且确认这些备份未受到勒索软件的影响，请使用它们将您的系统恢复到勒索软件感染之前的状态。

遭遇勒索软件攻击后，文件还有救吗？

如果您拥有未受勒索软件影响的安全且最新的备份，那么在遭受勒索软件攻击后，您依然有机会恢复文件。此外，在某些情况下，您还可以尝试恢复被勒索软件加密的文件，但这通常需要相应的解密工具。要获取此类工具，您可能需要在互联网上进行搜索，联系执法机构，或者咨询提供专业勒索软件清除服务的网络安全公司。

总结

勒索软件攻击的目标既包括个人用户，也包括各种组织机构。令人防不胜防的是，某些勒索软件甚至能够突破最严密的安全防御体系——仅仅因为用户一次不经意地点击了恶意附件。因此，提高您的网络安全意识至关重要，只有这样才能及时发现并应对潜在攻击。

参考链接

[1] 《2022 年 ENISA 威胁形势（ETL）报告》，欧洲网络安全局（ENISA）（2022）https://www.enisa.europa.eu/publications/enisa-threat-landscape-2022

[2] “网安威胁“大小通吃”：勒索软件猖獗 中小企业如何自保？”，联合早报（2025）https://www.zaobao.com.sg/finance/singapore/story20250314-5969080

[3] “印刷商 TNT 遭勒索软件攻击 两银行逾万客户资料或被窃”，联合早报（2025）https://www.zaobao.com.sg/news/singapore/story20250408-6133327

[4] “调查：64%本地企业去年遭网络袭击后支付勒索费”，8world（2025）https://www.8world.com/singapore/64-percent-of-local-businesses-paid-extortion-fees-after-being-attacked-by-cyberattacks

[5] 《个人资料保护法令》，新加坡个人数据保护委员会（PDPC）（2014）https://www.pdpc.gov.sg/-/media/Files/PDPC/PDF-Files/Resource-for-Individuals/what-you-should-know-about-pdpa-v1-0---chinese.pdf

[6] “英国航空因数据泄露事件被英国隐私监管机构罚款 2,580 万美元”，华尔街日报（2021）https://cn.wsj.com/articles/%E8%8B%B1%E5%9B%BD%E8%88%AA%E7%A9%BA%E5%9B%A0%E6%95%B0%E6%8D%AE%E6%B3%84%E9%9C%B2%E4%BA%8B%E4%BB%B6%E8%A2%AB%E8%8B%B1%E5%9B%BD%E9%9A%90%E7%A7%81%E7%9B%91%E7%AE%A1%E6%9C%BA%E6%9E%84%E7%BD%9A%E6%AC%BE2,580%E4%B8%87%E7%BE%8E%E5%85%83-11602845711

[7] “社论：慎防黑客激化地缘政治冲突风险”，联合早报（2021）https://www.zaobao.com.sg/forum/editorial/story20210707-1165705

[8] “最大输油管运营商遭网攻 美国进入区域紧急状态”，联合早报（2021）https://www.zaobao.com.sg/realtime/world/story20210510-1145700