在全球迎來第二個反勒索軟件日之際，我們無法否認：勒索軟件已經(jīng)成為安全領域的熱門詞匯。這并非沒有充分的理由，這種威脅可能存在了很長時間，但現(xiàn)在已經(jīng)發(fā)生改變了。年復一年，攻擊者的膽子越來越大，方法也越來越精煉，當然，系統(tǒng)也被攻破了。然而，勒索軟件得到的大部分媒體關注都集中在記錄哪些公司成為其目標上。這篇報道將從每天的勒索軟件新聞中退出，問題的核心，了解它是如何組織的。

　　首先，我們將揭穿三個阻礙正確思考勒索軟件威脅的先入之見。接下來，我們深入研究暗網(wǎng)，展示網(wǎng)絡罪犯如何相互交流，以及他們所提供的服務類型。最后，我們以兩個著名的勒索軟件團伙結(jié)尾：REvil和Babuk。

　　在開始閱讀之前，請確保您的數(shù)據(jù)已安全備份！

　　第一部分：關于勒索軟件的三個先入之見

　　先入之見一：勒索軟件團伙就是團伙

　　隨著2020年活動的興起，我們看到了勒索軟件世界中許多知名團伙的出現(xiàn)。犯罪分子發(fā)現(xiàn)，受害者如果能夠事先建立某種信譽，就更有可能支付贖金。為了確保他們恢復加密文件的能力永遠不會受到質(zhì)疑，他們在網(wǎng)上樹立了自己的形象，撰寫新聞稿，并確保所有潛在受害者都知道他們的名字。

　　但是，通過將自己置于眾人關注之下，這些組織掩蓋了勒索軟件生態(tài)系統(tǒng)的實際復雜性。從外部看，它們似乎是單個實體。但實際上它們只是矛尖。在大多數(shù)攻擊中，都涉及大量的參與者，一個關鍵的要點是；他們通過暗網(wǎng)市場相互提供服務。

　　Botmaster和帳戶銷售商的任務是提供受害者網(wǎng)絡內(nèi)部的初始訪問權(quán)限。這個生態(tài)系統(tǒng)的其他成員（為了方便討論，將其命名為red team）使用初始訪問權(quán)來獲得對目標網(wǎng)絡的完全控制。在這個過程中，他們會收集受害者的信息，并竊取內(nèi)部文件。

　　這些文件可能會被外包給分析師團隊，這些分析師將試圖計算出目標的實際財務狀況，以便確定他們可能支付的最高贖金價格。分析師還將留意任何可能用于支持其勒索策略的敏感信息或暗示性信息，目的是向決策者施加最大壓力。

　　當red team準備發(fā)動攻擊時，它會從暗網(wǎng)開發(fā)人員那里購買勒索軟件產(chǎn)品，通常以贖金分成作為交換。這里的一個可選角色是packer 的開發(fā)者，他們可以為勒索軟件程序添加保護層，使安全產(chǎn)品更難檢測到它。

　　最后，與受害者談判可能由另外的團隊來處理，當支付贖金時，需要一套全新的技能來清洗所獲得的加密貨幣。

　　最有趣的是，“勒索軟件價值鏈（ransomware value chain）”中的各種參與者不需要彼此認識，事實上他們也不需要。它們通過互聯(lián)網(wǎng)進行交互，用加密貨幣支付服務費用。因此，逮捕任何這些實體（雖然有助于威懾目的）對減緩生態(tài)系統(tǒng)幾乎沒有作用，因為無法獲得共犯的身份，而其他供應者將立即填補這一空白。

　　我們必須將勒索軟件世界理解為一個生態(tài)系統(tǒng)，并以此來對待它： 這是一個只能系統(tǒng)地解決的問題，例如，通過阻止資金在這個生態(tài)系統(tǒng)內(nèi)流通——這首先是從一開始就不支付贖金。

　　先入之見二：有針對性的勒索軟件就是有針對性的

　　在選擇受害者的方式方面，前面對勒索軟件生態(tài)系統(tǒng)的描述具有顯著意義。是的，犯罪團伙越來越肆無忌憚，索要的贖金也越來越多。但勒索軟件攻擊也有機會主義的一面。據(jù)我們所知，這些團伙并沒有仔細閱讀英國《金融時報》來決定他們的下一個目標。

　　萬萬沒想到，獲得對受害者網(wǎng)絡的初始訪問權(quán)的人不是后來部署勒索軟件的人，因此需要將訪問收集視為一個完全獨立的業(yè)務。為了使其可行，賣家需要源源不斷的“產(chǎn)品”?；〝?shù)周的時間試圖突破像《財富》 500強公司這樣的既定目標，在財務上并不明智，因為這不能保證成功。取而代之的是，準入賣家追求更低的目標。這種渠道主要有兩個來源：

　　僵尸網(wǎng)絡所有者。眾所周知的惡意軟件家族參與了規(guī)模最大、影響最廣的活動。他們的主要目標是創(chuàng)建受感染計算機的網(wǎng)絡，盡管目前感染還處于休眠狀態(tài)。僵尸網(wǎng)絡所有者（botmaster）將大量受害機器的訪問權(quán)限作為一種資源出售，可以通過多種方式獲利，比如發(fā)起DDoS攻擊、分發(fā)垃圾郵件，或者在勒索軟件的情況下，利用這種初始感染在潛在目標上獲得立足點。

　　訪問權(quán)限的賣家。黑客正在尋找面向互聯(lián)網(wǎng)的軟件（例如VPN設備或電子郵件網(wǎng)關）中公開披露的漏洞（1-days）。一旦這樣的漏洞被披露，它們就會在防御者應用相應的更新之前破壞盡可能多的受影響的服務器。

　　出售對組織的RDP的訪問權(quán)的報價示例

　　在這兩種情況下，在這兩種情況下，只有在攻擊者退后一步，弄清楚他們?nèi)肭至苏l，以及這次感染是否可能導致支付贖金之后。勒索軟件生態(tài)系統(tǒng)中的參與者不做目標鎖定，因為他們幾乎從不選擇攻擊特定的組織。了解這一事實，突顯出企業(yè)及時更新面向互聯(lián)網(wǎng)的服務的重要性，并有能力在這些服務被用于不法行為之前發(fā)現(xiàn)潛伏感染。

　　先入之見三：網(wǎng)絡犯罪分子就是罪犯

　　好吧，嚴格來說，他們是。但由于勒索軟件生態(tài)系統(tǒng)的多樣性，這也是一個遠不止表面所見的領域。當然，在勒索軟件生態(tài)系統(tǒng)和其他網(wǎng)絡犯罪領域（如刷卡或銷售點（PoS）黑客）之間存在著一種有記錄的松散性。但值得指出的是，并非這個生態(tài)系統(tǒng)的所有成員都來自網(wǎng)絡犯罪的黑社會。在過去，高調(diào)的勒索軟件攻擊被用作一種破壞性手段?？梢哉J為有些APT參與者仍在采取類似的策略來破壞對手經(jīng)濟體的穩(wěn)定，同時又保持很強的可否認性，這并非不合理。

　　同樣，去年發(fā)布的一份有關拉撒路團伙嘗試大目標的報告。ClearSky發(fā)現(xiàn)了類似的活動，他們將其歸因于Fox Kitten APT。研究人員注意到，勒索軟件攻擊的明顯盈利能力吸引了一些國家支持的黑客來到這個生態(tài)系統(tǒng)，以此作為規(guī)避國際制裁的一種方式。

　　數(shù)據(jù)表明，這種勒索軟件攻擊僅占總數(shù)的一小部分。盡管它們并不能代表公司需要采取什么防御措施，但它們的存在給受害者帶來了額外的風險。2020年10月1日，美國財政部OFAC發(fā)布了一份備忘錄，闡明向攻擊者匯款的公司需要確保收款人不受國際制裁。該聲明似乎已經(jīng)生效，因為它已經(jīng)影響了勒索軟件市場。毫無疑問，對勒索軟件運營商進行盡職調(diào)查本身就是一個挑戰(zhàn)。

　　第二部分：暗網(wǎng)惡作劇

　　通過市場通道

　　當涉及到在暗網(wǎng)上銷售與網(wǎng)絡犯罪相關的數(shù)字商品或服務時，大多數(shù)信息都集中在幾個大型平臺上，盡管有多個小型主題平臺專注于一個主題或產(chǎn)品。我們分析了三個主要的與勒索軟件相關的報價的論壇。這些論壇是使用勒索軟件的網(wǎng)絡犯罪分子交流和交易的主要平臺。雖然論壇上有數(shù)百個各種各樣的廣告和報價，但為了進行分析，我們只挑選了幾十個報價，這些報價都經(jīng)過了論壇管理部門的驗證，并具有良好聲譽的團體發(fā)布。這些廣告包括各種各樣的報價，從源代碼的銷售到定期更新的招聘廣告，有英語和俄語版本。

　　不同類型的報價

　　如前所述，勒索軟件生態(tài)系統(tǒng)由扮演不同角色的參與者組成。暗網(wǎng)的論壇部分反映了這種情況，盡管這些市場上的報價主要是為了銷售或招聘。就像在任何市場上一樣，當運營商需要某些東西時，他們會在論壇上主動更新廣告展示位置，并在滿足需求后立即將其撤下。勒索軟件開發(fā)人員和附屬勒索軟件程序的運營商（以下簡稱“勒索軟件即服務”）提供以下功能：

　　·  邀請加入合作伙伴網(wǎng)絡，針對勒索軟件運營商的聯(lián)盟計劃

　　·  勒索軟件源代碼或勒索軟件生成器的廣告

　　第一種類型的參與假定勒索軟件運營者與會員之間存在長期的合作關系。通常，會獲得20%到40%的利潤分成，而剩下的60-80%會留給附屬會員。

　　在合作伙伴計劃中列出付款條件的要約示例

　　當許多勒索軟件運營商在尋找合作伙伴時，一些人在出售勒索軟件源代碼或DIY勒索軟件包。報價從300美元到5000美元不等。

　　就勒索軟件的技術(shù)熟練程度和賣方投入的精力而言，出售勒索軟件源代碼或泄露樣本是從勒索軟件獲利的最簡單方法。但是，由于源代碼和示例會很快失去其價值，因此此類提議的收益也最少。有兩種不同類型的報價–有和沒有支持。如果購買的勒索軟件沒有支持，那么一旦被網(wǎng)絡安全解決方案檢測到，勒索軟件購買者就需要自己弄清楚如何重新包裝，或者找到一個提供樣本重新包裝的服務——這仍然很容易被安全解決方案檢測到。

　　提供支持的服務（誠然，在金融惡意軟件市場中更為普遍）通常會提供定期更新并做出有關惡意軟件更新的決策。

　　在這方面，與2017年相比，暗網(wǎng)論壇的報價沒有太大變化。

勒索軟件開發(fā)人員有時將構(gòu)建程序和源代碼宣傳為一次性購買，沒有客戶支持

　　提供勒索軟件訂閱和附加服務看起來與任何其他合法產(chǎn)品的廣告非常相似，只是利益和價格范圍不同

　　暗網(wǎng)中看不到一些大型團伙

　　盡管暗網(wǎng)上提供的報價數(shù)量和范圍肯定不小，但市場并不能反映整個勒索軟件生態(tài)系統(tǒng)。一些大型勒索軟件團伙要么獨立工作，要么直接尋找合作伙伴（例如，據(jù)我們所知，Ryuk在Trickbot感染后能夠訪問其某些受害者的系統(tǒng)，這表明兩個團體之間存在潛在的伙伴關系）。因此，論壇通常會托管較小的參與者-要么是中等規(guī)模的RaaS運營商，要么是出售源代碼的較小參與者或新手。

　　暗網(wǎng)上會員的基本規(guī)則

　　勒索軟件市場是一個封閉的市場，其背后的運營商對選擇與誰合作非常謹慎。這種謹慎反映在運營商在選擇合作伙伴時投放的廣告和附加的標準中。

　　第一個通用規(guī)則是對運營商的地理限制。當惡意軟件操作員與合作伙伴合作時，他們避免在其所在轄區(qū)使用惡意軟件。嚴格遵守此規(guī)則，不遵守此規(guī)則的合作伙伴會很快失去訪問他們一直合作的項目的機會。

　　此外，運營商會篩選潛在的合作伙伴，例如檢查他們聲稱來自的那個國家/地區(qū)的知識，如下例所示，來減少雇用臥底警察的機會。他們還可能根據(jù)其政治觀點對某些國籍施加限制。這些只是運營商試圖確保其安全性的一些方式。

　　在此示例中，該團伙建議通過詢問有關前蘇聯(lián)共和國的歷史和通常只有俄語為母語的人才能回答的晦澀問題來審查新的附屬組織

　　根據(jù)這則廣告，Avaddon可能會考慮說英語的會員，如果他們已經(jīng)建立聲譽或可以提供保證金

　　案例

　　為了更詳細的概述，我們選擇了2021年最值得注意的兩個大型勒索軟件。

　　第一個是REvil（又名Sodinokibi）團伙。自2019年以來，該勒索軟件已經(jīng)在暗網(wǎng)上進行了廣告宣傳，并以RaaS運營商的身份享有很高的聲譽。該團伙的名字REvil經(jīng)常出現(xiàn)在信息安全社區(qū)的新聞頭條上。2021年，REvil運營商索要的贖金最高。

　　另一個是Babuk locker.。Babuk是2021年發(fā)現(xiàn)的第一個新的RaaS團伙，表明其活動量很大。

　　REvil

　　由REvil投放的廣告示例

　　REvil是最多產(chǎn)的RaaS運營之一。該團伙的第一次活動是在2019年4月，在另一個現(xiàn)已停止的勒索軟件團伙GandCrab被關閉之后。

　　為了分發(fā)勒索軟件，REvil與在網(wǎng)絡犯罪論壇上雇用的附屬機構(gòu)合作。贖金需求基于受害者的年收入，而分銷商可以獲得贖金的60%到75%。使用門羅幣（XMR）加密貨幣用于支付。根據(jù)對REvil運營商的采訪，該團伙從2020年的運營中獲得了超過1億美元的收入。

　　開發(fā)人員會定期更新REvil勒索軟件，以避免被檢測，并提高持續(xù)攻擊的可靠性。該團伙在黑客論壇的各種帖子中公布所有的重大更新和新合作伙伴的項目。2021年4月18日，開發(fā)人員宣布勒索軟件的* nix實施正在進行封閉測試。

　　REvil通知了勒索軟件的* nix實施的內(nèi)部測試

　　技術(shù)細節(jié)

　　REvil使用Salsa20對稱流算法通過橢圓曲線非對稱算法來加密文件和密鑰的內(nèi)容。該惡意軟件樣本有一個加密的配置塊，其中包含許多字段，攻擊者可以對該負載進行微調(diào)。該執(zhí)行文件可以在加密前終止黑名單進程，竊取主機基本信息，可以對本地存儲設備和網(wǎng)絡共享上的未列入白名單的文件和文件夾進行加密。

　　現(xiàn)在，勒索軟件主要通過受損的RDP訪問、網(wǎng)絡釣魚和軟件漏洞進行分發(fā)。附屬機構(gòu)負責獲得對公司網(wǎng)絡的初始訪問權(quán)限并部署locker——RaaS模型的標準實踐。應該注意的是，該團伙對新成員的招募有非常嚴格的規(guī)定：REvil只招募會說俄語、有進入網(wǎng)絡經(jīng)驗的高技能合作伙伴。

　　成功攻擊后，會有特權(quán)提升，偵察和橫向移動。然后操作員對敏感文件進行評估、竊取和加密。下一步是與被攻擊的公司談判。如果受害者決定不支付贖金，那么REvil操作員將開始在。onion Happy Blog網(wǎng)站上發(fā)布受攻擊公司的敏感數(shù)據(jù)。在數(shù)據(jù)泄露網(wǎng)站上公布泄露的機密數(shù)據(jù)的策略，最近已經(jīng)成為Big Game Hunting的主流。

　　REvil博客上的帖子示例，其中包括從受害者那里竊取的數(shù)據(jù)

　　值得注意的是，勒索軟件運營商已經(jīng)開始利用語音呼叫其業(yè)務伙伴和記者并使用DDoS攻擊，迫使受害者支付贖金。據(jù)該運營商稱，2021年3月，該團伙推出了一項無需額外費用的服務，讓會員組織聯(lián)系受害者的合作伙伴和媒體，以施加最大壓力，再加上DDoS （L3, L7）作為付費服務。

　　REvil宣布了一項新功能，可以安排給媒體和目標伙伴的電話，以便在要求贖金時施加額外壓力

　　據(jù)研究，該惡意軟件影響了近20個行業(yè)。受害比例最大的行業(yè)是工程與制造（30％），其次是金融（14％）、專業(yè)與消費者服務（9％）、法律（7％）以及IT與電信（7％）。

　　這場攻擊運動的受害者包括通濟隆（Travelex）、百富門（Brown-Forman Corp.）、制藥集團皮埃爾？法布爾（Pierre Fabre）以及知名律師事務所格魯伯曼？夏爾？梅塞拉斯與薩克斯（Grubman Shire Meiselas & Sacks）等公司。2021年3月，該團伙侵入宏碁，索要5000萬美元的贖金，創(chuàng)下歷史最高紀錄。

　　2021年4月18日，REvil團伙的一名成員宣布，該團伙在招募新成員的論壇上發(fā)帖稱，該組織即將宣布發(fā)動“有史以來最高調(diào)的攻擊”4月20日，該組織在Happy Blog網(wǎng)站上發(fā)布了許多據(jù)稱是Apple設備的設計圖紙。根據(jù)攻擊者稱，數(shù)據(jù)是從Quanta的網(wǎng)絡中竊取的。Quanta Computer是中國臺灣的一家制造商，也是Apple的合作伙伴之一。Quanta最初的贖金要求為5000萬美元。

　　在過去的幾個季度中，REvil的目標活動激增

　　REvil是Big GameHunting的典型代表。2021年，我們將看到為獲取敏感公司數(shù)據(jù)而索要更多贖金的趨勢。使用新戰(zhàn)術(shù)向受害者施壓，積極開發(fā)非windows版本，定期招募新分支機構(gòu)，所有這些都表明，攻擊的數(shù)量和規(guī)模只會2021年增加。

　　Babuk

　　Babuk locker是2021年大型勒索攻擊活動中的另一團伙。在2021年初，我們發(fā)現(xiàn)了數(shù)起涉及該勒索軟件的事件。

　　2021年4月底， Babuk背后的攻擊者宣布活動結(jié)束，稱他們將公開其源代碼，以便“做類似開源RaaS的事情”。這意味著我們可能會看到一波新的勒索軟件活動，只要各種較小的攻擊團伙采用泄露的源代碼進行他們的操作。我們已經(jīng)在其他RaaS和MaaS項目中看到過這種情況——去年針對Android的Cerberus銀行木馬就是一個很好的例子。

　　Babuk關于終止運營的公告

　　該團伙顯然為每個受害者定制了獨特的樣本，因為它包括組織的硬編碼名稱、個人勒索軟件注釋以及加密文件的擴展名。Babuk的運營商還使用RaaS模型。在感染之前，分支機構(gòu)或運營商會破壞目標網(wǎng)絡，因此他們可以確定如何有效安裝勒索軟件并評估敏感數(shù)據(jù)，從而為受害者設置最高的現(xiàn)實勒索價格。巴布克（Babuk）背后的團隊將其小組定義為使用RDP作為感染媒介“隨機測試企業(yè)網(wǎng)絡安全性”的賽博朋克（CyberPunks）。該團伙將80%的贖金交給其會員。

　　Babuk投放的廣告示例

　　Babuk在俄語和英語的黑客論壇上做廣告。2021年1月開始，一個論壇上出現(xiàn)了有關新勒索軟件Babuk的公告，隨后的帖子主要關注更新和會員招募。

　　Babuk向新聞界發(fā)表的聲明解釋了他們的策略和受害者選擇

　　Babuk的白名單防止針對以下國家/地區(qū)：中國、越南、塞浦路斯、俄羅斯和其他獨聯(lián)體國家。根據(jù)ZoomInfo的數(shù)據(jù)，運營商還禁止攻擊醫(yī)院、非營利慈善機構(gòu)和年收入低于3000萬美元的公司。要加入會員計劃，合作伙伴必須通過有關Hyper-V和ESXi虛擬機管理程序的面試。

　　Babuk可能是第一個因為公開宣布對LGBT和BLM（黑人生命也重要）社區(qū)持負面態(tài)度的勒索軟件團伙而登上頭條。正是由于這個事實，該組織將這些社區(qū)排除在他們的白名單之外。但在Babuk數(shù)據(jù)泄露網(wǎng)站上的一篇關于兩個月工作結(jié)果的帖子中，該團伙報告稱，他們已經(jīng)將LGBT和BLM基金會以及慈善組織列入了白名單。

　　技術(shù)細節(jié)

　　關于加密算法，Babuk使用與橢圓曲線Diffie-Hellman（ECDH）結(jié)合的對稱算法。加密成功后，該惡意軟件會在每個處理過的目錄中添加“How To Restore Your Files.txt”。除了文本之外，贖金記錄還包含指向一些被竊取數(shù)據(jù)的屏幕截圖的鏈接列表。這證明惡意軟件樣本是在受害者的數(shù)據(jù)被泄露之后被制作的。如上所述，每個樣本都是針對特定目標定制的。

　　在贖金記錄中，該團伙還建議受害者使用其個人聊天門戶網(wǎng)站進行談判。這些步驟并不僅限于Babuk，但通常出現(xiàn)在Big Game Hunting中很常見。值得注意的是，贖金記錄的文本還包含一個指向。onion數(shù)據(jù)泄露站點上相關帖子的私有鏈接，該鏈接無法從該站點的主頁上訪問。這里有一些屏幕截圖，以及關于被盜文件類型的文字描述，以及針對受害者的一般威脅。如果受害者決定不與網(wǎng)絡罪犯談判，則此帖子的鏈接將公開。

　　Babuk locker背后的組織主要針對歐洲、美國和大洋洲的大型工業(yè)組織。目標行業(yè)包括但不限于運輸服務、醫(yī)療保健部門以及各種工業(yè)設備供應商。實際上，最近的案例表明Babuk運營商正在擴大目標范圍。4月26日，華盛頓特區(qū)警察局證實其網(wǎng)絡被攻破，Babuk的運營商聲稱對此事負責，并在他們的。onion數(shù)據(jù)泄露網(wǎng)站宣布了此次攻擊。

　　Babuk宣布成功襲擊DC警察局

　　根據(jù)該網(wǎng)站上的帖子，該團伙從華盛頓特區(qū)警察局網(wǎng)絡中竊取了超過250GB的數(shù)據(jù)。截至撰寫本文時，警察部門有三天時間與攻擊者進行談判；否則，該組織將開始向犯罪團伙泄露數(shù)據(jù)。Babuk還警告稱，它將繼續(xù)攻擊美國國有企業(yè)。

　　Babuk從DC警察局網(wǎng)絡竊取的文件的屏幕截圖發(fā)布在泄露網(wǎng)站上

　　結(jié)論

　　2021年4月23日，我們發(fā)布了勒索軟件統(tǒng)計數(shù)據(jù)，顯示遭受該威脅的用戶數(shù)量顯著下降。這些數(shù)字不應該被曲解：盡管隨機個體遭受勒索軟件的可能性確實比過去要少，但公司面臨的風險從未如此之高。

　　勒索軟件生態(tài)系統(tǒng)一直渴望利潤最大化，因此已經(jīng)發(fā)展起來，現(xiàn)在可以被視為對全球公司的系統(tǒng)性威脅。

　　曾經(jīng)有一段時間，中小企業(yè)大多可以忽略信息安全帶來的挑戰(zhàn)：它們足夠小，可以不受APT攻擊者的監(jiān)視，但又足夠大，不會受到隨機和一般攻擊的影響。那些日子過去了，現(xiàn)在所有的公司都必須做好防范犯罪團伙的準備。

　　值得慶幸的是，此類攻擊者通常會搶先一步，而建立適當?shù)陌踩胧⒋笥凶鳛椤?/p>

　　在5月12日（即反勒索軟件日），卡巴斯基鼓勵組織遵循以下最佳做法，以保護您的組織免受勒索軟件的侵害：

　　經(jīng)常更新所有設備上的軟件，以防止攻擊者利用漏洞滲透到您的網(wǎng)絡。

　　將防御策略的重點放在檢測橫向移動和數(shù)據(jù)泄露上。要特別注意傳出的流量，以檢測網(wǎng)絡犯罪連接。設置入侵者無法篡改的脫機備份，確保在緊急情況下可以快速訪問它們。

　　為了保護公司環(huán)境，請培訓您的員工。專門的培訓課程可以提供幫助。

　　對網(wǎng)絡進行網(wǎng)絡安全審核，并修復在外部或內(nèi)部發(fā)現(xiàn)的所有漏洞。

　　對所有端點啟用勒索軟件保護。

　　安裝防APT和EDR解決方案，以實現(xiàn)高級威脅發(fā)現(xiàn)和檢測、調(diào)查和及時補救事件的功能。

　　如果您成為受害者，切勿支付贖金。它不能保證您能取回數(shù)據(jù)，但會鼓勵犯罪分子繼續(xù)其活動。相反，應將事件報告給您當?shù)氐膱?zhí)法機構(gòu)。試著在互聯(lián)網(wǎng)上找到一個解密器，例如：https://www.nomoreransom.org/en/index.html