勒索軟件攻擊的早期跡象可能取決于攻擊是自動的還是人為操作的。以下是在您的系統上需要注意的事項。盡管人們經常將勒索軟件攻擊視為“剛剛發生”的事情之一，但通常有警告跡象表明勒索軟件攻擊正在進行中。在本文中，我將分享幾個可用于檢測系統感染的勒索軟件指標。

自動勒索軟件與人工勒索軟件

作為背景，重要的是要了解勒索軟件通常分為兩類：自動和人工操作。

自動勒索軟件感染往往會給個人帶來問題。這些類型的攻擊純粹是機會主義的，通常遵循一種模式：用戶通過單擊鏈接或附件下載勒索軟件，然后勒索軟件會加密該人的數據并執行其設計的任何其他操作。最終，勒索軟件向用戶顯示勒索消息。

人為操作的勒索軟件要復雜得多。在這種情況下，勒索軟件團伙會找到闖入公司網絡的方法。一旦進入，該團伙將花費大量 時間研究組織的系統并計劃攻擊。到該團伙發出贖金要求時，它已經深入了解了該組織的內部運作。我最近聽說了一個人為勒索軟件的案例，其中攻擊者甚至知道受害者的數據保險單的細節（例如，保費、保單福利等）。從最初的違約到發出贖金要求可能需要數周甚至數月的時間。

自動勒索軟件的警告信號

當涉及到自動勒索軟件時，通常會誤認為用戶單擊鏈接并立即被感染。每個勒索軟件變種都是不同的，但在大多數情況下，受害者不會立即收到贖金要求。

這樣做的原因是攻擊者希望在發出贖金要求之前造成最大的損害。如果攻擊者在攻擊開始時提出贖金要求，受害者可以想像會拔掉他們計算機上的插頭并阻止攻擊，從而最大限度地減少損失。這就是為什么大多數勒索軟件攻擊者在通知用戶感染之前嘗試造成損害的原因。這是強迫受害者付款的一種方式。

同樣，每個勒索軟件變體都是不同的，但用戶可以通過發現某些違規行為來檢測正在進行的勒索軟件攻擊的跡象。自動勒索軟件攻擊的最大跡象是磁盤活動異常激增。請記住，勒索軟件將解析每個文件夾以進行數據加密。根據攻擊的具體情況，受害者（以及網絡上的其他人）也可能會注意到系統變得反應遲鈍。

盡管勒索軟件攻擊曾經只針對受害者的硬盤，但現代勒索軟件變種通常也會嘗試加密網絡共享上的數據。如果組織使用連續數據保護 (CDP)備份技術，備份服務器的活動將急劇增加。CDP 產品設計用于在文件被修改時備份文件（或者更確切地說是構成文件的存儲塊）。惡意加密過程將修改存儲塊，從而導致 CDP 備份系統更加努力地跟上所有這些更改。

人為勒索軟件的警告信號

人為操作的勒索軟件往往比自動勒索軟件更難發現。這僅僅是因為攻擊發生在數周或數月的時間內。如上所述，這些攻擊需要這么長時間的主要原因是攻擊者研究了組織及其網絡。然而，另一個原因是攻擊者故意緩慢移動以避免被發現。即便如此，您仍然可以尋找勒索軟件活動的跡象。

一旦攻擊者破壞了網絡，他們可能會創建一個后門。后門將讓他們在需要時重新進入網絡。在這種情況下，您應該注意創建新帳戶（尤其是特權帳戶）。

您還應該注意未經授權的軟件安裝。MimiKatz、Process Explorer、PC Hunter 或其他黑客工具的存在是你受到攻擊的一個致命的贈品。

勒索軟件攻擊的另一個跡象是，通常行為正常的系統是否突然出現故障。如前所述，攻擊者的目標是造成最大傷害并盡可能長時間地避免被發現。因此，攻擊者可能會嘗試關閉與安全相關的服務或篡改備份。如果您發現與安全相關的服務無緣無故地不斷關閉，那么是時候讓您的安全團隊立即參與進來了。同樣，如果您一直可靠的備份應用程序突然開始產生大量錯誤，您不應該認為這只是故障。攻擊者通常會嘗試禁用或破壞組織的備份，以迫使他們支付贖金。

當然，任何類型的與黑客相關的活動都可能表明勒索軟件攻擊正在進行中。來自網絡內部的端口掃描以及訪問網絡共享或基礎設施設備的失敗嘗試都可能表明即將發生攻擊。