译  者  序 

当今，数字文化、数字中国、新质生产力、数据要素、数字化转型、数字科技的迅猛发展给社会带来了前所未有的便利和机遇，重新定义了社会和商业的运作模式。在全国各行各业的共同努力下，数字化创新成果累累，取得了长足进步；而新质生产力的崛起则是数字化转型的重要标志之一，为全社会带来了更高效、更智能的生产方式，推动着经济增长与创新发展。全社会已进入数字时代，数据总量不断快速增加，人们必须清醒认识到数字时代不仅是技术上的革新，更是一场全方位的变革，涉及组织、文化、技术、社会和安全等多方面的风险。然而，新型的网络安全、数据安全和隐私保护的威胁与风险也随之而来，数字安全阴霾愈演愈烈。

在数字化转型浪潮中，数据安全与隐私保护(DSPP)的相关风险凸显，其中勒索软件类安全威胁也如影随形，逐渐演变成最棘手的问题之一。勒索软件、勒索团伙以及附属团伙所带来的挑战时刻提醒着组织和个人：数字社会的便利与风险并存，需要全社会、所有组织和个人时刻保持警惕，强化数据安全和隐私保护意识，采取更有效的防范控制措施，共同守护数字世界的安全与和平。

目前，各行各业的数据安全和隐私保护问题日益突出，勒索软件攻击事故频发，给各类组织、个人乃至整个社会带来严重威胁。勒索软件成为勒索软件团伙的利器，勒索软件团伙通过使用勒索软件恶意攻击组织和个人的设备、非法加密或限制文件和数据的访问、未经授权泄露组织和个人的数据与隐私，并胁迫受害方支付赎金用于解锁或恢复组织和个人的访问权限。

勒索软件攻击事故不仅会给组织和个人造成巨大损失，也会给社会带来严重影响。更有甚者，勒索软件团伙罔顾人类道德，肆意非法公布存在精神缺陷、身体残疾等的弱势人群的医疗诊治记录、就诊影像、诊疗图像和图片等个人医疗类隐私信息；以及涉及青少年、成年女性等敏感人群的刑事案件记录、涉案证据和生活照片等个人司法类隐私信息。勒索软件团伙的不人道行为给受害方组织和个人造成了巨大的精神困扰和痛苦，严重的个案可能导致受害方群体产生轻生念头。

为更有效地预防和响应勒索软件威胁，加强社会整体数据安全，政府和组织应投入更多资源用于加强网络安全和隐私保护，开展安全意识宣贯与培训，提高普通民众识别和响应勒索软件等威胁的能力。同时，要采取缓解控制措施，如定期备份重要文件，使用可靠的安全软件和工具等。此外，国与国之间要积极开展合作，追踪和打击勒索犯罪团伙，共同预防和应对勒索软件等网络和数据安全威胁。

总之，随着数字化转型的不断深入，网络和数据安全威胁也势必成为首要威胁之一。为此，组织和个人需要加强网络和数据安全建设、提高安全意识、加强合作，以实现可持续发展。

为此，清华大学出版社引进并主持翻译了《勒索软件预防、检测与响应手册》一书，全书共分12章，两大部分。具体内容介绍如下。

第I部分主要介绍勒索软件的基本概念，分析攻击模式和背景。其中，第1章介绍勒索软件的历史、发展和演变。第2章探讨预防勒索软件的措施，包括加密技术、脱敏技术、备份技术和其他防御控制措施。第3章介绍网络安全保险，讨论购买决策和网络安全保险行业的状况。第4章涉及响应勒索软件攻击时的法律考虑因素。

第II部分重点关注检测和恢复。第5章介绍建立勒索软件响应方案的重要性，以帮助组织和个人在受到威胁时能够迅速应对。第6章提供检测勒索软件的最佳方法，以便在勒索软件攻击造成实际危害前阻止勒索软件。第7章探讨如何最小化勒索软件攻击的危害，包括与勒索团伙的沟通和协商、考虑是否支付赎金等因素。第8章讨论勒索软件的早期响应，重点在于提高安全水平、与执法机构合作以及恢复数据和系统等方面。第9章涉及环境恢复，包括恢复业务和恢复受损的系统。第10章介绍处理勒索软件攻击后的后续步骤，包括学习和改进防御措施。第11章列出组织在应对勒索软件事故时应禁止的行为，以帮助组织和个人避免成为勒索软件攻击的目标。第12章探讨勒索软件的未来趋势和应对措施，包括技术趋势、全球合作、法律和政策的重要性等。

本书的翻译工作历时10个月全部完成。翻译中译者团队力求忠于原著，尽可能传达作者的原意。正因为参与本书翻译和校对工作的专家们的辛勤付出才有了本书的出版。感谢参与本书校对的各位安全专家，是他们保证了本书稿件内容表达的一致性和文字的流畅。感谢栾浩、赵超杰、徐坦、王文娟、高崇明、姚凯、唐刚、李婧、牛承伟在组稿、翻译、校对和通读等工作上投入的大量时间和精力，他们保证了全书既符合原著，又贴近数据安全和隐私保护实务的要求，以及在本书内容表达上的准确、一致和连贯。

感谢本书的主要审校单位河北新数科技有限公司(简称“河北新数”)。河北新数的核心业务能力是为企事业单位、政府、金融、医疗、教育等行业提供数字科技、软件研发、信息系统审计、信息安全咨询、人才培养与评价等服务。河北新数拥有一支国内外双重认证的专业化咨询专家团队，这支团队由数字化转型专家、数据治理与分析专家、数字科技风险治理专家、网络安全技术专家、信息安全技术专家、数据安全与个人隐私保护专家、信息系统审计师、软件工程造价师和内部审计师等组成。河北新数在数字化转型、数字安全、信息安全建设咨询、信息化项目造价评审和信息系统审计等领域具有丰富的实践经验。在本书的译校过程中，河北新数投入了多名专家助力本书的译校工作。

同时，感谢本书的审校单位上海珪梵科技有限公司(简称“上海珪梵”)。上海珪梵是集数字化软件技术与数字安全于一体的专业服务机构，专注于数字化软件技术与数字安全领域的研究与实践，并提供数字科技建设、数字安全规划与建设、软件研发技术、网络安全技术、数据与数据安全治理、软件项目造价、数据安全审计、信息系统审计、数字安全与数据安全人才培养与评价等服务。上海珪梵是数据安全职业能力人才培养专项认证的全国运营中心。在本书的译校过程中，上海珪梵的多名专家助力本书的译校工作。

在此，感谢中科院南昌高新技术产业协同创新研究院、中国软件评测中心(工业和信息化部软件与集成电路促进中心)、中国卫生信息与健康医疗大数据学会信息及应用安全防护分会、数据安全关键技术与产业应用评价工业和信息化部重点实验室、中国计算机行业协会数据安全专业委员会给予本书的指导和支持。一并感谢江西立赞科技有限公司、北京金联融科技有限公司、江西首赞科技有限公司在本书译校工作中给予的大力支持。

最后，感谢清华大学出版社和王军等编辑的严格把关，悉心指导，正是有了他们的辛勤努力和付出，才有了本书中文译本的出版发行。

本书涉及内容广泛，立意精深。因译者能力局限，在译校中难免有不妥之处，恳请广大读者朋友指正。

 译 者 介 绍 

栾浩，获得美国天普大学IT审计与网络安全专业理学硕士学位，马来亚威尔士大学(UMW)计算机科学专业博士研究生，持有CISSP、CISA、CDSA、CISP、CISP-A、TOGAF、数据安全评估师等认证证书，曾供职于思科中国、东方希望集团、华维资产集团、京东集团、包商银行等企业，历任软件研发工程师、安全技术工程师、系统架构师、安全架构师、两化融合高级总监、数转智改副总裁、CTO、CISO职位，现任CTO，并担任中国卫生信息与健康医疗大数据学会信息及应用安全防护分会委员、中国计算机行业协会数据安全产业专家委员会委员、中关村华安关键信息基础设施安全保护联盟团体标准管理委员会委员、数据安全人才之家(DSTH)技术委员会委员，负责数字化系统评价与建设、数据治理与运营、数字安全保障、数据安全治理、个人隐私保护，数字化转型赋能项目的架构咨询、规划、建设、督导，安全技术与运营、IT审计和人才培养等工作。栾浩先生担任本书翻译工作的总技术负责人，承担全书的组稿、翻译、校对和定稿工作。 

赵超杰，获得燕京理工学院计算机科学与技术专业工学学士学位，持有CDSA、DSTP-1等认证。现任安全技术经理，负责数字化转型过程中的数字科技风险治理、数据安全管理、渗透测试、攻防演平台研发、安全评估与审计、安全教育培训、数据安全课程研发等工作。赵超杰先生承担本书前言及第 1、4、6~7、9~12 章的翻译工作，承担全书的校对和通读工作，为本书撰写了译者序，同时担任本书的项目经理。

徐坦，获得河北科技大学理工学院网络工程专业工学学士学位，持有CDSA、DSTP-1、CISP、CISP-A等认证。现任安全技术经理职务，负责数据安全技术、渗透测试、代码审计、安全教育培训、云计算安全、安全工具研发、IT审计和企业安全攻防等工作。徐坦先生承担本书的校对和通读工作。

王文娟，获得中国防卫科技学院信息安全专业工学学士学位，持有CDSA、CISP、CISA等认证。现任副总监职务，负责全集团网络安全体系建设及安全管理审查等工作。王文娟女士承担本书全部章节的校对工作。

高崇明，获得解放军信息工程大学信号与信息处理专业工学硕士学位，高级工程师。获得CISP-PTE、CISP和商用密码应用安全性评估等认证。担任总工程师职务，负责信息安全评估、商用密码应用、电子认证技术、数字证书应用、密码应用安全性评估等工作。高崇明先生承担本书部分章节的校对工作。

姚凯，获得得中欧国际工商学院工商管理专业管理学硕士学位，高级工程师，持有CISSP、CDSA、CCSP、CEH、CISA等认证。担任首席信息官职务，负责IT战略规划、策略程序制定、IT架构设计及应用部署、系统取证和应急响应、数据安全、灾难恢复演练及复盘等工作。姚凯先生担任DSTH技术委员会委员。姚凯先生承担全书的通读工作。

牛承伟，获得中南大学工商管理专业管理学硕士学位，持有注册数据安全审计师(CDSA)、CISP等认证。现任广州越秀集团股份有限公司数字化中心技术经理职务，负责云计算、云安全、数据安全、虚拟化运维安全、基础架构和资产安全等工作。牛承伟先生担任DSTH技术委员会委员。牛承伟先生承担本书部分章节的通读和校对工作。

唐刚，获得北京航空航天大学网络安全专业理学硕士学位，高级工程师，现任中国软件评测中心(工业和信息化部软件与集成电路促进中心)副主任，承担网络和数据安全相关课题的研究和标准制定工作。唐刚先生承担本书部分章节的校对工作。

李婧，获得北京理工大学软件工程专业工学硕士学位，高级工程师，持有CISSP、CISP、CISA等认证。现任中国软件评测中心(工业和信息化部软件与集成电路促进中心)网络安全和数据安全研究测评事业部副主任职务，负责数据安全和网络安全的研究、测评、安全人才培养、成果转化等工作。李婧女士现任中国计算机行业协会数据安全产业专家委员会委员。李婧女士作为本书数据安全领域特邀专家，承担本书第2章的翻译工作。

张伟，获得天津财经大学国际贸易专业经济学学士学位，持有CISSP、CISA等认证。现任技术总监职务，负责安全事件处置与应急服务、安全咨询服务、安全建设服务等工作。张伟先生承担本书第3章的翻译工作。

刘建平，获得华东师范大学计算机科学专业工学学士学位，持有CISP等认证。现任信息技术运营经理，负责信息技术基础架构、信息技术运维、安全技术实施、安全合规等工作。刘建平先生担任本书第5章的翻译工作。

董路明，获得华中科技大学控制理论与工程专业工学硕士学位，持有CISSP认证。现任中兴通讯无线安全实验室资深网络安全专家，负责5G无线网络安全技术的预研、数据安全治理、云平台安全和软件研发安全等工作。董路明先生承担本书第8章的翻译工作。

罗春，获得电子科技大学电子工程专业工学学士学位，持有CISP、CISA等认证。现任中铁科研院一级专家职务，负责网络与数据安全治理、云平台安全和安全产品研发等工作。罗春先生承担本书部分章节的校对工作。

陈欣炜，获得同济大学工程管理专业管理学学士学位，持有27001LA、22301LA等认证。现担任技术负责人职务，负责云安全合规管理、安全事件处置与应急、数据安全治理、终端安全和软件研发安全等工作。陈欣炜先生承担本书部分章节的校对工作。

以下专家参加本书各章节的校对和通读等工作，在此一并感谢：

张德馨先生，获得中国科学院大学电子科学与技术专业工学博士学位。

朱信铭女士，获得北京理工大学自动控制专业工学硕士学位。

王翔宇先生，获得北京邮电大学电子与通信工程专业工学硕士学位。

黄峥先生，获得成都信息工程学院电子信息工程专业工学学士学位。

曹顺超先生，获得北京邮电大学电子与通信工程专业工学硕士学位。

张浩男先生，获得长春理工大学光电信息学院软件专业工学学士学位。

袁豪杰先生，获得清华大学航空工程专业工学硕士学位。

牟春旭先生，获得北京邮电大学电子与通信工程专业工学硕士学位。

安健先生，获得太原理工大学控制科学与工程专业工学硕士学位。

张嘉欢先生，获得北京交通大学信息安全专业工学硕士学位。

杨晓琪先生，获得北京大学软件工程专业工学硕士学位。

王儒周先生，获得元智大学资讯工程专业工学硕士学位。

孟繁峻先生，获得北京航空航天大学软件工程专业工学硕士学位。

黄金鹏先生，获得中国科学院大学计算机技术专业工学硕士学位。

刘芮汐女士，获得上海理工大学统计学专业经济学硕士学位。

苏宇凌女士，获得大连海事大学经济学专业经济学硕士学位。

原文涉猎广泛，内容涉及诸多难点。在本书译校过程中，数据安全人才之家(DSTH)技术委员会、(ISC)²上海分会的诸位安全专家给予了高效且专业的解答，这里衷心感谢(ISC)²上海分会理事会及分会会员的参与、支持和帮助。

 作 者 简 介 

Roger A . Grimes是一名拥有34年工作经验的计算机安全顾问、讲师，拥有数十项计算机证书，曾撰写过12本书并发表过1100多篇关于计算机安全的文章。Roger曾在许多世界上最重要的计算机安全会议(如Black Hat、RSA 等)上发言，登上过Newsweek杂志，出现在电视上，接受过NPR的All Things Considered节目和《华尔街日报》的采访，还曾是数十个广播节目和播客的嘉宾。Roger曾在世界上最大的计算机安全公司工作，包括Foundstone、McAfee和Microsoft。Roger为世界各地大大小小的数百家公司提供咨询服务。他的研究重点是主机和网络安全、勒索软件、多因素身份验证、量子安全、身份管理、反恶意软件、攻防技术、蜜罐、公钥基础架构、云安全、密码术、策略和技术写作。Roger获得的认证包括CPA、CISSP、CISA、CISM、CEH、MSCE: Security、Security+和yada-yada等，并担任其中许多课程的讲师。Roger的著作和演讲经常以真实、新颖的观点而闻名。2005—2019年，Roger担任InfoWorld和CSO杂志的每周安全专栏作家。

 技术编辑简介 

Aaron Kraus，CCSP，CISSP，是一位信息安全专家，在安全风险管理、审计和信息安全主题教学方面拥有超过15年的经验。Aaron曾在多个行业从事安全和合规工作，包括美国联邦政府民用机构、金融服务和科技初创公司。Aaron是一名课程制作专家、讲师和网络安全课程主任，在Learning Tree International有超过13年的工作经验，最近在讲授(ISC)2 CISSP考试预备课程。Aaron曾担任多种Wiley书籍的作者和技术编辑，包括The Official (ISC)2 CISSP CBK Reference、The Official (ISC)2 CCSP CBK Reference、(ISC)2 CCSP Certified Cloud Security Professional Official Study Guide, 2nd Edition、CCSP Official (ISC)2 Practice Tests、The Official (ISC)2 Guide to the CISSP CBK Reference, 5th Edition和(ISC)2 CISSP Certified Information Systems Security Professional Official Practice Tests, 2nd Edition。

 致　　谢 

首先要感谢Jim Minatel，我的Wiley策划编辑；我们在一起至少合作了四本书。Jim总能在合适的时间为我们想出合适的写作方向，并把其他有才华的团队成员聚拢在一起共同完成书籍的编写。我非常感谢制作团队的所有其他成员，包括项目经理Brad Jones，执行编辑Pete Gaughan、Sacha Lowenthal、Saravanan Dakshinamurthy、Kim Wimpsett和技术编辑Aaron Kraus。在参与这个项目之前，我并不认识Aaron，但我现在知道Aaron是个摇滚明星。Aaron是我遇到过的最优秀技术编辑之一。Brad 的节奏和反应也非常完美。

特别感谢Anjali Camara(Connected Risk Solutions的合伙人和网络业务负责人)；Anjali博士抽出时间指导我了解网络安全保险问题和行业的巨大变化，最终形成一个完整章节。特别感谢老友Gladys Rodriguez，她是Microsoft首席网络安全顾问，为我提供了关于恢复Microsoft环境的信息，在她感兴趣的任何Microsoft技术主题上，她总能以出类拔萃的智慧成为众人瞩目的焦点。

感谢KnowBe4的同事们，首先要感谢Erich Kron。多年前，在我第一次了解新型勒索软件时，观看的就是Erich早期的勒索软件幻灯片；我是站在Erich肩膀上才取得今天的成就的。我的朋友兼同事James McQuiggan一直是我的忠实听众，James很好地把我30分钟的长篇大论变成了更令人难忘的30秒俏皮话，让人们更愿意倾听和阅读。作家Perry Carpenter所忘记的关于社会工程学的知识比我一生能学到的还要多，感谢他的帮助。感谢我了不起的同事们，包括Javvad Malik(去看看他的YouTube视频和他与Erich的Jerich Show播客吧)、Jacqueline Jayne、Anna Collard(南非摇滚明星!)、Jelle Wieringa(他会用五种语言读、写和交谈，包括董事会会议室使用的语言)。他们都教会了我勒索软件是如何影响其国家和地区的。

非常感谢我的CEO Stu Sjouwerman、顶头上司Kathy Wattman(她是我最有力、最坚定的支持者)、高级副总裁Michael Williams；感谢优秀的营销团队，包括Mandi Nulph、Mary Owens和Kendra Irimie；感谢我的公关团队，包括Amanda Tarantino、Megan Stultz和Reilly Mortimer；感谢所有人在过去几年里允许或强迫我数百次谈论勒索软件，让我对这个主题有了深刻的理解。感谢同事Ryan Meyers帮助我寻找勒索软件团伙正在使用或可能使用的正确网络钓鱼线索。

最后，感谢现有的数百种勒索软件资源(文章、演示文稿、白皮书和调查报告)，这些资料为我提供了试图整合到本书中的大部分教育资源。打败勒索软件需要所有人的努力。我希望自己能为打败勒索软件贡献力量。

 前　　言 

我从1987年就开始从事计算机安全工作。我见过的第一款勒索软件(Ransomware Program)出现在1989年12月的一张5.25英寸软盘上，人们将这个勒索软件称为AIDS PC Cyborg特洛伊木马(Trojan)。

当时并没有称AIDS PC Cyborg特洛伊木马为勒索软件，因为AIDS PC Cyborg是第一款，也是唯一的勒索软件，所以人们并没有立即创建一个新的分类名称，并且多年来一直保持着这种状态。安全专家们几乎没有意识到，AIDS PC Cyborg将是未来几十年里一个令人震惊的数字犯罪行业的开端，也是全球范围内数字威胁的严重祸根。

与今天的勒索软件相比，AIDS PC Cyborg特洛伊木马相当简单，但其代码仍足以彻底混淆数据，使得AIDS PC Cyborg勒索软件缔造方有足够底气要求受害方组织和个人支付189美元的赎金以还原数据。即使在当前看来，首款勒索软件及其缔造方的故事依然显得很离奇。如果有人试图在好莱坞黑客电影中还原真实情况也难以令人置信。相比较而言，如今的勒索软件缔造方和团伙的非法行径更加专业和令人信服。

首款勒索软件的缔造者Joseph L. Popp博士是哈佛大学进化生物学家，后期成为人类学家。在此期间，Popp博士对艾滋病研究产生了兴趣，被捕时正活跃在艾滋病研究领域。对于Popp博士如何对艾滋病研究产生兴趣并无记载，也许与其在非洲记录狒狒行踪15年的经历有关。1978年，Popp博士与其他专家合著了一本关于肯尼亚马赛马拉自然保护区的书籍，并于1983年4月发表了一篇关于狒狒研究的科学论文。医学界认为艾滋病源于非洲非人灵长类动物，这些理论在人们寻找“零号病人(Patient Zero)”的同时，开始受到更多关注。Popp博士对艾滋病疾病的探索恰逢其时，他凭借自己的专业知识和经验，将两个看似不相关的研究领域联系了起来，他的研究具有深远意义。

20世纪80年代末，医学界对艾滋病的研究和理解仍然相当浅薄，仅限于非常基础的内容。对于这种较新的疾病及其传播方式，社会普遍存在恐惧。与今天的治疗方法和抗病毒药物不同，在早期，感染艾滋病毒就等同于宣判死刑。当时，人们惧怕亲吻或拥抱那些可能患有艾滋病的人员。医学界内外的人们对有关艾滋病的最新信息和知识产生了浓厚兴趣。

没有人知道Popp博士为什么决定编写世界上第一款勒索软件。有人猜测，Popp博士是因为没有在艾滋病研究行业得到一份理想的工作而感到不满，因而产生报复心态，但也可以说Popp博士只是想确保其工作得到应有的报酬。尽管如此，仍然有明显的迹象表明，Popp博士隐藏了自身的不良意图，他知道自己的应用程序不会被人们接受。当一个人试图隐瞒自己参与某事的时候，很难证明自己对非法行为一无所知。

世界卫生组织于1988年10月在斯德哥尔摩举办了艾滋病会议，购买了与会各方的名单。据称Popp博士还使用了英国计算机杂志PC Business World和其他商业杂志的订阅方列表。

Popp博士使用QuickBasic 3.0编程语言编写了特洛伊木马程序代码，Popp博士花费几个月的时间来编写和测试代码。在完成测试后，Popp博士将代码复制到20 000多张软盘中，贴上标签，打印相应的使用说明，手动粘贴邮票，然后将软盘邮寄给美国、英国、非洲、澳大利亚和其他国家毫无防备的收件人。Popp博士在完成这些工作时一定得到了帮助，因为一个人创建20 000个软件包并手动投递邮件可能需要花费数周的时间。但在法庭文件中从未提及有其他人员的参与，Popp博士也没有自愿提供过这方面的信息。

含有AIDS PC Cyborg特洛伊木马的软盘已贴上AIDS Information Introductory Diskette标签(参见图0.1)。

软盘的使用说明中说该软盘中的应用程序包含有关艾滋病的信息。用户查看后，应用程序会要求用户回答一系列个人行为问题。而这些问题的答案将用于向用户提供一份有关他们感染艾滋病风险的报告，以及有关如何避免感染艾滋病的建议。

使用说明中包括这样的警告信息：“如果你使用此软盘，则必须支付强制性软件许可费用。”Popp博士后来利用此警告信息为自己辩护，试图解释为什么不应该将他的AIDS PC Cyborg应用程序视为非法勒索软件。你可在图0.2中看到这些说明和不祥的警告。

此外，当AIDS PC Cyborg木马软件首次运行时，会将许可证和发票显示到屏幕上，如果电脑连接了本地打印机，还会通过打印机打印纸质版。许可证告诉用户必须支付软件许可费用，甚至还包括用户不太可能在任何其他合法软件上看到的不祥警告：

“如果用户在计算机上安装此软件……

那么根据本许可证的条款，用户同意向PC Cyborg公司全额支付租赁软件的费用……

若用户违反本许可协议，PC Cyborg保留采取必要法律行动的权利，以收回任何应付给PC Cyborg公司的未偿债务，并使用程序机制，以确保终止用户的使用……

这些程序机制将对其他应用程序的使用产生不利影响……

特此告知用户未遵守本许可协议条款的最严重后果；用户的良心可能在余生受到谴责。

用户的计算机将停止正常运行……

严禁与他人共享本产品。

正如今天一样，大多数用户都不会仔细阅读软件许可协议。在大多数时候，这并不是严重问题，但在AIDS PC Cyborg场景下，没有阅读带有异常可怕警告的许可协议将导致严重的事情发生。在20世纪80年代末，大部分用户不会为非强制付费的商业软件付费，非法复制和交易软件是常态。人们为朋友复制软盘甚至出售软盘的情况非常普遍。当地的计算机俱乐部每月都会举行软盘交换活动。如果用户认为不必为软件付费，就不付费。作为回应，软件研发团队编写了“复制保护”应用程序，以防止轻松地进行标准的软盘复制。

Roger看到其他恶意软件和网站在其授权许可信息中包含了类似的“公正警告(Fair Warning)”。阅读到最后永远不会有什么坏处，不要简单地忽略信息并快速使用软件。

Popp博士要么不知道如何实施合法的复制保护，要么完全依靠其独特的赎金机制对无视其授权许可说明的人员强制收费。或许，Popp博士是从早期的恶意软件中得到这种灵感。1986年，第一款与IBM PC兼容的计算机病毒 Pakistani Brain是作为一种复制预防机制出现的。Pakistani Brain的软件开发者厌倦了用户非法复制软件而不付费。如果用户肆意使用软盘里面的内容，Pakistani Brain恶意软件会导致启动过程出现问题，并可能迫使用户向软件开发者支付费用以解决问题。然而，Pakistani Brain恶意软件没有加密任何数据或资产，也没有直接要求支付赎金。

Popp博士将AIDS PC Cyborg勒索软件视为合法获得版权和软件许可证的一种方式。使用AIDS PC Cyborg软件的用户至少能在两个地方清楚地看到警告。相比之下，今天的勒索软件从不发出任何警告。因此，Popp博士的“作品”比今天的勒索软件更加合乎道德。不过，即使Popp博士是稍微有点道德的罪犯，也并不意味着就是一个值得推崇或效仿的高标准，只是五十步笑百步而已。

无论如何，当用户第一次运行Popp博士的AIDS PC Cyborg软件时，应用程序将自行安装在本地硬盘驱动器(C:)上，并篡改autoexec.bat文件以用作启动计数器。在所涉及的PC启动90次左右后，应用程序将加密或混淆用户的文件和文件夹。然后，PC将显示图0.3中所示的信息。

没人知道为什么Popp博士把启动计数器设为90。也许是因为Popp博士估计，大多数用户在工作日每天启动一次计算机，90个工作日足够用户为AIDS PC Cyborg应用程序支付费用且足够Popp博士为用户寄出“解除锁定”的可执行软盘。

Popp博士注册了一家名为PC Cyborg的公司，这也是病毒得名的原因。PC Cyborg一词出现在原始许可证和事后勒索软件的警告中，并要求将189美元的年度“许可费”或389美元的“终身许可费”寄到巴拿马的邮政信箱。正是邮递信息导致Popp博士迅速暴露身份并受到逮捕。因此，今天的勒索软件团伙使用难以识别真实所有权的加密数字货币收取赎金。

Popp博士试图隐藏其身份以及与创建勒索软件有关的原始情况。时至今日，不道德攻击方利用境外公司和账户，试图隐藏身份和经济收益的情况仍然十分常见。当时，巴拿马成为隐匿财产和避税的安全港，就像今天的开曼群岛和其他离岸岛屿一样。

当特洛伊木马程序的有效载荷运行时，在显示勒索指令之前，AIDS PC Cyborg木马程序将对文件和文件夹执行基本的对称加密操作。AIDS PC Cyborg会将所有的现有文件和子目录移动到根目录下的一组新的子目录中，并重新命名，在每个文件和文件夹上启用DOS的“隐藏”属性功能，这将导致文件和文件夹看似丢失。所有文件和文件夹也将使用“高级”扩展ASCII控制字符予以重命名，这也将导致内容看起来不可见，即使受害方组织和个人发现并关闭DOS的隐藏属性，文件和文件夹名称看起来也已损坏。如果受影响的组织和用户试图执行常见的搜索命令来查看发生了什么，恶意软件会返回带有虚假结果的DOS屏幕回显，以迷惑组织和用户。

主要的恶意子目录集是使用扩展ASCII字符255创建的，扩展ASCII字符255是一组控件代码，其视觉效果类似于空格，不会在屏幕上显示，也不会在打印时显示。对大多数组织和用户而言，所有文件和文件夹似乎都已“消失”，或者严重受损。但重要的是，事实上，勒索方并未加密任何文件和文件夹(与今天的勒索软件不同)。文件和文件夹只是被重命名或移动了位置。

勒索软件创建了一份转换表，可用于撤销移动和重命名。如果用户找到转换表并了解特洛伊木马程序的用途，则可以恢复文件和文件夹的名称并移至原来的物理位置。有些专家意识到了这一点，并编写了相应的“修复”程序代码，包括早期的计算机病毒专家Jim Bates。

Bates撰写了一份40页的特洛伊木马分析报告，并将该报告免费发送给所有需要的组织和个人，1990年1月，Bates在顶级防病毒期刊Virus Bulletin上发表的一篇更加简短但依然很精彩的分析文章揭示了PC Cyborg特洛伊木马的许多可疑活动，包括为了伪造用户在调查时看到的内容而采取的多个步骤。Virus Bulletin是一个优秀的实例，展示了防病毒和在线社区如何团结起来共同对抗敌人。

PC Cyborg勒索软件的加密技术使用了密码学家所发布的简单字符替换加密组件。替换是最简单的加密技术类型，正因为如此，将Popp博士的加密技术称为混淆技术可能更加准确。该勒索软件的加密方法的安全性较差。与当今勒索软件变种中的加密方法相比，它更是显得不够复杂和高级。但是，强和弱的概念仅仅存在于专业人士的认知和技术分析中。相对于大多数受害方组织和个人而言，结果就是：数据消失，计算机再也无法使用。

在详细分析的同时，Bates还编写了一款名为AIDSOUT的免费特洛伊木马清除软件和一款名为AIDSCLEAR的免费软件。这两个软件可将任何重命名和移动的文件还原到原始物理位置，并恢复原始名称。McAfee防病毒软件公司的John McAfee，通过谈论勒索软件并宣传其解锁被锁定的计算机的事迹，在美国获得了不少关注。

正是在那段时间，围绕John McAfee的事迹的系列宣传，促使Roger在晚些时候帮助John McAfee破解DOS计算机病毒，并在很大程度上成就了Roger的网络安全职业生涯。

在反病毒软件行业和执法部门确定Popp博士参与其中后，Popp博士在Amsterdam的Schiphol机场被捕，最终关押在伦敦。在拘押期间，人们就曾注意到Popp博士可能患有精神疾病。甚至在警方逮捕Popp博士之前，Popp博士似乎已经在另一名乘客的行李上潦草地写下了奇怪的信息，信息内容为“Popp博士在行李里”。在这段时间里，Popp博士还有许多其他不寻常的滑稽行为，包括在鼻子上戴避孕套，在胡须上戴卷发器“以防止辐射”。直到今天，没人知道Popp博士是否真的有精神健康问题，又或者只是装疯以逃脱法律制裁。然而，无论真相是什么，Popp博士最初在荷兰被捕，之后由荷兰当局将Popp博士遣返回美国俄亥俄州的父母身边。随后，Popp博士因包括勒索在内的许多罪行再次被捕，并引渡到英国接受审判。

在一些新闻报道中，逮捕地点有些差异，有段时间，听闻Popp博士同时在两三个不同的国家被捕或拘留，并且，至少在其中两个国家面临审判。Popp博士最后在英国法院获释。

Popp博士最初辩护时声称其所做的一切都是合法的，因为应用程序已经警告了用户，而受害方是在法律上有义务支付费用而没有付费的人群。有些律师认为尽管Popp博士的做法有些不寻常和不道德，但Popp博士的法律观点可能是有道理的。然而，Popp博士最初的部分辩护理由不攻自破，因为PC Cyborg应用程序还声明，如果用户将PC Cyborg应用程序带到另一台计算机并允许PC Cyborg应用程序锁定新的计算机，则PC Cyborg应用程序将解锁初始计算机，从而允许初始计算机正常使用。然而，解锁应用程序并未生效，暂且无论是有意还是无意的，初始计算机和新锁定的计算机都无法正常工作。

目前，尚不清楚Popp博士是否曾经获得过报酬或发送过解锁软盘，又或者解锁软盘是否有效。Roger并不知道谁支付了赎金，在数十个旧新闻中，没有受害方声称已经支付了赎金或从Popp博士手中收到解锁软盘。Roger认为Popp博士在其应用程序开始成为世界新闻时，迅速逃亡以免被捕。值得怀疑的是，Popp博士是否有时间在巴拿马取钱并寄出解锁软盘，当然，Popp博士确实没有大规模这样做。围绕PC Cyborg特洛伊木马的所有新闻报道都将PC遭到锁定的受害方作为主角。

Popp博士对法庭调查人员声称，曾规划将所有赎金捐献给艾滋病研究。这一说法不太可能说服任何法院，也不会帮助Popp博士驳回任何未决指控。必须指出的是，Popp博士的确是几个艾滋病研究小组的成员，且Popp博士筹集资金用于艾滋病研究。Popp博士还参与了若干艾滋病教育会议和计划。然而，无论是哪种情况，多名法官裁定Popp博士确实不适合接受审判。1991年11月，英国法官Geoffrey Rivlin裁定Popp博士无罪并予以释放，让其回到父母身边。

Popp博士此后渐渐淡出人们的视野，并将兴趣转向了人类学。Popp博士曾直接攻击和不公正地诽谤世界各地的艾滋病研究团体，导致无法继续参与艾滋病领域的研究。十年后的2001年9月，Popp博士出版了一本颇有争议的著作，名为Popular Evolution Life Lessons，其中包含了许多非常规的建议，包括奉劝年轻女性积极关注生育。Popp博士强烈支持“科学伦理”，这与大多数人们所遵循的道德规范和伦理截然相反。也许Popp博士对于自己非常规道德的信心在其创建第一款勒索软件中发挥了作用。Popp博士还支持优生学和安乐死，Popp博士不相信任何人都可养宠物。Popp博士几乎得罪了所有过着传统生活的人们。可以说，Popp博士的推荐书并不是一本畅销书，也没有减少其他人对于Popp博士的负面看法，即便Popp博士已经在从事其他职业。

有时，一个古怪的人也可以是一个温柔的人，并受到他人的喜爱。就在Popp博士2007年去世之前，以“Joe博士”之名资助了Joseph L. Popp蝴蝶温室。Joseph L. Popp蝴蝶温室拥有自己的Facebook主页，在2020年关闭。

Popp博士一生中曾从事几种不同的职业，包括进化生物学家、作家、人类学家和蝴蝶爱好人士。但是，Popp博士最大的意外名声可能就是“勒索软件之父”，也是Popp博士余生都无法摆脱的。2021年，关于Popp博士的报道仍与1990年Popp博士在数字领域造成浩劫时一样多。无论功过是非，Popp博士都已在历史上留下浓重的一笔。

有关Popp博士及其PC Cyborg程序的更多信息和故事，请访问[Link1]。

PC Cyborg勒索软件的出现是一个警示，安全专家们可以从中汲取经验与教训。在这个世界上，有些人是没有道德顾虑的，他们加密组织和用户的数据并要求组织和用户支付赎金以解锁加密数据，甚至愿意冒着牢狱之灾以身犯险。

出人意料的是，在Popp博士的特洛伊木马程序之后，并没有像反病毒斗士们所担心的那样出现大量的模仿事件。也许是因为Popp博士并没有成功，Popp博士没有因为PC Cyborg软件而致富，最终惨遭逮捕。至少在当时，其他犯罪分子发现，实施数字勒索并逃脱惩罚是很困难的。但十年过后，其他技术(加密货币)的发展使犯罪分子几乎每次都能逃脱惩罚。

Popp博士的加密技术并非十分先进。大约在同一时期，其他类型的恶意软件，特别是计算机病毒，开始尝试使用更先进的加密技术。然而，攻击方使用加密技术仅用于隐藏和保护恶意软件本身免受快速反病毒工具检测，而非加密数据文件并索要赎金。

渐渐地，有些稍微“先进”的勒索软件开始出现。勒索软件大多数都能够创建自己的加密程序，但质量不佳，几乎总是不完美的加密技术。正如人们当时所知，早期的“加密病毒”或“加密特洛伊木马”很少需要解密密钥用于解锁数据。密码学爱好人士经常想办法在不支付赎金的情况下解密已锁定的文件。早期很难实现完美的加密技术。到2006年，第二代加密恶意软件开始出现，第二代加密恶意软件使用的是已知的、经过验证的、不容易破解的密码软件。到2013年，使用难以破解的加密技术的勒索软件已经相当普遍。

随着加密技术问题的逐步解决，犯罪分子面临的更大问题是，勒索软件的缔造方如何在不会被捕的情况下获得赎金。同一时间，发生了两件事，首先是2009年发明了比特币。几年过后，在2014年，勒索软件与比特币建立了联系，这使得整个勒索软件行业开始爆炸式发展。现在，犯罪分子已经完美解决如何在不被捕的情况下获得赎金的问题。

其次，一些欧洲国家开始成为勒索软件犯罪分子的网络避风港。如今，许多勒索软件团伙位于相应国家境内或周边地区，几乎不受惩罚。许多勒索软件团伙将向当地和国家的执法部门行贿作为开展攻击活动的一部分，来源于勒索软件团伙的收入在所在国视为净收益。只要勒索软件犯罪分子不加密所在国或盟友的设备，就可以自由开展业务，几乎没有例外。

随着这两项有利因素的出现，复杂的勒索软件开始攻击个人、医院、警察局，甚至整个城市。如今，勒索软件多如牛毛，以至于能够搞垮整个组织，而动辄数百万美元的赎金甚至都不会引起人们的注意。勒索软件攻击正在摧毁石油管道、食品生产厂、大型集团，关闭学校、延误医疗，利用了其所能利用的一切，却几乎不受惩罚。在Roger写本书的时候，勒索软件团伙正处于“黄金时期”，造成的破坏和勒索的赎金比以往任何时候都多。目前，安全专家们在阻止勒索软件犯罪分子实施数字犯罪方面做得并不好。

但是，安全专家们可以做得更好。这就是本书的主题。首要目标是预防勒索软件的攻击，并在组织受到攻击时将损失降到最低。事实证明，组织可以实施多项安全控制措施以避免勒索软件攻击，或者至少能显著降低风险。对抗勒索软件不仅仅是部署一套优秀的、可靠的备份系统和最新的防病毒应用程序。

本书将讲述在第一时间预防勒索软件攻击的最佳方法，本书介绍的方法相较于组织和用户所能找到的其他任何资源都好。本书将告诉组织和用户在可能受到勒索软件攻击前，应该如何开展预防工作，以及如果组织和用户受到攻击和入侵，应逐步采取哪些保护措施。组织和用户将避免成为受害方，甚至能够发起反击。

目前，很难有效地控制勒索软件事故，因此，任何组织和个人都可能成为勒索软件的受害方。本书的目的并不是告诉组织和用户能够100%击败勒索软件。没有哪位安全专家能够提出100%击败勒索软件的方案。网络和数据安全防御是将风险最小化的过程，而不是完全消除风险。Roger的目标是帮助组织和用户尽可能降低风险。如果遵循本书中的方式和步骤，组织和用户能够有效降低受到勒索软件损害的风险，能了解到更合适的新型防御措施(在第2章中介绍)。

不打无准备之仗！

读者对象

本书主要面向所有负责管理组织网络和数据安全的团队和人员，从一线的防御团队到顶级网络和数据安全主管。本书适用于正在第一次乃至第十次考虑审查、购买或实施网络和数据安全防御的所有组织与团体。

预防和缓解勒索软件攻击的方法，就是预防和缓解所有恶意团伙和恶意软件攻击行为的方法。如果遵循本书所授经验，可以有效降低恶意攻击方和恶意软件攻击的风险。即使有一天勒索软件消失了，从本书学习的内容也仍然适用于防御下一次“大型”攻击。

本书涵盖的内容

本书共有12章，分为两部分。

第Ⅰ部分：简介

第Ⅰ部分总结了勒索软件的原理、复杂度，以及如何预防其利用用户和组织的设备。组织和用户不了解勒索软件的成熟度，导致无法在受到攻击前集中精力阻止攻击。

第1章“勒索软件简介”。第1章从重要的历史事故开始介绍勒索软件，然后讨论目前使用的非常复杂和成熟的版本。勒索软件行业的运作模式更像是一个体系化的营销组织/生态系统。该章将讲述常见的勒索软件基础知识，内容包罗万象，也是全书最长的一章。

第2章“预防勒索软件”。预防勒索软件是一项尚未得到充分论证的工作。备受推崇的“预防”控制措施是组织拥有一套完善的备份技术，然而，根本没有证据证明备份技术的有效性。该章将讨论所有组织和团队应该做哪些工作，以尽可能预防勒索软件所产生的危害。在讨论如何抵御勒索软件攻击的过程中，本书将讨论如何以最佳方式击败所有恶意攻击方和恶意软件。

第3章“网络安全保险”。因为网络保险非常复杂，所以对于面临勒索软件威胁的组织而言，购买网络保险的决策并不容易。该章能帮助组织和用户初步了解网络保险，包括在考虑策略时应该避免的事情。最后直言不讳地讨论了网络安全保险行业目前发生的巨大变化和发展方向。

第4章“法律考虑因素”。该章涵盖了处理成功的勒索软件攻击所涉及的法律注意事项，不仅涉及是否支付赎金的决策(尽管这是该章的主要内容)，还涉及在攻击期间如何利用法律援助。该章将包含所有组织在预防和响应勒索软件事故时应该参考的有效提示和合理建议。

第Ⅱ部分：检测和恢复

第Ⅱ部分将帮助组织和用户预防和成功响应勒索软件攻击。

第5章“勒索软件响应方案”。所有组织都应该在勒索软件事件发生之前建立并实施详细的勒索软件响应方案。该章将介绍勒索软件响应方案应该包含的内容。

第6章“检测勒索软件”。如果组织和用户无法阻止安全漏洞利用的发生，退而求其次的办法就是预警和检测。该章将介绍检测勒索软件的最佳方法，并为组织和用户提供了在勒索软件开始造成实际危害之前予以阻止的最佳机会。

第7章“最小化危害”。该章假设勒索软件已经成功攻陷系统，勒索团伙已加密文件且窃取数据。组织和用户如何在事故发生的第一时间限制勒索软件的横向攻击范围并将危害最小化？该章将告诉组织和用户什么才是最佳实践。

第8章“早期响应”。在初步阻止了损害进一步蔓延之后，组织和个人应该开展初步的事故清理、更全面的评估和更完善的响应措施，而不是仅是防止进一步扩散。该章讲的是组织和用户在第一天或第二天之后需要开展的工作。通常组织和用户执行事故响应方案达成的效果决定了完全恢复所需的时间。

第9章“环境恢复”。该章将介绍在发生勒索软件攻击事故的最初几天，组织和用户需要执行的操作。组织和用户已经阻止了勒索软件的传播范围，将危害降至最低，并按照系统的优先级列表逐步开始恢复系统并返回至工作状态。该章主要介绍组织和用户在早期最严重阶段过去之后需要完成的事项，涵盖了较长期的任务，通常需要几天到几周，甚至几个月才能完成恢复或重建工作。

第10章“后续步骤”。尽管在部署勒索软件预防措施方面，组织做了大量的工作，但是，勒索软件还是成功入侵了受害方组织。该章将介绍需要总结的经验、教训和需要实施的缓解措施，以预防再次发生勒索软件事故。许多勒索软件受害方因为跳过了这一环节，而再次受到攻击，从而耗费了更多时间与精力。组织和用户能够通过必要的学习，采取措施以增强对勒索软件攻击的抵御能力。

第11章“禁止行为”。知道什么是禁止行为和在紧急情况下应该开展哪些工作同样重要。早期的严重错误导致许多受害的组织和用户的处境变得更加糟糕。该章涵盖了所有组织和个人都应该避免的行为，以免导致勒索事故变得更加严重。

第12章“勒索软件的未来”。该章涵盖了勒索软件可能的未来，将如何发展，以及最终如何才能永久击败勒索软件等内容。

Links文件

在阅读本书时，会看到诸如[Link*]的引用内容，*为编号。读者可扫描右侧的二维码，下载Links文件，从中找到具体的链接信息。