根據保險提供商Hiscox對數千家中小企業進行的調查，40%支付勒索軟件解密贖金的公司未能成功恢復數據。

　　調查還顯示，勒索軟件仍是主要威脅，27%的受訪企業表示在過去一年中遭受過攻擊。在受影響的企業中，80%(包括投保和未投保的企業)都支付了贖金，試圖恢復或保護關鍵數據。

　　但Hiscox的《網絡準備情況報告》發現，只有60%的企業成功恢復了全部或部分數據。

　　QBE保險公司本月早些時候發布的一份關于網絡犯罪和基于云端的威脅的報告顯示，2025年第一季度勒索軟件事件數量同比增長近兩倍，達到1537起，而去年同期為572起。CrowdStrike本月發布的《2025年勒索軟件現狀調查》也發現，93%支付贖金的受害者仍遭遇了數據被盜。

　　有缺陷的勒索軟件加密常使數據恢復受挫

　　行業專家表示，Hiscox關于勒索軟件受害者困境的統計數據，只是凸顯了組織在試圖從勒索軟件攻擊中恢復時所面臨的眾多困難之一。

　　網絡安全公司Bridewell的應急響應經理James John表示：“60%的數據恢復率反映了在應急響應中經常遇到的幾種技術和操作現實情況。首先，勒索軟件操作者的技術復雜程度差異很大。雖然像LockBit或ALPHV這樣成熟的團伙通常會提供可用的解密器，因為他們要維護自己的‘聲譽’，但較小的團伙往往會部署有缺陷的加密實現，或者在收到贖金后直接消失。”

　　John補充道，解密器通常速度慢且不可靠。

　　他解釋說：“在企業環境中進行大規模解密可能需要數周時間，而且往往無法解密已損壞的文件或復雜的數據庫系統。還存在解密過程本身導致更多數據損壞的情況。”

　　即使提供了解密工具，這些工具也可能包含漏洞，或者導致文件損壞或無法訪問。許多組織還依賴未經測試(且存在漏洞)的備份。更糟糕的是，許多勒索軟件受害者發現他們的備份在攻擊過程中也被加密了。

　　英國托管安全服務提供商Avella Security的合伙人兼英國政府網絡安全顧問Daryl Flack表示：“犯罪分子經常使用有缺陷或不兼容的加密工具，許多企業缺乏干凈恢復數據的基礎設施，特別是當備份不完整或系統仍存在漏洞時。”

　　額外的恢復壓力

　　如今的現代勒索軟件攻擊通常涉及雙重或三重勒索，即攻擊者威脅在收到贖金后仍要泄露被盜數據或發起DDoS攻擊。

　　這從根本上改變了受害者在決定支付贖金時對結果的預期，因為支付贖金往往無法解決勒索軟件攻擊帶來的許多問題。

　　Bridewell的John指出：“支付贖金只能解決加密問題，而無法解決更廣泛的安全漏洞。”

　　此外，勒索軟件事件會給組織帶來巨大壓力，法律、運營和聲譽問題往往在數小時內集中爆發。

　　這些因素，再加上與犯罪分子打交道時本身就存在的不確定性，有助于解釋為什么支付贖金往往無法實現數據的完全恢復。

　　Harper James律師事務所數據保護與隱私團隊的高級律師Lillian Tsang警告說，即使收到了解密密鑰，一些數據也可能已經永久損壞、被篡改或被盜。

　　Tsang解釋說：“這不僅會造成運營上的挑戰，還會引發數據保護方面的擔憂，特別是涉及個人數據時。如果記錄丟失或被泄露，根據英國《通用數據保護條例》(UK GDPR)，這可能構成個人數據泄露，需要履行報告義務，并可能面臨監管審查。”

　　Tsang警告說，如果犯罪分子未能兌現承諾，支付贖金并不能為企業提供任何法律追索權，更糟糕的是，“如果資金在不知情的情況下被轉移給了受制裁的團伙，支付贖金可能會帶來進一步的風險。”

　　財務承受能力和法律問題

　　一家日本中型物流公司Kantsu的高管講述了該公司在遭受勒索軟件攻擊后恢復運營的經歷，這從實際角度說明了勒索軟件攻擊的影響。Kantsu總裁Hisahiro Tatsujo向記者講述了該公司在遭受勒索軟件攻擊后恢復運營的努力。

　　Kantsu(未支付贖金)不得不向金融機構申請貸款以支付恢復運營的費用，因為盡管該公司投保了，但其保險公司仍需經過理賠流程才能賠付。這一事件表明，企業要想成功從勒索軟件攻擊中恢復，不僅需要運營計劃，還需要財務計劃。

　　此外，當系統因勒索軟件攻擊而中斷時，幾乎會立即產生通知監管機構和受影響個人的法律義務，特別是當個人數據因泄露而受到影響時。

　　Harper James的Tsang表示：“最大的挑戰之一是在只有零碎信息的情況下迅速做出高風險的決策。高級領導必須權衡支付贖金的法律風險、對業務連續性的影響以及對個人的潛在后果，而往往在技術上并不明確。”

　　未雨綢繆

　　一些專家建議，作為災難恢復計劃的一部分，企業應與應急響應公司保持合作，以應對勒索軟件攻擊這一太過現實的威脅。

　　專注于直接威脅情報的網絡安全公司Blackwired的首席執行官Jeremy Samide表示：“與一家信譽良好的應急響應或談判公司保持合作至關重要，這類公司應具備處理加密貨幣交易的能力。這類公司可以管理談判，能夠使用多種加密貨幣(如比特幣、門羅幣、Zcash)，并在支付成為唯一恢復途徑時安全執行轉賬。”

　　Samide補充道：“做好準備并不意味著屈服，而是意味著為每種情況做好準備。”

　　Harper James的Tsang警告說，不要為支付勒索軟件攻擊的贖金而預留資金。

　　Tsang表示：“為支付贖金而預留資金越來越被視為有問題。雖然支付贖金本身并不違法，但它可能違反制裁規定，可能助長進一步的犯罪活動，而且并不能保證取得積極結果。”

　　Tsang建議，通過強有力的安全措施、經過充分測試的恢復計劃、明確的報告協議和網絡保險來增強抵御能力，從而獲得更安全的法律和戰略地位。

　　Tsang解釋說：“網絡保險對勒索軟件攻擊至關重要，因為它不僅提供財務保護，還能讓組織獲得專業支持，從而顯著減少損失和停機時間。”

　　網絡保險政策通常提供積極的危機管理服務，涵蓋以下方面：

　　• 立即應急響應和取證調查

　　• 受感染系統的控制和修復

　　• 與攻擊者的談判和法律協調

　　• 數據恢復和業務連續性支持

　　Blackwired的Samide表示：“保險不能阻止攻擊，但它可以減輕攻擊帶來的沖擊，為混亂局面帶來秩序，并確保組織不會獨自應對勒索軟件危機。”

　　但其他專家警告說，網絡保險仍存在一些注意事項。

　　Avella Security的Flack表示：“保險費正在上漲，保險公司在提供或續保前現在要求更強的網絡安全措施基礎，包括多因素身份驗證、補丁管理和經過測試的備份。這一轉變鼓勵組織將更好的安全實踐作為其風險管理方法的一部分。”

　　網絡恢復

　　專家建議，勒索軟件攻擊后的網絡恢復應像災難恢復一樣對待，制定完善的內部恢復計劃，并做好充分記錄，以便能夠自信地恢復未受損害的數據。

　　Index Engines的首席營銷官Jim McGann解釋說：“當企業遭受勒索軟件攻擊時，首要且緊迫的挑戰之一是評估攻擊的全部范圍，確定哪些數據已被泄露，哪些系統受到影響，以及現有備份是否可信。即使有備份可用，驗證其完整性也是一大障礙，因為備份中可能包含在恢復過程中會重新引入威脅的損壞或篡改文件。”

　　McGann建議：“企業現在需要制定內部恢復計劃，其中包括對數據進行法醫級別的驗證，而不僅僅是恢復。”