术语表

什么是勒索软件 —— 工作原理、入侵途径与「不付款」的防御

勒索软件是一种加密文件并索要赎金的恶意软件。近来「窃取数据并威胁公开」的双重勒索已成为主流。本文以防御视角、不公开攻击手法地讲解其工作原理、主要入侵途径（钓鱼、暴露在外的 VPN/RDP、未修补的漏洞），以及在不支付赎金的前提下恢复的防御措施（离线备份、MFA、补丁、最小权限）。

发布于 2026-06-12 更新于 2026-06-12 2 分钟阅读

「把文件当作人质来索要赎金」——这就是勒索软件。本文讲解它的工作原理，以及无需支付赎金就能应对的防御措施（不公开攻击手法）。

工作原理：它不只是病毒，而是一种「商业模式」

经典的勒索软件会把终端或服务器里的文件逐一加密，并留下「想要解密密钥就付钱」的勒索信。但当今威胁的本质，与其说在技术，不如说在于变现的机制。

双重勒索

加密＋窃取数据同时施压已成主流。即使能解密，「公开」的威胁也不会停止

RaaS

Ransomware-as-a-Service。把攻击工具「出租」的分工化让攻击者群体不断扩大

数小时～数天

从入侵到加密的时间不断缩短。等察觉时往往已经为时已晚

**双重勒索（Double Extortion）**中，攻击者会在加密之前先窃取数据。所以即便受害者能用自己的备份恢复，仍会面临「不付款就公开窃取到的数据」这第二重威胁。「有备份就没事」之所以变得不再管用，正是因为这一变化。再加上 RaaS（勒索软件即服务），让制造工具的人和实际发动攻击的人实现了分工，攻击的门槛大幅降低。

主要入侵途径（封堵入口）

勒索软件并非像魔法一样凭空出现，而是从几乎固定的入口进来。封堵入口是第一道防御。

① 钓鱼

来自邮件附件·链接。最常见的入口。对策＝MFA·邮件防护·培训

② 暴露在外的 VPN/RDP

弱口令/无 MFA 的远程连接。对策＝强制 MFA·收紧暴露面

③ 未修补的漏洞

公开软件中已知的缺口。对策＝迅速打补丁

勒索软件的三大入侵途径。每一条都能靠「防御」封堵。

作为实例，本站也曾介绍过的 MOVEit 大规模泄露事件（Cl0p），就是面向互联网的软件中的未修补漏洞被攻破、在修复补丁发布前就被窃走大量数据的双重勒索型案例。它很好地说明了：勒索软件的入口绝不只是「邮件附件」。

防御：打造无需付款也能恢复的状态

持有离线/防篡改的备份（最重要）

恢复的决定性手段是备份。但始终在线且可被改写的备份有可能一起被加密，所以要持有至少一份离线、或防篡改（不可变 immutable）的副本。并且要定期做「是否真的能恢复」的恢复演练。详情参见备份与恢复的基础（3-2-1）。

封堵入口：MFA 与补丁

对最大的入口——钓鱼和暴露在外的远程连接，必须启用多因素认证（MFA）。对外公开的软件要迅速修补已知漏洞。仅此就能阻止大量入侵（→ 如何选择 MFA）。

缩小受害范围：最小权限与网络隔离

为了万一被攻入也不至于全公司被加密，要把权限控制到必要的最小限度，并对网络进行隔离（分段）。把架构设计成一台被攻陷不会蔓延到整体，就能把损害局部化。

准备好检测与「被感染之后」的流程

即便加固了入口，也不可能完全预防。所以要尽早检测异常，并事先确定感染时谁该做什么的事件响应流程（隔离·通报·恢复的先后顺序）。在慌忙付款之前，先打造一个能尝试遏制与恢复的体制。

本站的观点：付款连「最后手段」都算不上，准备才是正解

关于是否该支付赎金这个问题，本站的立场很明确——先做好无需付款也能应对的准备。付了也不保证能解密，若是双重勒索连公开都阻止不了，还要背负为犯罪提供资金、作为「会付钱的对象」被再次盯上的风险。所以正解不是事故应对，而是事前准备。用离线备份做到「能恢复」的状态，以及用 MFA·补丁做到「不让其进入」的状态。这两者齐备，就能把勒索软件从「毁灭性的事件」降级为「麻烦但能恢复的事故」。

盲点：「有备份＝安全」已经不再成立

过去只要有备份，勒索软件就不可怕。但如今双重勒索已成主流，用备份「能恢复」和「不让数据被窃取」是两回事。攻击者会在加密之前抽走数据，再逼迫「不付款就公开」。所以防御要分两层——不仅要能恢复（备份），还要包含从根本上不让其进入、不让其窃取（入口防御），这才算完整。不止步于「我们有备份」，正是当今勒索软件防御的出发点。

接下来阅读

入门：备份与恢复的基础（无需付款也能恢复的根基·3-2-1 规则）
入门：如何选择双因素认证（MFA）（封堵最大的入口）
术语：什么是钓鱼（从源头切断最大的入侵途径）
案例：MOVEit 大规模泄露（Cl0p）（攻破未修补漏洞的双重勒索实例）
术语：什么是 C2（指挥控制服务器）（感染后从外部远程操控的指挥通信）

FAQ

Q感染勒索软件后应该支付赎金吗？

原则上应朝着不付款的方向考虑。付了也不保证能解密，也不保证能阻止数据被公开。而且这会为犯罪组织提供资金，让你作为「会付钱的对象」更容易再次被盯上（向受制裁对象汇款等还存在法律风险）。许多公共机构也不建议支付。正因如此，事前的准备——无需付款也能恢复的离线备份——才是决定性的关键。

Q勒索软件是从哪里进来的？

主要入侵口有三个。(1) 钓鱼邮件的附件或链接；(2) 暴露在互联网上、弱口令/没有多因素认证(MFA)的 VPN、RDP 等远程连接；(3) 未修补的对外公开漏洞（面向互联网的软件中已知的缺口）。也就是说「人的操作」「暴露在外的入口」「未打补丁」是三大途径，而它们都能靠防御封堵。

Q只要有备份就高枕无忧了吗？

备份至关重要，但有前提条件。始终在线且可被改写的备份，有可能连同主机一起被加密。所以要持有「至少一份离线/防篡改（不可变 immutable）的副本」，并定期做恢复演练。此外，近来在加密之前先窃取数据的双重勒索已成主流，所以不仅要靠备份做到「能恢复」，还需要从根本上「不让其窃取、不让其进入」的入口防御。