一家公司曾遭受勒索软件攻击，并向网络罪犯支付数百万美元换取解密密钥，以恢复他们的网络。但两周后，由于未能首先检查攻击发生的原因，该公司成为完全相同的勒索软件帮派的受害者。

英国国家网络安全中心(NCSC)在一篇关于勒索软件兴起的博客文章中详细讲述了这个带有警示性的故事。

这家未透露姓名的公司是一次勒索软件攻击的受害者，为了恢复网络和找回文件，它支付了数百万比特币。

然而，该公司只是这样做了，未能分析网络罪犯是如何渗透网络的——结果，当同一勒索软件团伙用同一勒索软件感染网络时，这一问题再次困扰了他们。最后，该公司第二次支付了赎金。

“我们听说过一个组织支付了赎金(以今天的汇率计算，略低于650万英镑)并恢复了他们的文件(使用黑客提供的解密器)，而没有查找这起事件的根本原因，也没有为保护他们的网络做任何努力。不到两周的时间，同一名攻击者再次攻击受害者的网络，并使用了相同的机制，重新部署他们的勒索软件。受害者觉得他们别无选择，只能再次支付赎金。”

NCSC详细描述了这一事件，并将其作为给其他组织的一个教训——如果你成为勒索软件攻击的受害者，要弄清楚网络罪犯是如何在释放勒索软件有效载荷之前潜入网络而未被发现的。

“对于大多数向NCSC求助的受害者来说，他们的首要任务是取回他们的数据，并确保他们的业务能够重新运营，这是可以理解的。然而，真正的问题是，勒索软件往往只是更严重的网络入侵的一个明显症状，这种网络入侵可能导致持续数天，甚至更长时间的网络中断，”NCSC事故管理技术负责人在博客中写道。

为了安装勒索软件，网络罪犯可能能够获得对网络的后门访问权（可能是通过先前的恶意软件入侵的），或者具有管理员特权或其他登录凭据。

如果攻击者有这种能力，他们可以很容易地部署另一种攻击，如果他们想的话——在上面详细的例子中，受害者没有检查他们的网络是如何被破坏的。

因此，在勒索软件事件之后检查网络并确定恶意软件如何能够进入网络以及长时间未被发现，是所有受勒索软件侵害的组织都应考虑的问题，与恢复网络一起考虑，或者最好是，付款之前就考虑如何独自恢复网络。

有些人可能认为，向犯罪分子支付赎金将是恢复网络的最快和最经济有效的方式，但事实并非如此。因为不仅是支付的赎金是一笔巨款(可能要花费数百万美元)，事件发生后的分析和受损网络的重建也要花费大笔资金。

而且，正如NCSC所指出的那样，成为勒索软件攻击的受害者往往会在操作恢复正常之前导致长时间的中断。

“从勒索软件事件中恢复很少是一个快速的过程。调查、系统重建和数据恢复通常需要数周的工作。”

避免这种情况的最佳方法是，首先通过确保操作系统和安全补丁是最新的，并在网络上应用多因素身份验证等措施，确保您的网络是安全的，免受网络攻击。

另外建议组织定期备份他们的网络——并将这些备份存储在离线状态——这样在勒索软件成功攻击的情况下，网络可以在尽可能少的中断的情况下恢复。（本文出自SCA安全通信联盟，转载请注明出处。）