全球各地的组织正面临着一波又一波的数字勒索威胁，特别是针对性的勒索软件攻击。数字勒索现已被认为是最突出的网络犯罪形式，并对IT环境的正常运作构成了最具破坏性和广泛性的威胁。目前，针对勒索软件活动的研究主要集中在技术层面，即如何实施这些攻击。然而，针对数字勒索背后的经济学以及谈判策略的实证研究却相对较少。

本研究论文探讨了以下三个关键问题：首先，能否解释攻击者如何利用经济模型来最大化其收益？其次，这些经济模型对受害者在谈判过程中的地位意味着什么？第三，勒索软件受害者可以采取哪些策略来平衡谈判的局势？为了回答这些问题，我们收集并整理了2019年至2020年期间超过700次攻击者与受害者之间的谈判记录，并建立了一个数据集。随后，我们通过定量和定性方法对这些数据进行了分析。

对最终赎金协议的分析显示，攻击者在谈判开始之前通常已经大致知晓受害者最终可能支付的金额。每个勒索软件团伙都有其独特的谈判和定价策略，以最大化其利润。我们在本文中提供了多种（反）策略，这些策略可以帮助受害者获得更有利的谈判结果。这些策略是基于我们分析的谈判失败和成功案例总结出来的，辅以实际勒索团伙与受害者之间对话的示例和引述。

当公司遭遇勒索软件攻击时，往往陷入一种前所未有的困境之中。在这种情况下，尽可能多地掌握相关信息将有助于他们更好地应对危机。我们的目标是为受害者提供一些实用的建议，以便在危机时刻能够有所参考。

现在是周六凌晨1点30分。在一周紧张的工作之后，你刚刚筋疲力尽地躺下床，但是你的手机响了，催促你醒来。电话那头是你的IT部门，告诉你立刻来办公室。你的公司遭到了黑客攻击，所有重要的数据都被加密了，包括备份存储。IT部门主管告诉你，这是一种名为勒索软件的病毒。在漫长的两个小时的电话沟通后，你组建了一个危机管理团队，并打开了勒索信。信中指引你访问一个TOR网站，你可以在那里与攻击你公司的黑客进行聊天。他们的要求是估值350万美元的加密货币。你感到一阵沉重，心里沉了下去。你从零开始，花费了多年时间建立这家公司。你亲自雇佣了所有员工，每个人你都叫得出名字。你开始意识到，和妻子孩子计划好的周末出行将不得不取消。为了你的公司，为了所有为你工作的员工的家庭，你现在需要在这里。你打开聊天窗口开始打字。但是当你告诉他们你需要更多的时间来考虑付款时，他们的回应只有一句——“我们等着。”

在入侵者对数据加密并外泄后，通常会提出一个初始赎金要求。如果受害者决定与他们谈判，双方会在最终金额上达成协议。我们想通过本次研究，深入探讨勒索软件谈判的现象。攻击者如何确定赎金？他们可能接受的最低金额是多少？彼此的信息不对称如何影响谈判过程？这些问题对是否支付赎金有何启示？如果公司最终选择支付赎金，有没有可能利用一些策略来降低金额？

我们结合了定量和定性研究方法来回答这些问题。虽然安全公司或新闻机构之前也曾发布过相关报告和博客，但本次研究主要依赖于实证数据。我们从超过七百起攻击者和受害者之间的谈判记录中收集数据，基于这些数据，我们为需要帮助的受害者提供信息和实用建议。

在我们的社会中，对支付赎金或与犯罪分子谈判存在着负面的看法，甚至从道德上来看也颇具争议。尽管如此，我们意识到，目前确实有相当一部分公司选择支付赎金。我们的研究表明，攻击者在谈判中处于明显的上风。他们通常已经预估到受害者最终会支付多少赎金，从而在谈判中占据了有利位置。我们希望通过我们的研究实现以下双重目标：首先，我们劝阻受害者与对手进行交涉。其次，如果不得不进行谈判，我们文章的后半部分提供了如何成功进行谈判的建议。

文章分为两个部分。第一部分首先简要介绍了勒索软件即服务（RaaS）的发展及其经济模式，接着探讨了对手如何利用价格歧视来最大化他们的利润。之后，我们利用数据支持关于信息不对称的假设，说明受害者与攻击者之间存在的差距。第二部分则深入探讨谈判过程，提供一些实用技巧和策略，以帮助受害者在不可避免的谈判中取得更有利的结果。在最后部分，我们总结了研究发现，并展望了未来，探讨如何以社会整体的视角应对勒索软件这一现象。

加密病毒学（cryptovirology）的概念，即利用密码学编写恶意软件，最初诞生于1996年，当时在一篇学术论文中提出了使用加密技术编写恶意软件的想法。这一概念最初源于科学上的好奇心。十多年后，GameOverZeus/ZeusP2P背后的攻击者将这一概念投入实际应用，并于2013年推出了名为CryptoLocker的勒索软件。CryptoLocker使用了与加密病毒学相同的混合加密系统来加密个人文件，并要求受害者支付赎金以获得解密密钥。

这一原本旨在保护隐私的加密技术被滥用后，迅速引起了其他网络犯罪分子的关注。例如，2017年的WannaCry勒索软件利用了EternalBlue漏洞，能够自行传播，并试图感染互联网上的所有易受攻击的计算机。同年，SamSam勒索软件频频占据新闻头条，因为它针对的是医疗行业。

近年来，勒索软件即服务（Ransomware-as-a-Service, RaaS）的出现使得各类网络犯罪分子能够轻松获取现成的勒索软件工具。再加上加密货币的普及，这一趋势导致全球范围内针对性勒索软件攻击的激增。如今，勒索软件的生态系统已发展成一种多重勒索模式：敏感数据被定位、外泄并加密。当前的勒索行为不仅通过攻击关键业务资源实施服务中断，还侵犯受害者的隐私。

与此同时，赎金要求也在不断攀升。过去，人们可能只需支付几百美元来取回度假照片，但如今，企业往往面临数百万美元的勒索威胁，其中许多企业最终选择支付高额赎金。

在本次研究中，我们主要关注了两种不同的勒索软件家族。第一个数据集收集于2019年，那时正值针对性勒索软件攻击逐渐兴起，只有少数团伙参与这种商业模式。当时，攻击者的经验相对不足，勒索金额也低于今天的水平。第二个数据集则收集于2020年末至2021年初。这一时期，勒索软件攻击已成为全球企业面临的重大威胁。此时，不仅勒索软件的运作模式日趋成熟，且地下市场的目标也逐渐转向大型且盈利丰厚的企业。第二个勒索软件家族的运营者特意定位于专门攻击大型且有利可图的企业。

第一个数据集中包含了681次受害者与勒索软件团伙之间的谈判记录，第二个数据集则包含了30次谈判记录。由于数据的敏感性，我们有义务保护数据来源，无法公开更多细节。

正如大多数攻击者所声称的，勒索软件攻击不过是一种商业行为。勒索软件团伙的主要动机就是尽可能获取最高利润。在本节中，我们尝试构建模型，分析影响攻击者作出盈利决策的因素。这个模型虽然有些初步，但可以用来解释影响对手及其受害者决策的关键因素。

Hernandez-Castro等人在其论文《勒索软件的经济分析》中提出了他们的假设，并通过小规模调查获得了一些初步结果。基于他们的模型，我们对其进行了更新和扩展，并通过实际勒索谈判案例来检验我们的假设。

首先，也是最重要的，总利润不仅仅取决于勒索金额，还受到受害者是否决定支付赎金以及运营成本的影响。与研究单次勒索收益不同，我们认为应当考虑整个攻击系列的总利润。例如，一个有组织的网络犯罪团伙专门针对大型目标，要求数百万美元赎金，但仅有5%的受害者付款。我们将其与另一团伙进行比较，该团伙只要求一万美元赎金，但20%的受害者会支付。显然，这两种不同的业务策略会带来不同的利润。此外，进行犯罪操作的成本也应纳入计算。

我们使用以下公式来计算从攻击者视角的总利润：

我们用 P表示犯罪分子从 N个受害者中获取的总利润。

• ri表示每个案例中的最终勒索金额；
• li表示在将加密货币兑换为“干净”货币后剩余的百分比；
• mi表示支付给勒索软件即服务（RaaS）平台的佣金后剩余的百分比。该费用根据RaaS平台的规则及总赎金数额计算，可能在10%到30%之间。有些情况下，这笔费用为零，因为有些攻击者使用自有的勒索软件工具包。
• f(i)表示受害者是否决定支付的最终决策，该变量只能为0或1，0表示受害者拒绝支付，1表示受害者支付了赎金。
• ci是执行攻击的成本。有关详细解释请参见下文。

通过这个公式，我们可以计算出攻击者从 N个受害者中获得的总利润。假设我们有两个受害者，因此，两个案例中的赎金要求都是10万美元比特币（ri），兑换成本是10%（li = 90%），RaaS费用是赎金的20%（mi = 80%）。只有第二个受害者支付，执行攻击的成本是50美元（ci）。

在第一个案例中，利润计算为：(100,000×0.8×0.9)×0−50=−50(100,000 times 0.8 times 0.9) times 0 - 50 = -50(100,000×0.8×0.9)×0−50=−50 美元。在第二个案例中，利润为：(100,000×0.8×0.9)×1−50=71,950(100,000 times 0.8 times 0.9) times 1 - 50 = 71,950(100,000×0.8×0.9)×1−50=71,950 美元。因此，总体赎金攻击的利润为 71,950+(−50)=71,90071,950 + (-50) = 71,90071,950+(−50)=71,900 美元。

实际上，公式中的每个变量通常都会比我们使用的示例数值大得多。然而，正如你所看到的，一旦攻击者找到能够最大化利润的“最佳点”，勒索软件攻击便会成为一项极具盈利的业务。另一方面，如果越来越少的受害者决定支付赎金，或者支付金额低于攻击者的预期，维持这种“业务”将变得更加困难。

影响攻击成本（ci）的变量包括：

• 风险成本：这是为了避免被追究责任所产生的费用，可能包括设置代理服务器、掩盖人员证据，甚至贿赂当地执法机构等。
• 渗透成本：指入侵目标网络的成本。这可能包括雇用技术熟练的黑客、购买恶意软件、漏洞利用工具或分发服务等。若攻击者使用自制的加密勒索工具，也应将其开发和维护成本计算在内。

而f(i)是一个用来模拟是否支付赎金的决策函数。尽管最终的决策是一个“是”或“否”的二元选择，但影响该决策的主要变量包括：

• 道德因素：有些公司无论如何都不会与攻击者合作。
• 赎金金额（ri）：赎金数额对是否支付赎金有着重要的影响。
• 恢复成本：这些是恢复备份、重新启动服务和赔偿受影响客户的费用。
• 法规成本：这是由于数据泄露而可能支付的罚款（例如GDPR罚款）。

在早期，勒索软件背后的团伙通常采用统一定价策略，这意味着每次感染后都要求固定的赎金。例如，CryptoLocker要求每个受害者支付400美元或欧元的赎金。然而，随着勒索软件生态系统的发展，勒索模式演变为多重勒索，每种方法都采用不同的价格歧视策略。经典的价格歧视分为三种类型：

1. 一级价格歧视（个性化定价）：这是完美的价格歧视，每个消费者根据自身支付意愿和能力被收取不同的价格。
2. 二级价格歧视：例如，买家在批量购买时获得折扣。
3. 三级价格歧视：价格根据消费者的个性特征（如年龄、性别等）变化。在勒索软件攻击中，这可能是根据公司的规模或被加密服务器的数量来定价。

我们观察到，不同的攻击者已经在赎金定价上采用了二级和三级价格歧视。例如，某国的网络犯罪团伙最初对少于 10 台被锁定的计算机要求较高的解密价格，但在解密器被大批量售出后，价格会随之下降。这就是二级价格歧视的一个例子。

另一方面，根据我们的数据，我们研究的两个勒索软件团伙都是多重勒索的勒索软件团伙成员，并且都使用了三级价格歧视策略。在数据集D-first中，681名受害者中有17%（N = 116）选择支付赎金，平均支付金额为每人400,767.05美元。在这116名支付赎金的受害者中，我们掌握了32家公司的收入数据。

在上述示例中，初始赎金价格是基于多个变量设定的。了解初始价格是如何设定的以及它代表了什么非常重要。然而，这超出了我们研究的范围，因为获取仅存在于犯罪组织内部的决策过程极其困难。因此，我们将研究重点放在最终赎金交易上，这或许能够更准确地揭示隐藏的价格底线或基准价的设定。

谈判通常从攻击者提出初始赎金要求开始。随后，受害者可以提出较低的金额，也就是攻击者所称的“折扣”请求。双方会来回交换各自的理想价格。直观上，我们可能会认为攻击者无法确切知道受害者愿意支付的金额。然而，我们使用了一个指标：每百万美元收入的赎金比率（Ransom per annual Revenue, RoR），以证明结果可能与我们的直觉或初始假设不同。该比率显示了受害者每百万美元收入支付了多少赎金。要计算RoR，我们将勒索金额除以受害公司在被攻击前一年的年收入。

有趣的是，大多数最终谈判达成的赎金价格落在一定的区间范围内，但也存在一些异常值。我们可以根据公司预估收入，将受害公司进一步分为两个类别：D-first-small和D-first-mid。D-first-small代表小型公司（年收入低于1亿美元），而D-first-mid则代表中型公司（年收入大于或等于1亿美元）。

结果显示，我们收集的数据集中显示出的攻击者在谈判开始之前就已了解受害者愿意支付的赎金额度。

另一个有趣的发现是，从每百万美元收入的赎金比率（RoR）的角度来看，小型公司支付的比例通常更高。换句话说，小公司在绝对金额上支付较少，但相对于其收入的百分比却更高。这一现象在第二个数据集中也得到了验证。

在数据集中，最高的赎金支付金额为1,400万美元。这是第二个数据集中的一个案例，其中一家《财富》500强的公司支付了该赎金。根据分析，这笔赎金相当于每百万美元收入支付822美元，占其年收入的0.00822%。而第一个数据集中小型企业的中位赎金比例为0.22%。

参与犯罪活动的时间长短对风险成本有显著影响。因此，可以理解一个以经济利益为动机的攻击者更倾向于挑选高价值目标，并通过少数大额赎金获利，而不是频繁攻击小公司。这种情况导致一些勒索软件团伙决定专门针对大型且盈利丰厚的企业。在第二个数据集（D-second）中，大约14%（N=15者）在105名受害者中支付了赎金，每个受害者支付的平均金额为2,392,661美元。在第二个勒索软件即服务（RaaS）平台中，如果攻击者获得的赎金金额较高，平台所有者收取的佣金比例则较低。因此，使用该平台的攻击者有动力专门瞄准高知名度的公司。

我们意识到这项研究存在一些局限性。我们无法确定所识别的受害者样本是否能代表全部受害者群体。此外，根据我们的定性研究，勒索软件团伙在确定赎金金额时还会考虑其他因素，例如被加密的计算机和服务器数量、员工数量，以及公司被泄露攻击消息后可能产生的媒体曝光量。不幸的是，这些因素并非都是公开来源的，因此更难以进行比较。尽管我们的数据集显示最终赎金价格与受害者的收入之间存在一定的关联性，但这并不能完全解释攻击者如何设定赎金要求。

尽管存在这些局限性，我们的研究结果表明，攻击者已经采用了某些价格歧视策略。显然，攻击者通过在实际感染案例中的试错，不断优化其利润。此外，我们观察到一些攻击者窃取受害者的敏感数据，并广泛查看其财务报表。然而，这种在成功谈判和未达成协议的情况下都受影响的定价策略对受害者而言是未知的。通常，在谈判中每一方都会“藏牌”而进行博弈。勒索软件的攻击者知道其运作成本及其收支平衡所需的金额，而受害者则会估算恢复成本。赎金价格通常就是双方在中间达成的妥协。然而，在网络犯罪的世界中，情况则有所不同。受害者第一次参与这种“游戏”，而攻击者已经经历了无数次的游戏，精心决定其最佳策略。此外，与正常谈判截然不同的是，若攻击者愿意，他可以查看对方的“底牌”。这导致了一个被迫妥协的受害者在与一名进行不公平谈判的攻击者交锋，攻击者通过预先设定合理的赎金范围引导受害者，而受害者却对此毫不知情。这是一场设定好的“骗局”。如果攻击者运作得当，便总能获得胜利。最终，这种结果进一步助长了勒索软件生态系统的猖獗发展。

虽然我们在之前的分析中描绘了一幅悲观的图景，但并非完全没有希望。尽管攻击公司网络的对手尽其所能，但他们毕竟也是人，而人总会犯错，或是被引导做出特定决策。在接下来的两部分中，我们将尝试解释在决定进行谈判时还可以有哪些选择。

如果最终决定支付赎金，仍然有方法可以减少损失。基于对700多个案例的分析，我们提供以下建议。需要注意的是，仅采用其中一项策略可能效果有限，尽量实施多项策略可能为公司节省数百万美元。

1. 保持礼貌

第一个建议可能显得显而易见，但在危机中人们的情绪常常波动。公司所有者可能会看到自己多年努力的成果瞬间消失，这种感觉就像亲眼目睹房屋被烧毁。我们发现，多家公司在与攻击者的谈话中因感到愤怒和沮丧而导致对话被中断。将勒索危机视为一项商业交易，必要时可以寻求外部帮助，但始终保持专业态度。D-first数据库的研究表明，保持礼貌和最终支付赎金的金额之间存在负相关关系。以下是一个成功的谈判案例，该受害者将赎金从400万美元谈判至150万美元：

“谢谢您。我们可以支付75万美元的XMR，但希望您能提供关于您所掌握数据的确切范围、数量和重要性的信息。（……）我强调的是数据的重要性，而不是解密密钥，因为我了解到您在提供解密密钥方面有非常良好的声誉。期待您的回复。谨此致意，{受害者姓名}。”

此例表明，你不仅应将谈判视为一项商业交易，还要将情绪排除在对话之外，以保持冷静、礼貌的沟通方式。

2. 不要害怕要求更多时间

攻击者通常会试图施压，以迫使你做出快速决定，常用的手段包括威胁在特定时间后泄露文件或威胁加倍赎金。攻击者施加的压力越大，你的决策质量可能就越差。然而，在几乎所有D-second案例中，若谈判仍在进行，攻击者都愿意延长计时。这种方法有多方面的好处：在初期阶段，你需要时间评估形势并排除恢复数据的可能性。此外，这也为你提供额外的时间来制定不同的应对策略。如果最终决定支付赎金，你还需要时间来安排获取所需的加密货币。

我们发现有些案例中，谈判持续了数周时间，甚至在最后期限已过数天后仍在进行。例如，在这个案例中，最后期限已经过去两天：

“你好，我现在将尽量坦率诚实地告诉你，我们尚未筹集到1200万美元，而且刚刚才下载了你们窃取的数据以进行审查。如果可能的话，我们需要更多时间来筹集资金，至少能提出一个合理的报价。筹集1200万美元几乎不可能，如果金额加倍，我们更不可能凑齐这笔钱。只要再给几天时间，我们就能给出一个切实合理的报价。任何帮助都会非常感激！”

在被问及需要多少时间时，受害者回复说他们至少需要一周时间。攻击者同意了这一要求，条件是受害者在24小时内支付100万美元，否则金额将加倍至2400万美元。受害者对此回应道：

“我明白，但请相信我们，我们真的在尽力。这正是为什么我请求更多时间的原因。我们整晚都在努力筹集资金，以便能多争取一些时间，但我们还没有达标。现在我们无法支付100万美元，1200万美元显然需要比100万美元更多的时间，而2400万美元几乎完全不可能。这就是我们现在的情况。我们所要求的只是一些额外的时间，你真的愿意因为不肯给我们几天时间而错失一个潜在的大笔收入吗？你只需稍微宽限一点，难道会花费你多少精力吗？你已经拿走了我们的数据，重创了我们的业务。我们所需要的只是合作，再给我们几天时间。我已经多次告诉你，我们正拼命筹钱。从你封锁我们那一刻起，我们就一直在努力。给我们时间，我们会尽可能筹集到所需的资金，并继续与你沟通；如果不给我们时间，你将什么都得不到。我们会恢复过来，或者不会，但这样你会让一群一生在这里工作的员工失业。这是我们的生计，是我们养家糊口和支付账单的方式。请记住这一点。”

最终，他们支付了150万美元的加密货币。另一个争取更多时间的方法是告知对方高层需要更多时间来做决定，或者说明你需要时间来购买加密货币：

“更不用说这里正值周末，银行和加密货币购买平台都不开放，无法进行兑换。你的计时器明天就到期了。再给我们几天时间。我们真的在努力，但需要你的帮助。”

3. 先承诺支付一小部分，再支付更多

如果你想要在重建系统时防止数据泄露，拖延时间可能是一个有效的策略，但以下策略可以帮助你以较小的金额达成谈判。攻击者通常希望快速达成交易，然后继续攻击下一个目标。在多个案例中，我们发现D-second数据库中的攻击者在面对选择“现在支付少量资金”还是“以后支付大量资金”时，会选择现在的小额付款并给予较大折扣。例如，有一案例中，攻击者最初要求支付100万美元，后来说：

“我跟老板解释了你们的情况，他同意接受35万美元的付款。这是最后的折扣。你现在出价30万美元，只需再增加5万美元就可以达成交易。”

4. 让对方相信你无力支付高额赎金

另一种有效的策略是让攻击者相信你的财务状况无法负担最初要求的赎金。在一个案例中，公司被要求支付200万美元，他们的回应如下：

“我们和管理层讨论了此事。我们确实希望解密我们的网络数据，并确保数据删除，但你们要的金额太高了，尤其是在这一年结束时非常困难。能否给我们一个更低的价格？”

最终他们获得了5万美元的折扣，仅支付了195万美元。尽管这个金额看起来不错，但在一些更长时间的谈判中，如果受害者坚持无法支付，最终支付的金额往往更低。比如，有两个公司被要求支付100万美元，但一个公司最终支付了35万美元，另一个只支付了15万美元。还有一个案例中，受害者将价格从1200万美元谈判到150万美元。

这些公司成功地通过不断强调无力支付要求金额来降低赎金。其中一个例子是：

“我们过去一年的收入受到重创，且每天都在损失更多资金。你们要求的1200万美元是我们去年全年收入的很大一部分。你们可能不了解我们的公司，但我们为客户提供重要服务，此事件不仅影响了我们的业务，还影响了许多依赖我们的个人和公司。尽管如此，我们还是愿意支付一些费用来解锁数据，避免客户信息被公开。我们目前能支付100万美元的比特币，希望能解决此事。”

后来他们补充道：

“……我们所有的资金都来自自有资金，100万美元是我们目前能拿出的最大数目。我们整天都在与团队讨论，目前愿意把报价提高到120万美元。请与我们合作，这些钱都来自我们自己。”

“我们找遍了所有可能的资源，并尽可能借款，还能再凑出15万美元，将报价提高到135万美元。”

“我们已经尽力了。公司所有人同意再从自己的口袋里拿出5万美元，将报价提高到140万美元。这对任何人来说都是一笔巨款，尤其是对我们。现在的选择是你可以接受这140万美元确保我们数据不被公开，或者公开数据，而我们就不会再付任何费用了。我们会专注于恢复我们的声誉和业务。请考虑这两个选择。谢谢你的理解。”

最终，攻击者同意了150万美元的金额，受害者成功支付了这笔钱。

你可能会问，这种策略对资金较少的公司有效，那么对于预算显然更充裕的大公司呢？攻击者难道不能访问被攻击公司的财务报表吗？在D-second案例中，有一家《财富》500强公司表示他们最多只能支付225万美元，攻击者的回应如下：

“感谢你的提议，但我们有一个反提议。我要强调一些重要的点。首先，你们是一家《财富》500强公司，收入在160亿到180亿美元之间，对吗？你们现在生产一种非常重要的产品……而且在线业务也在蓬勃发展。回到我们的数字，我们加密了你们5000到6000台服务器。假设每小时的成本为50美元或者65美元？花费24小时恢复一台服务器，那么你的成本仅在劳动上就高达1000万美元，但别忘了即使耗时万年，你的数据也不可能恢复。计时器在走，8小时后价格会涨到6000万美元。你有两个选择：要么接受我们的优惠，支付2875万美元，要么投资量子计算以加速解密过程。”

如你所见，攻击者在这里并不愿意让步。然而，他们似乎并没有深入研究这家公司的财务记录，主要谈论的是加密的服务器数量。我们推测，这是因为攻击公司与分析复杂财务报表的能力之间或许没有直接的关联。即便他们掌握了这些文件，拥有一定收入和能立即筹措数百万加密货币之间仍然存在差距。在这个例子中，公司最终支付了1440万美元，而非最初要求的2875万美元。

5. 不要提及网络保险

最后一个谈判策略是，不要告诉攻击者你有网络保险，最好也不要将任何相关文件保存在任何可能被访问的服务器上。以下是两个例子，显示了攻击者知道受害者有保险时的谈话内容：

“是的，我们可以证明你能支付300万美元。联系你的保险公司，你年初就向他们支付了保费，现在这是他们的问题。你有网络勒索保护……我知道你现在利润上有问题。如果你没有保险，我们绝不会要这么多。”

“看，我们知道你有网络保险。我们可以一起节省大量时间吗？你现在提出支付300万美元，我们会同意。我想让你明白，我们不会给你低于保险金额的折扣，绝对不会。如果你想现在解决这个问题，这是你真正的机会。”

尽管公司仍然可以告诉攻击者保险公司不愿意支付，但这会大大限制谈判的选择。

谈判期间的一些实用建议

除了基于流程的策略之外，我们还希望提供一些无论采取何种策略都应遵循的建议：

1. 尝试建立其他的沟通方式

公司应尝试与攻击者建立不同的沟通渠道，如果对方不愿意切换，就要意识到当前沟通并不私密。对于技术熟练的人来说，获取这些聊天记录并不是件难事。在多次谈判中，聊天被第三方渗透，导致谈判受到干扰。

2. 总是要求测试文件解密

尽管大多数知名攻击者如今有着不错的“信誉”，但仍然需要保持警惕。要求对一个文件进行测试性解密，以确认对方真的可以恢复数据。

3. 确保索取文件删除的证明

如果最终支付了赎金，确保要求攻击者提供文件删除的证明。有些公司支付了赎金，但他们的数据仍然可以在网上公开访问。

4. 做好应对文件泄露或出售的准备

即使攻击者声称文件已删除，你也没有任何保证，尤其是在使用RAAS平台的情况下，系统访问和文件可能已经经过多个不同的环节，即使最终的攻击者妥善删除了文件，也不能保证链条中的其他人没有私自复制一些有趣的文件用于“个人用途”。

5. 要求解释攻击方式

在某些案例中，公司收到了一份来自攻击者的详细报告，解释他们是如何入侵的，以及公司应采取哪些措施来弥补漏洞。

本实证研究表明，勒索软件的生态系统已发展为一个复杂的商业模式。每个勒索软件团伙都创造了自己的谈判和定价策略，以最大化利润。尽管已有许多优秀的研究专注于对抗网络犯罪分子，以及研究攻击者如何入侵目标系统，但推动勒索软件生态系统的经济因素常常被忽视。我们的研究表明，攻击者显然采用了基于受害者年收入的价格歧视技术。从攻击者的角度来看，他们在定价和谈判中拥有巨大的优势。不仅可以选择深入调查受害者的财务状况，还可以利用以往的经验。这一结论可以解释近年来勒索软件感染在全球范围内的上升趋势。幸运的是，受害者仍然可以采用一些策略来减弱攻击者的优势，这些策略在前面的章节中已有详述。

展望勒索软件的未来，问题不再是公司是否会遭受攻击，而是何时会遭受攻击。甚至有人调侃，如果公司没有受到攻击，这反倒成了一种“耻辱”，成为一种奇特的“荣誉徽章”。同样，随着越来越多的公司成为勒索软件的受害者，人们似乎也渐渐对这一问题感到麻木。如果赎金需求继续增长，而公众对勒索攻击的反应持续减弱，我们可能会看到更多公司选择不支付赎金，这总体上对社会更有利。另一方面，这也可能导致犯罪分子变得更加激进，使用更强硬的手段，或将赎金金额降低到一个合理的平衡点。

近期执法机构取得的一些成功带来了希望。例如，2021年11月，罗马尼亚当局逮捕了多个涉嫌使用REvil勒索软件攻击受害者系统的个人，这次行动代号为“GoldDust”。此次行动汇集了17个国家的力量，并得到了欧洲刑警组织、欧洲司法合作署和国际刑警组织的支持。同样在2021年10月，八国警方合作逮捕了12名涉嫌参与全球勒索软件网络的嫌疑人。在调查过程中，多家公司得到了即将遭遇勒索软件攻击的预警，避免了数百万美元的损失。这些案例是解决这一复杂问题的绝佳示例。勒索软件团伙在多个国家制造受害者，无视国界，因此，唯一有效的对抗方式是全球警方间的协调合作。

我们希望通过向公众分享这项研究，能为防御方提供一些助力。我们展示了攻击者在谈判中的强大力量，更重要的是，为不幸的受害者创建了一张安全网。回到我们开篇的假设案例，“我们等着”——这是当你请求更多时间时攻击者的回复。在整个调查结束后，当所有系统恢复正常，你意识到攻击者并不急于求成。在发布勒索软件之前，他们已在公司系统内存在了三周，访问了你的所有内部文件，包括财务报表。他们对你了如指掌，而你对他们几乎一无所知。他们之所以等待，是因为他们知道你最终会支付赎金。但你究竟支付了多少？全额350万美元，还是更少？或者根本没支付？这一故事的结局将不由我们来书写，而是由无数将来可能发生的案例来书写。我们只是希望我们的信息能够帮助你在面临抉择时做出正确的决策。

特别感谢Nikki van der Steuijt以及Fox-IT威胁情报团队的全体成员。

https://www.nccgroup.com/us/research-blog/we-wait-because-we-know-you-inside-the-ransomware-negotiation-economics/