勒索软件加密文件有多快？

一旦勒索软件开始加密，用户只有43分钟的时间来缓解勒索软件攻击。

安全监控和数据分析供应商Splunk评估了10种勒索软件变体加密数据的速度后，得出以上结果。

该公司在4台主机上尝试了10个勒索软件变体，并分别运行在Windows 10和Windows Server 2019环境中，然后测试了这些勒索软件加密近10万个文件（总计近53GB）的速度。

其中，这些勒索软件的加密速度的中位数为43分钟。LockBit的加密速度最快，只用了4分钟，LockBit样本每分钟可加密2.5万个文件。

然而，最慢的变体加密速度则要3.5小时，与LockBit相比，这些变体加密速度之间存在显著差异。这些受测试的勒索软件变体加密速度从快到慢的顺序为：LockBit、Babuk、Avaddon、Ryuk、REvil、BlackMatter、DarkSide、Conti、Maze、Mespinoza (Pysa)。

测试结果表明，一旦加密过程开始，用户响应勒索软件攻击的时间窗口非常有限。考虑到用户受损失最严重的可能是某些关键文件被加密，而非全部数据，那么以上测试的时间在实际中可能会更短。

在这些因素的影响下，一旦加密过程开始，大多数企业可能很难缓解勒索软件攻击。

因此，企业必须通过更早地发现勒索软件入侵来减缓受攻击的影响，将更多的精力放在预防上。

面对不断升级的新型攻击技术和勒索方式，传统安全手段已无法有效抵御勒索软件攻击。例如，传统安全策略是基于特征和规则，应对勒索病毒主要采取“截获样本-分析处理-升级更新”的方式，这种模式会给勒索病毒的传播和破坏带来一个“空窗期”。

从传统备份和容灾系统看，尽管可以很好地实现数据备份和容灾，但却无法判断在遭遇勒索软件攻击时，灾备数据的可用性和安全性。如果灾备系统已被勒索软件攻击，存在大量被损毁的文件，却盲目地完成备份/容灾任务、恢复“脏数据”，反而会加重感染范围。

在防御勒索软件攻击上，企业需要在网络杀伤链上实现安全左移，并在产品交付或部署时进行就进行充分检测和预防，而不是在后期才开始采取行动。

然而，就目前情况而言，大多数企业远未实现如此快速的检测和响应。M-Trends报告显示，勒索软件的平均驻留时间仅为3天。这更是加剧了企业防范勒索软件的压力。

但另一方面，如果网络防御者能够在入侵的最初阶段迅速发现并进行补救，则有可能避免重大损失和勒索软件感染的成本。

Fortinet发布的《2021勒索软件调查报告》显示，企业对于容易遭受勒索攻击的薄弱环节，最担心的还是远程工作者和他们的移动设备。因此， Web 安全网关、VPN 和网络访问控制等传统手段当选对付勒索攻击的最高选项。而零信任网络访问 (ZTNA)、用户和实体行为分析（UEBA）、沙箱和SD-WAN等更智能、更有效的新兴技术，虽然能够有效阻断勒索软件横向移动，并且更精准的识别入侵者和勒索软件变种，却没有得到企业应有的重视。

因此，防御新型勒索软件威胁需要全方位整体集成的安全解决方案。Fortinet认为，安全工具的选择应该根据其对恶意负载交付之前的检测能力、已知/未知威胁的预防能力、活动威胁的实时响应能力，而大部分企业对这方面的认识还存在较大不足。