最新调查揭示，勒索软件正让众多企业陷入"付钱也没用"的困境。保险公司Hiscox的研究显示，高达40%支付赎金的企业最终未能恢复关键数据。与此同时，全球勒索软件攻击事件在2025年已激增近两倍。

根据Hiscox对数千家中小企业的调查结果，在支付解密赎金的企业中，仍有四成无法成功恢复数据。

研究人员还发现，勒索软件仍是当前最主要的安全威胁，27%的受访企业坦言在过去一年中曾遭受攻击。在遭遇勒索的企业中，80%（包括投保和未投保的企业）都支付了赎金，试图恢复或保护重要数据。

然而，Hiscox的《网络准备情况报告》指出，最终只有60%的企业成功恢复了全部或部分数据。

QBE保险公司本月早些时候发布的网络犯罪与云威胁报告显示，2025年第一季度勒索软件事件数量同比增长近两倍，达到1537起，而去年同期仅为572起。CrowdStrike本月发布的《2025年勒索软件现状调查》同样发现，93%支付赎金的受害者仍然遭遇了数据泄露问题。

有缺陷的加密工具常使数据恢复受挫

行业专家分析认为，Hiscox关于勒索软件受害者困境的统计，恰恰凸显了企业在遭遇攻击时面临的诸多挑战之一。

网络安全公司Bridewell的应急响应经理James John表示："60%的数据恢复率真实反映了应急响应过程中经常遇到的技术和操作困境。首先，不同勒索软件操作者的技术水平差异显著。虽然像LockBit或ALPHV这类成熟团伙通常会提供可用解密工具以维护"声誉"，但规模较小的组织往往会部署存在缺陷的加密程序，或在收到赎金后直接消失。

John进一步指出，解密工具通常运行缓慢且可靠性堪忧。

他详细解释道："在企业环境中进行大规模解密可能需要数周时间，而且往往无法修复已损坏的文件或复杂的数据库系统。更令人担忧的是，解密过程本身可能导致更多数据损坏。"

即使攻击者提供了解密工具，这些工具也可能包含漏洞，或者导致文件损坏而无法访问。许多组织仍依赖未经充分测试（且存在漏洞）的备份。更糟糕的是，不少勒索软件受害者发现他们的备份在攻击过程中也被加密了。

英国托管安全服务提供商Avella Security的合伙人兼英国政府网络安全顾问Daryl Flack指出："犯罪分子经常使用有缺陷或不兼容的加密工具，而许多企业缺乏用于干净恢复数据的基础设施，特别是当备份不完整或系统仍存在漏洞时。"

额外的恢复压力

现代勒索软件攻击通常涉及双重或三重勒索，即攻击者威胁在收到赎金后仍要泄露被盗数据或发起DDoS攻击。

这种情况从根本上改变了受害者在决定支付赎金时对结果的预期，因为支付行为往往无法解决勒索软件攻击带来的所有问题。

Bridewell的John强调："支付赎金只能解决加密问题，但无法根除更广泛的安全漏洞。"

此外，勒索软件事件会给组织带来巨大压力，法律、运营和声誉问题往往在数小时内集中爆发。

这些因素，再加上与犯罪分子打交道时固有的不确定性，共同解释了为什么支付赎金往往无法实现数据的完全恢复。

Harper James律师事务所数据保护与隐私团队的高级律师Lillian Tsang警告称，即使在收到解密密钥后，部分数据可能已经永久损坏、被篡改或被盗。

Tsang解释道："这不仅会造成运营挑战，还会引发数据保护方面的担忧，特别当涉及个人数据时。如果相关记录丢失或泄露，根据英国《通用数据保护条例》(UK GDPR)，这可能构成个人数据泄露，需要履行报告义务，并可能面临监管审查。"

Tsang进一步提醒，若犯罪分子未能兑现承诺，支付赎金并不能为企业提供任何法律追索权，更糟糕的是，"如果在不知情的情况下将资金转移给受制裁的组织，支付行为可能会带来进一步的风险。"

财务承受能力和法律问题

日本中型物流公司Kantsu的高管讲述了该公司在遭受勒索软件攻击后恢复运营的经历，这从实际角度说明了勒索软件攻击的影响。Kantsu总裁Hisahiro Tatsujo向记者讲述了该公司在遭遇勒索软件攻击后为恢复正常运营所付出的努力。

Kantsu（未支付赎金）不得不向金融机构申请贷款以支付恢复运营的费用，因为尽管该公司已投保，但其保险公司仍需经过理赔流程才能赔付。这一事例表明，企业要想成功从勒索软件攻击中恢复，不仅需要完善的运营计划，还需要周密的财务规划。

此外，当系统因勒索软件攻击而中断时，几乎会立即产生通知监管机构和受影响个人的法律义务，特别是当个人数据因泄露而受到影响时。

Harper James的Tsang表示："最大挑战之一是在信息有限的情况下快速做出高风险决策。高层领导必须在支付赎金的法律风险、对业务连续性的影响以及对个人的潜在后果之间进行权衡，而这些技术层面的影响往往难以明确评估。"

未雨绸缪

专家建议，作为灾难恢复计划的一部分，企业应与专业的应急响应公司保持合作，以应对勒索软件这一日益现实的威胁。

专注于直接威胁情报的网络安全公司Blackwired的首席执行官Jeremy Samide指出："与信誉良好的应急响应或谈判公司合作至关重要，这类公司应具备处理加密货币交易的能力，并在选择支付作为恢复途径时能够安全执行转账操作。"

Samide补充道："做好准备并不意味着屈服，而是意味着为各种情况做好充分准备。"

Harper James的Tsang警告说，不应专门为支付勒索软件赎金而预留资金。

Tsang表示："为支付赎金而预留资金越来越被视为有问题。虽然支付行为本身并不违法，但它可能违反制裁规定，可能助长进一步的犯罪活动，而且不能保证取得积极结果。"

Tsang建议，企业应通过实施强有力的安全措施、经过充分测试的恢复计划、明确的报告协议和网络安全保险来增强抵御能力，从而获得更安全和更具战略性的地位。

Tsang解释说："网络安全保险至关重要，因为它不仅提供财务保障，还能让组织获得专业支持，从而显著减少损失和停机时间。"

网络安全保险政策通常提供以下危机管理服务：

• 立即应急响应和取证调查

• 受感染系统的控制和修复

• 与攻击者的谈判和法律协调

• 数据恢复和业务连续性支持

Blackwired的Samide表示："保险虽不能阻止攻击，但可以减轻攻击带来的冲击，让混乱局面恢复秩序，并确保组织不会独自应对勒索软件危机。"

但其他专家提醒，网络安全保险仍存在一些注意事项。

Avella Security的Flack指出："保险费正在上涨，保险公司在提供或续保前会要求更严格的安全基础，包括多因素身份验证、补丁管理和经过测试的备份。这一转变鼓励组织将更好的安全实践作为其风险管理方法的一部分。"

网络恢复

专家建议，企业应将勒索软件攻击后的网络恢复视为灾难恢复一样重要，制定完善的内部恢复计划并做好充分记录，以便能够自信地恢复未受损的数据。

Index Engines的首席营销官Jim McGann解释说："当企业遭遇勒索软件攻击时，首要挑战之一是评估攻击的全部范围，确定哪些数据已被泄露，哪些系统受到影响，以及现有备份是否可靠。即使有可用备份，验证其完整性也是一大障碍，因为备份中可能包含在恢复过程中重新引入的威胁或篡改文件。"

McGann建议："企业现在就需要制定内部恢复计划，其中应包括对数据进行法医级别的验证，而不仅仅是恢复。"