最近一年來(lái)，接連爆發(fā)的諸如Wannacry、Petya勒索事件影響范圍之廣，造成的經(jīng)濟(jì)損失讓不少企業(yè)對(duì)網(wǎng)絡(luò)安全的主流威脅之一。

根據(jù)一份最新的暗網(wǎng)市場(chǎng)分析報(bào)告指出，通過(guò)監(jiān)測(cè)全球 21 個(gè)頂級(jí)暗網(wǎng)平臺(tái)發(fā)現(xiàn)目前全球有實(shí)際超過(guò) 6300 個(gè)平臺(tái)提供勒索軟件交易，價(jià)格從 0.50 美元到 3K美元不等，隨著銷售量增長(zhǎng)率達(dá)到驚人的 2502 % ，使得勒索軟件的總銷售金額達(dá)到了 620 萬(wàn)美元，比上一年總銷售額多了 25 萬(wàn)美元。

從勒索軟件背后不斷完善的產(chǎn)業(yè)鏈條來(lái)看，巨大的利潤(rùn)空間使得黑客源源不斷地涌入勒索軟件市場(chǎng)。攻擊者數(shù)量龐大，攻擊方式層出不窮，讓反勒索工作在未來(lái)將面臨更加嚴(yán)峻的挑戰(zhàn)?？梢灶A(yù)見(jiàn)，這場(chǎng)勒索與反勒索、威脅與安全的博弈在未來(lái)勢(shì)必持久且艱難。而對(duì)于企業(yè)用戶而言，全面了解勒索軟件并采取針對(duì)性措施就變得非常重要。

利益驅(qū)動(dòng)下，勒索事件較之以往更高發(fā)

勒索軟件（Ransomware）是一種流行的木馬，通過(guò)騷擾、恐嚇甚至采用綁架用戶文件等方式，使用戶數(shù)據(jù)資產(chǎn)或計(jì)算資源無(wú)法正常使用，并以此為條件向用戶勒索錢(qián)財(cái)。這類用戶數(shù)據(jù)資產(chǎn)包括文檔、郵件、數(shù)據(jù)庫(kù)、源代碼、圖片、壓縮文件等多種文件。

據(jù)相關(guān)部門(mén)對(duì)2015-2016年勒索軟件增長(zhǎng)情況的統(tǒng)計(jì)研究發(fā)現(xiàn)，在監(jiān)測(cè)的時(shí)間范圍內(nèi)全球勒索軟件傳播總數(shù)從不足100萬(wàn)增長(zhǎng)到1500萬(wàn)，增長(zhǎng)了15倍；中國(guó)區(qū)勒索軟件數(shù)量增長(zhǎng)超過(guò)了67倍，躍升為勒索軟件感染最嚴(yán)重的10大國(guó)家之一。由此可見(jiàn)勒索軟件增長(zhǎng)態(tài)勢(shì)日益嚴(yán)峻。

勒索軟件分類

目前安全專家普遍認(rèn)為，勒索軟件一般有兩種類型。第一種類型，是鎖屏類型的勒索軟件（WinLocker），這種類型的勒索軟件危害相對(duì)較小。盡管可能會(huì)導(dǎo)致正常的電腦功能中斷，但其與傳統(tǒng)恐嚇軟件并沒(méi)有太多不同，造成的損失也相對(duì)較小。

另一種類型，就是加密類型的勒索軟件（CryptoLocker）。這種勒索軟件是從2013年秋天才出現(xiàn)的，它并不鎖定電腦屏幕，也不會(huì)中斷計(jì)算機(jī)的啟動(dòng)進(jìn)程，而是對(duì)包括“ .doc ”、“ .xls ”和“ .exe ”等在內(nèi)的大多數(shù)類型的個(gè)人文件進(jìn)行加密，然后攻擊者要求用戶支付通常為200美元和3000美元不等的比特幣作為贖金，以換取文件的解密密鑰。

這種加密類型的勒索軟件使用非對(duì)稱加密來(lái)鎖定用戶文件，這是一種同時(shí)包含公有密鑰和私有密鑰的加密方式。公有密鑰用于加密用戶數(shù)據(jù)，而私有密鑰用于解密。這個(gè)私有密鑰存儲(chǔ)在攻擊者的服務(wù)器上，無(wú)法通過(guò)網(wǎng)絡(luò)訪問(wèn)，同時(shí)，攻擊者還會(huì)對(duì)受害者文件的加密密鑰設(shè)定失效期，以此來(lái)增加付款的緊迫性，這就意味著用戶如果沒(méi)有在指定的時(shí)間之內(nèi)支付酬金，幾乎沒(méi)有希望恢復(fù)自己的文件。

目前，企業(yè)對(duì)勒索軟件深惡痛絕的原因之一也是由加密類型的勒索軟件帶來(lái)的。雖然互聯(lián)網(wǎng)上也流傳有一些被勒索軟件加密后的修復(fù)軟件，但這些都是利用了勒索軟件實(shí)現(xiàn)上的漏洞或私鑰泄露才能夠完成的。如Petya恢復(fù)工具就是利用了開(kāi)發(fā)者軟件實(shí)現(xiàn)上的漏洞，TeslaCrypt和CoinVault家族數(shù)據(jù)恢復(fù)工具利用了key的泄露來(lái)實(shí)現(xiàn)。

勒索軟件的傳播

通常，這些勒索軟件會(huì)選擇垃圾郵件的方式進(jìn)行傳播，攻擊者往往會(huì)將勒索軟件置于郵件附件之中，這些附件看起來(lái)是正常文件實(shí)則為可執(zhí)行文件。此外，勒索軟件還有利用漏洞傳播，與其他惡意軟件捆綁傳播，通過(guò)僵尸網(wǎng)絡(luò)進(jìn)行傳播，通過(guò)可移動(dòng)存儲(chǔ)介質(zhì)傳播，文件共享網(wǎng)站傳播，網(wǎng)頁(yè)掛馬，社交網(wǎng)絡(luò)傳播等多種傳播方式。

而在2013年后勒索軟件逐漸采用的以比特幣為代表的虛擬貨幣支付方式，使得勒索事件的過(guò)程更難追溯，可以說(shuō)，虛擬貨幣的出現(xiàn)加速了勒索軟件的泛濫。與此同時(shí)，勒索軟件服務(wù)化，即開(kāi)發(fā)者提供整套勒索軟件的解決方案，從勒索軟件的開(kāi)發(fā)、傳播到贖金的收取都提供完整的服務(wù)，大大降低了勒索軟件的門(mén)檻，也推動(dòng)了勒索軟件大規(guī)模爆發(fā)。

如何更好應(yīng)對(duì)勒索軟件

針對(duì)勒索事件，支付贖金顯然不是長(zhǎng)久有效之計(jì)。鑒于攻擊者實(shí)施攻擊的目的就是為了贖金，因此，贖金交付之后不能保證原文件的絕對(duì)恢復(fù)。同時(shí)，這種行為某種程度上也滿足了攻擊者通過(guò)勒索軟件來(lái)牟取利益的欲望。一旦有攻擊者通過(guò)攻擊得到了相應(yīng)的酬金，使得勒索軟件真正變得有利可圖，由此大量黑客源源不斷的進(jìn)入攻擊者的隊(duì)伍，從而直接導(dǎo)致了勒索事件屢禁不止，反勒索難度越發(fā)增加。

因此，用戶應(yīng)該將關(guān)注點(diǎn)放在事件的防御而非事后修補(bǔ)，對(duì)于企業(yè)用戶來(lái)說(shuō)，應(yīng)采用多層防護(hù)措施，從監(jiān)控預(yù)警、防御保護(hù)、應(yīng)急響應(yīng)、安全審計(jì)幾個(gè)步驟入手，通過(guò)安全軟件的安裝，達(dá)到對(duì)未知勒索軟件的全程監(jiān)控，對(duì)已知勒索軟件的防范，同時(shí)對(duì)已發(fā)生的勒索事件進(jìn)行安全審計(jì)，達(dá)到對(duì)勒索事件的防御，才能更好實(shí)現(xiàn)有效治理。

在勒索軟件攻擊登上安全事件榜首位置時(shí)，聯(lián)軟科技便已重視起這一類勒索軟件，并著手研發(fā)相應(yīng)解決方案，目前聯(lián)軟平臺(tái)級(jí)產(chǎn)品已具備反勒索病毒的功能。

憑借聯(lián)軟安全團(tuán)隊(duì)長(zhǎng)久以來(lái)對(duì)勒索軟件的跟蹤分析，聯(lián)軟的平臺(tái)級(jí)產(chǎn)品采用人工智能和大數(shù)據(jù)分析技術(shù)對(duì)病毒行為進(jìn)行解析，通過(guò)對(duì)勒索軟件行為的檢測(cè)，智能判斷出進(jìn)行文件加密劫持的可疑程序，并對(duì)其進(jìn)行標(biāo)識(shí)、識(shí)別、阻斷操作，保護(hù)終端文件不被劫持。如此便充分地解決了傳統(tǒng)病毒特征庫(kù)識(shí)別技術(shù)的瓶頸，快速而精準(zhǔn)的識(shí)別勒索病毒。

聯(lián)軟平臺(tái)級(jí)產(chǎn)品三大優(yōu)勢(shì)：

• 基于病毒行為分析和全新人工智能識(shí)別技術(shù)，解決識(shí)別特征庫(kù)的更新瓶頸，無(wú)需像傳統(tǒng)防病毒軟件一樣需要不斷的進(jìn)行升級(jí)，做到不怕病毒變種和不怕各種新型病毒；
• 可以防止文檔被加密，即使用戶的終端感染并運(yùn)行了勒索軟件，也能通過(guò)阻斷措施防止其惡意加密；
• 該反勒索病毒系統(tǒng)可以快速集成到聯(lián)軟統(tǒng)一安全管理平臺(tái)LeagView，用戶只需要在后臺(tái)一鍵開(kāi)啟和關(guān)閉即可杜絕病毒的騷擾。

勒索軟件的關(guān)鍵在預(yù)防，除部署聯(lián)軟的系統(tǒng)之外，用戶還應(yīng)及時(shí)對(duì)重要文件進(jìn)行備份，同時(shí)經(jīng)常將安全軟件進(jìn)行更新。

作為從業(yè)十幾年的安全廠商，聯(lián)軟始終以用戶為中心，在今年爆發(fā)的Wannacry、Petya事件中第一時(shí)間為用戶提供有效的解決方案，今后，聯(lián)軟也會(huì)繼續(xù)保持及時(shí)發(fā)現(xiàn)、快速響應(yīng)的服務(wù)態(tài)度，為用戶提供真正可靠的網(wǎng)絡(luò)與信息安全解決方案。

更多行業(yè)資訊請(qǐng)關(guān)注聯(lián)軟科技官方微信