近年来勒索软件威胁分析及防范策略回顾

近年来，各种网络安全事件频频发生。其中，勒索软件迅速发展成为对网络安全构成最严重威胁的恶意软件，成为网络犯罪的主要形式之一。从政务网络到关键信息基础设施，从个人到企业，从计算机设备到移动设备和服务器，勒索软件攻击无差别影响全球各个行业和领域、各类网络用户、各类设备类型，带来巨大的对社会的影响。严重的不良影响。本文主要讨论和分析了当前勒索软件的威胁形势、泛滥成因和攻击特点，提出了应对勒索软件攻击的一些防御策略。

一、勒索软件威胁形势越来越严重

勒索软件是一种恶意软件，它可以通过锁定设备或加密文件来阻止受害者对系统或数据的正常访问，然后向用户勒索钱财，主要通过网络钓鱼电子邮件、网络黑客攻击、服务器入侵、系统漏洞、网络共享文件和可移动存储介质传播开来。勒索软件并不是什么新鲜事物。自第一个已知的勒索软件出现至今已近 30 年。但近年来，勒索软件发展迅速，其破坏性和影响力前所未有，引起全球广泛关注。

(一）攻击次数和频率都呈爆炸式增长

勒索软件自出现以来一直处于不断变化和进化的过程中，数量和质量都在逐步提升。 2016 年，勒索软件在全球范围内爆发。趋势科技的安全报告显示，2016 年勒索软件家族的数量从 2015 年的 29 个增加到 247 个，增长了 752%。根据 FBI 2017 年 1 月的调查，支付的勒索软件总额从 2015 年的 2400 万美元跃升至 2016 年的 10 亿美元。随后的 2017 年是勒索软件历史上最臭名昭著的一年。据权威机构和知名安全公司统计，每天勒索软件攻击多​​达4000起，全年攻击次数比上年翻了一番。新的勒索软件变种增长了 46%。 2017 年，赛门铁克在全球范围内拦截了 54 亿次 WannaCry 勒索软件攻击。2018 年勒索软件仍然猖獗，尽管整体数量增长放缓，但包括 WannaCry、GandCrab、GlobeImposter、Satan、Crysis 等勒索软件变种正在不断涌现。其中，自2018年1月首次发现GandCrab以来，V1.0、V2.0、V2.1、V3.@ >0、V4.0、V5.0.3 和许多其他变体。在勒索软件的快速攻击下，中国也成为重灾区，成为亚太地区受影响最严重的国家之一。其中，国家互联网应急响应中心2017年抓获新勒索软件近4万件。360互联网安全中心发现，2017年5月至2018年4月，全国约有46台3.@>5万台电脑受到勒索软件的攻击，质量勒索软件的数量将继续增加。瑞星“云安全”系统2018年上半年截获31.44万个勒索软件样本，感染总数456万。

(二）危害程度越来越大

勒索软件不仅数量迅速增加，而且危害也越来越大，尤其是针对关键基础设施和重要信息系统的勒索软件攻击，影响范围更广。值得一提的是，勒索软件攻击的危害远不止勒索带来的经济损失，更严重的是给企业和组织带来额外的复杂性，导致数据损坏或丢失、生产力中断、正常业务中断、企业声誉受损损坏和其他损失。以 WannaCry 和 NotPetya 勒索软件为例。 2017年5月12日，黑客利用网上泄露的美国国家安全局武器库中的“永恒之蓝”攻击工具，将其转化为WannaCry系列勒索软件，并通过微软系统漏洞大肆复制。 ，广泛传播，并对受害主机文件实施加密和勒索。在全球150多个国家，金融、能源、医疗、教育等诸多行业受到影响。英国国家医疗系统下五分之一的医疗机构被迫取消所有紧急入院和手术安排。受影响的患者人数超过数千人。德国、法国、俄罗斯等国的机场和地铁调度系统都受到了不同程度的影响。我国教育和公安系统网络成为重灾区，全国多家加油站无法进行网上支付。 6月27日，仍被“永恒之蓝”漏洞传播的NotPetya勒索病毒再次在欧洲大规模爆发，导致乌克兰等国的机场、银行和大型企业网络遭到破坏甚至破坏。瘫痪。根据欧洲刑警组织 2018 年版的互联网有组织犯罪威胁评估 (IOCTA)，勒索软件仍然是大多数欧盟成员国的第一大恶意软件威胁，而加密劫持变得越来越普遍。 2018 年 3 月，亚特兰大市政系统的服务器成为勒索软件攻击的目标，该攻击影响了多个部门，并导致处理支付和提供法庭信息的政府网站瘫痪。尽管亚特兰大市政府没有支付黑客要求的5.$10,000 赎金，但这次攻击给该市带来了至少270 万美元的直接经济损失，主要是作为修复攻击造成的损失的应急费用。不利影响。 6 月，亚特兰大市额外花费了 950 万美元来恢复受到影响的关键系统和服务。 8月，全球最大半导体代工厂商台积电生产厂房及营运总部电脑遭勒索病毒入侵，导致株科、中科、南科等大厂停产，台积电1.7亿美元（经济损失约1元1.5亿元）。 9月，英国布里斯托机场航班信息显示系统遭遇勒索软件攻击，导致机场航班显示两天无法正常显示信息。

二、勒索软件的全球传播是有原因的

勒索软件是随着网络犯罪技术的发展而发展起来的。它快速迭代并迅速传播。目前，网络勒索软件已成为攻击者赚钱的首选方式。大规模洪水绝非偶然。

(一）低成本、高回报的攻击助长了勒索软件的流行

勒索软件的生产成本低。在大多数情况下，无需额外投资即可进行持续攻击。加密后的系统和数据往往对企业、政府部门和个人很重要，一些关键的敏感数据也很重要。即便是企业的经济命脉，一旦泄露或损坏，都会造成无法弥补的损失，支付赎金往往是无奈的选择。几十元甚至几元的生产成本，有时会导致几万元甚至更多的赎金。低犯罪成本和高回报率使得勒索在大数据时代极具吸引力，吸引了越来越多的攻击者参与其中。

(二）安全保护不足为勒索软件攻击打开了大门

虽然勒索软件呈上升趋势，但也并非无法防范。其屡屡成功的主要原因是用户普遍对网络安全知之甚少，缺乏必要的保护策略，如重要文件的备份、病毒检测、补丁更新、老式设备更换等。在2000多个勒索软件中在 360 安全中心 2017 年收到的求助受害者中，绝大多数受害者没有正常使用安全软件进行保护，甚至很多受害者的电脑上没有安装任何安全软件，导致勒索软件很容易被访问。侵袭感染。一些政企机构从业人员的安全意识也明显不强，内部安全管理存在缺陷，缺乏安全措施，整体安全防御能力薄弱。此外，安全监控软件的病毒检测能力也存在问题，应对大量新型勒索软件略显薄弱。 NotPetya 攻击时，研究人员测试的 60 款安全软件中只有 2 款在第一时间检测到该勒索软件，间接为犯罪分子提供了攻击的机会。

(三）网络技术的飞速进步推动勒索能力不断升级

勒索软件技术的发展使其在加密方式、传播方式、规避检测等方面不断更新。目前最流行的加密勒索软件早已摒弃了可破解的对称加密算法，普遍采用非对称强加密算法。除了付费获取密钥外，没有其他解密方法。勒索软件的新变种层出不穷。每个变体都增加了一些新技术并增强了新功能。越来越多的组合传播方式和各种先进技术被用来躲避侦查和查杀，破解难度越来越大。速度跟不上新病毒或变种的引入速度。新技术的变化让勒索软件“更加强大”，能够越过安全防线，达到感染用户的目的。

(四）比特币和匿名网络间接充当非法活动的“保护伞”

勒索软件攻击如此猖獗的部分原因在于以比特币为代表的匿名支付方式和匿名通信网络被攻击者恶意利用。比特币是一种去中心化的虚拟数字货币，不受中央银行和任何金融机构的控制，可以有效隐藏攻击者的身份。可以说，比特币的出现为网络勒索提供了低风险、易操作和便捷的方式。强大的赎金交易和套现方式已成为网络犯罪分子的主要支付方式。攻击者对比特币的拥抱导致比特币价格暴涨，引发更多使用勒索软件向用户勒索比特币的攻击。除了支付手段之外，允许匿名通信的洋葱网络也有助于掩盖攻击的来源。病毒制造者经常在暗网上设置勒索软件服务器，并通过洋葱网络与受害者进行通信。这些方法先进、实用且易于获得。他们打着“匿名”的旗号保护网络敲诈的非法活动，使得追根溯源极其困难。

(五）敲诈服务市场的繁荣为黑客赚钱提供了便利

勒索软件的利益诱惑让无数网络犯罪分子看到了快速赚钱的机会，也催生了勒索软件服务市场商业模式的兴起。 ，逐步形成完整成熟的产业链。这些平台为缺乏技能、资源和时间的黑客提供了许多现成的解决方案和勒索软件服务，从勒索软件开发、技术支持、分发、保修到售后，甚至包括专门的勒索软件咨询服务和恶意产品定制服务。没有任何技术专长的攻击者可以毫不费力地发起网络勒索活动，并在勒索行业中分一杯羹。

三、勒索软件攻击的特征

勒索软件对网络安全的威胁是显而易见的2017比特币黑客事件，但它并没有随着防御手段的升级和完善而消退。相反，病毒在对抗安全防御技术的过程中不断优化自身，其复杂性和多样性不断增长，更新迭代速度明显加快，试图以更隐蔽的形式发动更猛烈的攻势以获得更大的利益。勒索软件在发展演变过程中具有以下特点。

(一）多样化的攻击目标

一个是从电脑到手机。勒索软件主要针对计算机设备，其中 Windows 操作系统是重灾区。数据显示，PC 上的勒索软件数量仍在上升，尽管速度较慢。但随着移动互联网的普及，勒索软件的战场已经开始从电脑端向移动端蔓延，并且有愈演愈烈的趋势。俄罗斯卡巴斯基实验室发现，2017 年有 161 个国家的 110,000 多名用户受到移动勒索软件的攻击，移动勒索软件安全包多达 54.40,000 个。 2倍，比2015年增长了17倍。我国移动平台的感染情况更加严峻。 2017 年前 9 个月，360 烽火实验室捕获了超过 500,000 个恶意勒索软件，平均每月5.50,000 个。目前，移动勒索软件已形成千万级以上的产业规模，威胁不容小觑。

第二个是从个人用户到企业设备。个人设备一直是勒索软件目标的高比例。但随着传统勒索软件的盈利能力持续下降，对更高利润需求的预期正促使黑客进一步将攻击重点放在关键业务系统和服务器上。例如，勒索软件 Rrebus 通过加密 153 台 Linux 服务器轻松地从韩国网络托管公司 Nayana 处收取了高达 100 万美元的赎金。在目标企业目标中，中小型企业由于其单一的安全架构而更容易被破坏。在震惊世界的 WannaCry 攻击中，中小企业是主要受害者。据不完全统计，2017年约15%的勒索软件攻击是针对中小企业服务器的针对性攻击。

(二）攻击目的复杂

一种是在勒索软件的掩护下进行网络破坏或间谍活动。从传统的角度来看，勒索软件攻击无非是向受害者索要金钱的经济目标。但实际案例表明，日益猖獗的勒索软件正在成为其他网络攻击者的利用手段。一些勒索软件只是网络破坏或间谍活动的掩护，以掩盖攻击者的真实目的。最典型的案例是 NotPetya 事件。该软件作者精心设计制作了传播和破坏的功能模块，病毒通过窃取凭证的方式大范围传播，而勒索软件模块制作精良，漏洞百出，受害者甚至无法成功支付赎金。 此外，攻击者还改写了硬盘的主引导记录，导致用户数据的编码不可逆。该恶意软件的代码和其他证据表明，NotPetya 很可能是伪装成勒索软件攻击的蓄意策划的破坏性攻击。除了破坏之外，攻击者还可以以勒索的名义进行网络间谍活动，让事件响应者专注于解密文件，而不是调查攻击的真正原因。

二是以勒索软件为手段，实现多种盈利目的。尽管大多数当前的勒索软件只是加密文件，发送加密密钥来解密它们，然后从受害者那里获得赎金。但随着勒索软件攻击的演变，勒索软件样本也可能在加密数据之前采取更多的恶意行为，例如从企业服务器窃取关键和敏感数据的渗透操作。一方面，它迫使受害公司支付赎金以恢复数据所有权；另一方面，这些敏感数据可以在地下暗网上出售，以获得更多潜在利益。这种勒索、窃取、倒卖敏感信息的攻击行为越来越受到黑客的青睐。

(三）扩大攻击范围

首先，从地理区域来看，攻击范围已经扩大到全球。在 WannaCry 勒索软件攻击爆发之前，攻击者普遍倾向于攻击信息化程度高、网络设施发达的国家和地区，因为这些国家和地区对网络的依赖程度基本决定了攻击者更有可能获得资金好处。这些攻击大多是影响有限的小规模事件。然而，WannaCry 打破了攻击行为的针对性和局部性特征，是历史上第一次在全球范围内爆发的大规模恶意程序攻击。随后的 NotPetya、“坏兔子”等勒索软件延续了 WannaCry 的全球影响力。各种攻击事件表明，“不甘寂寞”勒索病毒已从小规模感染转变为大规模传播，甚至扩展到许多信息技术水平较低的国家和地区，这些地区的用户在应对方面经验不足。勒索软件，而勒索软件是不够的。软件攻击者在这些领域的竞争力较弱，而且更容易赚钱。

第二，从行业来看，攻击范围已经扩大到全领域。在勒索软件的快速攻击下，金融、医疗、交通、能源、通信、制造、教育等诸多关键基础设施和重要行业也未能幸免。全球多家金融机构、波音飞机制造公司、美国科罗拉多州交通部、亚特兰大市政府网络、北卡罗来纳州政府服务器、印第安纳州汉考克地区医院系统、乌克兰能源和煤炭工业部等. 都成为勒索软件的受害者更令人担忧的是，医院被恶意软件勒索的概率正在上升，攻击对医院的影响可能远比大多数其他机构可怕，甚至危及患者的生命。随着物联网、云计算等新技术的不断普及，勒索软件将逐渐向大数据、云服务、物联网等新兴领域蔓延，包括智能家居、智能汽车等。新战场。以智能家居为例，建立在物联网之上的智能家居网络将是物联网领域最具潜力的市场载体，将面临更大的勒索软件攻击危险。在 2016 年举行的全球顶级安全会议 Def Con 上，两名白帽黑客展示了勒索软件如何成功入侵智能恒温器。

(四）专门的攻击方法

首先，传播加密的手段更加多样化。为了感染更多的设备并在日益激烈的内部竞争中脱颖而出，许多勒索软件已经开始创新其传播手段。一是利用更多漏洞和更隐蔽的方式进行初始传播，越来越多地利用社交媒体作为传播手段，如通过Facebook、Twitter、微博等分享的恶意内容引诱受害者点击恶意链接。其次，一些勒索软件吸收了蠕虫的特性，自我复制能力越来越强。例如WannaCry、NotPetya等以被感染设备为跳板，然后利用漏洞或“管理员共享”功能自动渗透攻击网络。局域网内的其他计算机形成“一打，一打”的局面。第三，针对企业对软件供应链管理的薄弱环节，通过行业供应链攻击传播勒索软件的案例也时有发生。翻新手段让用户防不胜防，加密能力也在升级。例如，2018年10月，撒旦勒索病毒最新变种V4.2被发现传播到中国，升级了加密算法，提示原杀毒软件的解密方案会因病毒而失效升级。该病毒利用服务器组件的漏洞进行攻击传播，并对硬盘中的所有重要数据文件进行加密。撒旦依靠差异化的攻击方式，不仅给企业用户造成重大损失，还影响到个人用户。

第二，伪装和闪避技能更加精湛。勒索软件的伪装逃避技能与其他恶意软件相当，网络犯罪分子越来越多地使用勒索软件，不留痕迹，让防御者措手不及。一方面，勒索软件的静默期将持续增加。截至2018年3月，360烽火实验室捕获的20万多代刷机软件中，有一半以上是伪装的恶意勒索软件。此类软件在首次启动后会自动进入“隐藏模式”，让用户无法每天感知和卸载，从而达到长期潜伏、持续作恶的目的。另一方面是使用了更先进的反杀技术。例如，2017 年 12 月，研究人员刚刚提出了一种新的代码注入技术，称为 Process Doppelg?nging，可以绕过 Windows 系统上的所有反病毒安全机制。 2018 年 5 月2017比特币黑客事件，研究人员发现 SynAck 勒索软件使用了该技术。使用变体。

(五）勒索软件服务产业化

勒索软件不断扩大的市场机会催生了一种新的盈利模式，即勒索软件即服务 (RaaS)。在这种模式下，勒索软件正式进入类似于商业软件的产业化发展阶段，整套勒索软件系统服务在暗网市场进行交易。任何想要非法获利的人都可以使用 RaaS 平台。现成的解决方案。根据反病毒服务商 Carbon Black 2017 年 10 月发布的调查报告显示，全球有 6300 多个暗网平台提供勒索软件交易，勒索软件的总销售额从 2016 年的 25 万美元上升到 2017 年的 620 万美元。约 25 倍（根据全球 21 个顶级暗网平台的监测结果计算）。勒索软件的开发者也收获颇丰，一些开发者年收入超过 10 万美元，而在合法的商业软件中，程序员的收入约为 7 万美元。集团化运营模式大大提升了专业化程度，便于易用、定制化工具的出现。开发者不需要独立开发整个工具包，而只专注于某个环节和某项技术来执行针对性的攻击和勒索，成功的概率越大，影响也就越严重。黑市的繁荣，进一步推动勒索软件以更强的势头向更广泛的范围不断蔓延。

四、反勒索软件攻击刻不容缓

网络世界的攻防一直是恶意攻击者和防御者之间的博弈过程。目前，勒索软件的危害不断扩大。如果无法加强应对措施，在暴利的驱使下，勒索软件可能会进一步爆发，造成更大的危害。当然，防范勒索软件攻击是一项系统工程，需要综合施策、系统治理、多方合作，形成防范和打击勒索软件、清理活土、让勒索软件无处藏身的合围。

(一）宣传教育，提高安全意识

在大多数情况下，勒索软件攻击不成功的原因不是病毒本身有多强大，而是因为它抓住了用户安全意识不足的弱点，并能够利用它。因此，提高安全意识，不为勒索软件提供机会是应对勒索软件攻击的主要方式。对于普通用户，可以通过媒体、网站平台等方式，加强对勒索软件危害性知识的传播和安全防范的宣传教育，增强用户的安全意识。对企事业单位，可以通过勒索案例培训员工，提供最佳实践，教育员工如何识别网络钓鱼，进行模拟演练，增强员工安全防范意识，时刻保持高度警惕，降低被攻击的概率。人为地引入网络威胁。

(二）立法优先，法律保护完善

解决勒索软件猖獗的问题，法律法规的重要性怎么强调都不为过。在实践中，虽然很多网络安全公司检测到大量勒索软件攻击，但进入执法部门的情况极为罕见。这不仅包括被害人法律意识​​的缺失，也包括法律本身的缺失。打击勒索软件的立法是正确的一步。美国加利福尼亚州于 2016 年 9 月出台了反勒索软件法，明确规定检察官可以起诉和定罪勒索犯罪者，以打击使用恶意软件加密重要数据并要求支付赎金的网络攻击者。我国现行法律对勒索软件没有具体规定，但《中华人民共和国网络安全法》等多项法律文件对一般网络犯罪活动进行了界定。为了更有效地打击勒索软件，包括其发源地的暗网市场，需要建立更加完善和有针对性的法律法规来应对网络勒索犯罪。

(三）系统治理，构建多层防御

许多勒索软件结合了复杂而高级的网络攻击，是单一的保护方法或力量无法抵御的。要充分发挥政府、企业和用户的多主体作用，构建完善的网络安全治理体系，构建多层次的防御体系，编织一张严密的勒索防御网络。首先，政府要制定勒索软件攻击恢复指南，成立专门的应急响应小组，在勒索软件攻击发生时，协助企业响应和恢复网络和数据。 ，检测计划。例如，2017 年 9 月，美国国家标准与技术研究院 (NIST) 发布了专门指南，帮助遭受勒索软件攻击的企业制定数据恢复计划，提供高层架构、实施案例、安全特征分析等正确处理勒索软件攻击。方法建议。二是企业要建立事前预防、事中监测、事后应对三位一体的综合防护策略。这不仅应包括定期修补漏洞、备份数据，还应包括多个重叠和相互支持的防御系统，例如高级威胁防护、网关防病毒、入侵防御等，以防止任何特定技术或保护中的单点故障，同时组建专业的事件响应团队。三是建立行业部门间有效的勒索软件威胁信息共享机制，提升彼此网络风险防控能力。

(四）聚焦技术，加大研发力度

鉴于勒索软件攻击技术的快速创新和应对难度，应加大反勒索软件技术的研发力度，充分利用各种新技术，包括人工智能技术、区块链技术、智能诱捕技术、SONAR行为检测技术、智能文件格式分析技术、文档自动备份与隔离保护技术、智能威胁云、密码保护技术。特别是人工智能机器学习技术将在勒索软件的识别和检测中发挥重要作用。先进的机器学习技术可以找出勒索软件中可能出现的因素，并根据新的勒索软件特征随时调整，发现多种恶意行为，正确识别勒索软件与合法软件的组合，提高响应能力。

(五）联合罢工，各国齐心协力

勒索软件是一种普遍存在的网络安全问题，在网络高度互联的时代，它不加区别地影响着世界上的每个国家。打击这种网络犯罪不能单独完成，需要全球联合行动。 2016年7月，卡巴斯基实验室、荷兰国家警察、欧洲刑警组织和英特尔安全联合发起“无勒索软件”项目，开启了执法机构和私营企业共同打击勒索软件的新合作模式。目前，该项目的合作伙伴已达120多家，提供50多种免费解密工具，免费为35000多名用户恢复丢失的文件，并免除约1000万欧元的勒索费用。 The success of this project shows that in the face of the global problem of ransomware, countries need to take active and joint actions, and at the same time, they need to explore and establish more effective international cooperation models to jointly deal with cyber threats.

(Originally published in the December 2018 issue of Confidential Science and Technology)