勒索軟件并不復(fù)雜 一篇文章就夠了

　　最近，勒索軟件成為了全民熱議話題，甚至也可說(shuō)是全球熱議話題。全球共有150多個(gè)國(guó)家遭到病毒“永恒之藍(lán)”的攻擊，校園網(wǎng)、公安網(wǎng)、醫(yī)療網(wǎng)等專線專網(wǎng)成為被攻擊的主要對(duì)象，人們紛紛獻(xiàn)計(jì)獻(xiàn)策，也成功的遏制住了病毒的繼續(xù)蔓延。其實(shí)，勒索軟件對(duì)于安全圈里的人來(lái)說(shuō)，已經(jīng)算是一個(gè)老生常談問(wèn)題。

　　瑞星安全研究院多年來(lái)一直嚴(yán)密跟蹤勒索軟件、敲詐病毒的情況，下面我們將就勒索軟件歷史、傳播途徑、家族種類、受害人群、爆發(fā)原因及防護(hù)建議等進(jìn)行全面分析，如果你想全面了解勒索軟件，看完這篇就夠了。

　　勒索軟件歷史

　　瑞星安全人員介紹，最早的一批勒索軟件病毒大概出現(xiàn)在8、9年前，那時(shí)候的勒索軟件作者還沒(méi)有現(xiàn)在那么惡毒大膽，勒索的形式還比較溫和，主要通過(guò)一些虛假的電腦檢測(cè)軟件，提示用戶電腦出現(xiàn)了故障或被病毒感染，需要提供贖金才能幫助用戶解決問(wèn)題和清除病毒，期間以FakeAV為主。

　　隨著人們安全意識(shí)的提高，這類以欺騙為主的勒索軟件逐漸的失去了它的地位，慢慢消失了。伴隨而來(lái)的是一類locker類型的勒索軟件。此類病毒不加密用戶的數(shù)據(jù)，只是鎖住用戶的設(shè)備，阻止對(duì)設(shè)備的訪問(wèn)，需提供贖金才能幫用戶進(jìn)行解鎖。期間以LockScreen 家族占主導(dǎo)地位。由于它不加密用戶數(shù)據(jù)，所以只要清除了病毒就不會(huì)給用戶造成任何損失。由于這種病毒帶來(lái)危害都能夠很好的被解決，所以該類型的勒索軟件也只是曇花一現(xiàn)，很快也消失了。

　　隨之而來(lái)的是一種更惡毒的以加密用戶數(shù)據(jù)為手段勒索贖金的勒索軟件，“永恒之藍(lán)”就屬于此類勒索軟件。由于這類勒索軟件采用了一些高強(qiáng)度的對(duì)稱和非對(duì)稱的加密算法對(duì)用戶文件進(jìn)行加密，在無(wú)法獲取私鑰的情況下要對(duì)文件進(jìn)行解密，以目前的計(jì)算水平幾乎是不可能完成的事情。正是因?yàn)橛羞@一點(diǎn)，該類型的勒索軟件能夠帶來(lái)很大利潤(rùn)，各種家族如雨后春筍般出現(xiàn)了，比較著名的有CTB-Locker、TeslaCrypt、CryptoWall、Cerber 等等。

　　勒索軟件的傳播途徑

　　瑞星安全人員介紹，勒索軟件的傳播途徑和其他惡意軟件的傳播類似，垃圾郵件是最主要的傳播方式。攻擊者通常會(huì)用搜索引擎和爬蟲(chóng)在網(wǎng)上搜集郵箱地址，然后利用已經(jīng)控制的僵尸網(wǎng)絡(luò)向這些郵箱發(fā)有帶有病毒附件的郵件。

　　Exploit Kit也是勒索軟件常用的攻擊手段，它是一種漏洞利用工具包，里面集成了各種瀏覽器、Flash和PDF等軟件漏洞代碼。攻擊流程通常是：在正常網(wǎng)頁(yè)中插入跳轉(zhuǎn)語(yǔ)句或者使用詐騙頁(yè)面和惡意廣告等劫持用戶頁(yè)面，觸發(fā)漏洞后執(zhí)行shellcode并下載惡意病毒執(zhí)行。常見(jiàn)比較著名的EK有Angler、Nuclear、Neutrino和RIG等。勒索軟件也會(huì)利用EK去投毒，當(dāng)用戶機(jī)器沒(méi)有及時(shí)打補(bǔ)丁的情況下被劫持到攻擊頁(yè)面的話，中毒的概率是比較高的。

　　勒索軟件還有一種使用的越來(lái)越多的攻擊手段定向攻擊，“永恒之藍(lán)”就屬于本類攻擊手段。攻擊者有針對(duì)性的對(duì)某些互聯(lián)網(wǎng)上的服務(wù)器進(jìn)行攻擊，通過(guò)弱口令或者一些未及時(shí)打補(bǔ)丁的漏洞對(duì)服務(wù)器進(jìn)行滲透，獲得相應(yīng)的權(quán)限后在系統(tǒng)執(zhí)行勒索病毒，破壞用戶數(shù)據(jù)，進(jìn)而勒取贖金。

　　勒索軟件家族種類

　　勒索軟件的家族種類中，Cerber 家族是2016年年初出現(xiàn)的一款新型勒索軟件。從年初的1.0版本一直更新到現(xiàn)在的4.0版。傳播方式主要是垃圾郵件和EK掛馬。索要贖金為1-2個(gè)比特幣。到目前為止加密過(guò)后的文件沒(méi)有公開(kāi)辦法進(jìn)行解密。

　　Locky家族也是2016年流行的勒索軟件之一，和Cerber 的傳播方式類似，主要采用垃圾郵件和EK。勒索贖金0.5-1個(gè)比特幣。

　　CryptoWall家族也是2016年較流行的一款勒索軟件，勒索贖金1.5個(gè)比特幣。最主要的傳播方式是垃圾郵件和EK傳播。垃圾郵件附件中通常包含一個(gè)doc文檔，文檔打開(kāi)后會(huì)加載宏釋放wsf文件并執(zhí)行，從網(wǎng)上下載勒索病毒運(yùn)行。

　　勒索軟件受害人群

　　為了能夠獲取最大的利潤(rùn)，攻擊者通常是不區(qū)分受害者對(duì)象的。就目前勒索軟件最主要的傳播途徑來(lái)看，個(gè)人用戶比企事業(yè)組織受害比例要高。隨著各人市場(chǎng)攻擊的飽和，必然會(huì)使攻擊者轉(zhuǎn)向企事業(yè)單位和政府組織，企事業(yè)面臨的風(fēng)險(xiǎn)也會(huì)越來(lái)越大。

　　勒索軟件爆發(fā)原因

　　1）加密手段有效，解密成本高

　　勒索軟件都采用成熟的密碼學(xué)算法，使用高強(qiáng)度的對(duì)稱和非對(duì)稱加密算法對(duì)文件進(jìn)行加密。除非在實(shí)現(xiàn)上有漏洞或密鑰泄密，不然在沒(méi)有私鑰的情況下是幾乎沒(méi)有可能解密。當(dāng)受害者數(shù)據(jù)非常重要又沒(méi)有備份的情況下，除了支付贖金沒(méi)有什么別的方法去恢復(fù)數(shù)據(jù)，正是因?yàn)檫@點(diǎn)勒索者能源源不斷的獲取高額收益，推動(dòng)了勒索軟件的爆發(fā)增長(zhǎng)。

　　互聯(lián)網(wǎng)上也流傳有一些被勒索軟件加密后的修復(fù)軟件，但這些都是利用了勒索軟件實(shí)現(xiàn)上的漏洞或私鑰泄露才能夠完成的。如Petya和Cryptxxx家族恢復(fù)工具利用了開(kāi)發(fā)者軟件實(shí)現(xiàn)上的漏洞，TeslaCrypt和CoinVault家族數(shù)據(jù)恢復(fù)工具利用了key的泄露來(lái)實(shí)現(xiàn)的。

　　2）使用電子貨幣支付贖金，變現(xiàn)快追蹤困難

　　幾乎所有勒索軟件支付贖金的手段都是采用比特幣來(lái)進(jìn)行的。比特幣因?yàn)樗�的一些特點(diǎn):匿名、變現(xiàn)快、追蹤困難，在加上比特幣名氣大，大眾比較熟知，支付起來(lái)困難不是很大而被攻擊者大量使用。可以說(shuō)比特幣很好的幫助了勒索軟件解決贖金的問(wèn)題，進(jìn)一步推動(dòng)了勒索軟件的繁榮發(fā)展。

　　3）Ransomware-as-a-server的出現(xiàn)

　　勒索軟件服務(wù)化，開(kāi)發(fā)者提供整套勒索軟件的解決方案，從勒索軟件的開(kāi)發(fā)、傳播到贖金的收取都提供完整的服務(wù)。攻擊者不需要任何知識(shí)，只要支付少量的租金及可租賃他們的服務(wù)就可以開(kāi)展勒索軟件的非法勾當(dāng)。這大大降低了勒索軟件的門(mén)檻，推動(dòng)了勒索軟件大規(guī)模爆發(fā)。

　　瑞星給用戶的建議

　　1)、定期備份系統(tǒng)與重要文件，并離線存儲(chǔ)獨(dú)立設(shè)備。

　　2)、使用專業(yè)的電子郵件與網(wǎng)絡(luò)安全工具，可分析郵件附件、網(wǎng)頁(yè)、文件是否包括惡意軟件，帶有沙箱功能。

　　3)、經(jīng)常給操作系統(tǒng)、設(shè)備及第三方軟件更新補(bǔ)丁。

　　4)、使用專業(yè)的反病毒軟件、防護(hù)系統(tǒng)，并及時(shí)更新。

　　5)、設(shè)置網(wǎng)絡(luò)安全隔離區(qū)，確保既是感染也不會(huì)輕易擴(kuò)散。

　　6)、針對(duì)BYOD設(shè)置同樣或更高級(jí)別的安全策略。

　　7)、加強(qiáng)員工(用戶)安全意識(shí)培訓(xùn)，不要輕易下載文件、郵件附件或點(diǎn)擊郵件中的不明鏈接。

　　8)、受感染后盡量不要給勒索者付贖金，不要去縱容勒索者，增加他們的收入去繼續(xù)破壞更多的人。