◆趙小娟

（洛陽廣播電視大學(xué) 河南 471000）

勒索軟件的防護(hù)及應(yīng)對(duì)策略

◆趙小娟

（洛陽廣播電視大學(xué) 河南 471000）

勒索軟件自1898年出現(xiàn)以來，逐漸發(fā)展和成熟，近幾年來有愈演愈烈的趨勢(shì)，已成為個(gè)人和企業(yè)用戶必須面對(duì)的最危險(xiǎn)的網(wǎng)絡(luò)威脅之一。本文從2016年勒索軟件攻擊事件開始，詳細(xì)介紹了勒索軟件的運(yùn)行機(jī)制和傳播途徑，最后結(jié)合勒索軟件的案例給出了勒索軟件的防護(hù)策略，和用戶受到勒索軟件感染后應(yīng)采取的措施。

勒索軟件；Ransomware；惡意程序；網(wǎng)絡(luò)攻擊

0 背景

在眾多的網(wǎng)絡(luò)惡意軟件中，勒索軟件（Ransomware）是一種以勒索錢財(cái)為主要目的的惡意木馬程序，秘密安裝在受害者的設(shè)備(電腦、智能手機(jī)、可穿戴設(shè)備等)上，通過鎖定系統(tǒng)或加密文件和硬盤設(shè)備等方式，干擾用戶對(duì)設(shè)備的正常使用，并以此為條件對(duì)用戶進(jìn)行勒索活動(dòng)。

勒索軟件不是新鮮事物，1989年第一款勒索軟件——"PC Cyborg”惡意程序出現(xiàn)，它通過加密用戶硬盤上的文件名，迫使用戶支付189美元的贖金才能解密。之后勒索軟件開始逐漸發(fā)展和演化，它以這樣或那樣的形式出現(xiàn)已經(jīng)有20多年的歷史。勒索軟件攻擊目標(biāo)從個(gè)人擴(kuò)到了企業(yè)、政府、醫(yī)療機(jī)構(gòu)及銀行系統(tǒng)，攻擊的范圍也從電腦擴(kuò)大到了移動(dòng)智能手機(jī)、物聯(lián)網(wǎng)（IoT）設(shè)備如閉路電視、兒童智能手表等設(shè)備，近幾年來有愈演愈烈的趨勢(shì)。2016年2月，一家好萊塢醫(yī)院網(wǎng)絡(luò)系統(tǒng)受到勒索軟件的攻擊，被迫支付了$17,000比特幣，才得以重新上線。2016年11月25日至26日，勒索軟件成功攻擊舊金山的Muni地鐵，迫使它給乘客免費(fèi)乘車。2016年12月1日，一種被稱為 Gooligan Android的惡意勒索軟件出現(xiàn)，導(dǎo)致每天有13,000 臺(tái)安卓設(shè)備遭受攻擊，是第一款惡意獲取100多萬臺(tái)安卓設(shè)備的ROOT的權(quán)限的勒索軟件。勒索軟件在國(guó)內(nèi)也有愈演愈烈的趨勢(shì)。亞信安全在2016年10月份發(fā)布的《中國(guó)地區(qū)2016年第3季度安全威脅報(bào)告》中指出，2016年是個(gè)名副其實(shí)的勒索之年，而且攻擊手段變化多樣、不斷翻新[1]。中國(guó)成為勒索軟件感染最嚴(yán)重國(guó)家之一，2016增長(zhǎng)數(shù)量超過67倍[1]。

勒索軟件已迅速成為企業(yè)和個(gè)人用戶必須面對(duì)的最危險(xiǎn)的網(wǎng)絡(luò)威脅之一，在全球造成的損失已達(dá)數(shù)百億美元。目前勒索軟件的成熟度和威脅性已達(dá)到了新的高度，大部分的勒索軟件采取的先進(jìn)的攻擊技術(shù)，與網(wǎng)絡(luò)間諜技術(shù)的攻擊方式相似，一次可以攻擊到數(shù)萬臺(tái)電腦，被加密的文件經(jīng)常無法進(jìn)行解密。企業(yè)或終端用戶必須充分意識(shí)到勒索軟件的危險(xiǎn)性，采取合理的多層次的防御措施，減少受勒索軟件攻擊的機(jī)會(huì)。本文從勒索軟件的攻擊流程、加密機(jī)制入手，重點(diǎn)提出了勒索軟件的防護(hù)策略，以及遭遇勒索軟件攻擊后應(yīng)該如何來應(yīng)對(duì)。

1 勒索軟件相關(guān)知識(shí)

1.1 什么是勒索軟件

勒索軟件(Ransomware)[2]是一種惡意軟件，通過控制受害人的文件、電腦系統(tǒng)或者移動(dòng)設(shè)備進(jìn)行勒索，直到支付贖金才能正常使用。被感染的操作系統(tǒng)包括Windows、Mac OS X和Linux。一些勒索軟件的變種能夠穿過網(wǎng)絡(luò)并加密所有存儲(chǔ)在共享或網(wǎng)絡(luò)驅(qū)動(dòng)上的文件。目前最流行的一種勒索軟件是加密常用的文件，比如用戶的文檔、圖片、音頻或者視頻文件。通過一種強(qiáng)加密技術(shù)（2048位或者更多），使得這些文件不能夠被恢復(fù)，除非獲得一種解密秘鑰。下面的圖標(biāo)列出了最近幾年研究者們辨別出來的一些勒索軟件的種類。

圖1 幾種主要的勒索軟件種類[2]

一旦被感染的電腦上的文件被加密后，受害人的電腦上就會(huì)彈出勒索信息，詳細(xì)說明解密這些文件的步驟。下面的屏幕截圖是一些勒索信息樣本：

圖2 勒索軟件彈出的提示信息[3]

勒索軟件被認(rèn)為是向用戶勒索錢財(cái)最有效的手段?？刂朴脩舻闹匾獢?shù)據(jù)后，網(wǎng)絡(luò)犯罪者向受害者制造害怕或恐慌場(chǎng)景，進(jìn)而迫使受害者不得不支付贖金來獲取解密秘鑰。

1.2 勒索軟件如何進(jìn)行傳播

勒索軟件的傳播手段有很多種類。

一種常用的途徑是通過包含惡意的附件或者鏈接的網(wǎng)絡(luò)釣魚郵件。用戶不加懷疑地打開這些附件或者鏈接后就會(huì)被勒索軟件感染，這些郵件很少是勒索軟件，它們寧愿采取不明顯的文檔，這些文檔一旦被打開，勒索軟件就會(huì)從外部服務(wù)器下載并執(zhí)行。

第二種途徑是受害人缺少相關(guān)知識(shí)，會(huì)不加懷疑地點(diǎn)擊惡意鏈接，并被間接指向一種惡意站點(diǎn)，該站點(diǎn)包含了自動(dòng)下載和安裝勒索軟件的腳本。

第三種途徑，勒索軟件的感染矢量可能來自于惡意廣告，利用用戶的瀏覽器到服務(wù)器間的漏洞，安裝勒索軟件（通常被認(rèn)為是路過式下載）。這些廣告可能來自于惡意網(wǎng)站，如果廣告服務(wù)被盜用的話，這些廣告也可能來自于合法網(wǎng)站。

第四種途徑是攻擊者破解一些正版軟件，并加入虛假鏈接，如將 Downloader、搶紅包神器捆綁了一些不必要的隱藏鏈接，用戶在安裝軟件時(shí)可能會(huì)將鏈接激活從而導(dǎo)致感染。

除了以上幾種常見的傳播手段之外，勒索軟件還演化出一些新型的傳播手段：

（1）通過遠(yuǎn)程桌面連接進(jìn)入并控制受害人的電腦：一種名為“袋鼠”（Kangaroo）的軟件就是黑客通過遠(yuǎn)程桌面連接，惡意控制受害人的電腦后，運(yùn)行Kangaroo程序，進(jìn)而對(duì)用戶硬盤上的文件進(jìn)行加密；

（2）網(wǎng)頁聊天方式：JIGSAW 勒索軟件就是通過公開的聊天平臺(tái)——onWebChat與受害者進(jìn)行聊天，并將惡意腳本嵌入到特定網(wǎng)站，誘導(dǎo)另一端的用戶打開鏈接，感染系統(tǒng)文件并向罪犯支付贖金的；

（3）將包含惡意程序的郵件偽裝成求職簡(jiǎn)歷的形式{4}，發(fā)送至HR的郵箱：網(wǎng)絡(luò)罪犯先將一張未經(jīng)許可的庫存圖片和一個(gè)偽裝成簡(jiǎn)歷的自解壓的可行性文件或者是 PDF文件（該文件釋放一個(gè)惡意的32位PE文件）壓縮到一個(gè)文件中， 然后將該壓縮文件放入云存儲(chǔ)軟件dropbox上面，在寫求職簡(jiǎn)歷時(shí)，將郵件的鏈接指向這個(gè)壓縮文件，從而感染HR的電腦系統(tǒng)；

（4）將惡意軟件嵌入圖像和圖形文件的新型攻擊向量ImageGate[5]：攻擊者把惡意代碼植入圖片文件中，然后將圖片上傳至Facebook和LinkedIn等社交應(yīng)用軟件上，再利用社交媒體的配置漏洞惡意迫使受害人下載圖片文件[5]，一旦終端用戶點(diǎn)擊下載完成的文件，該用戶的私人設(shè)備上的所有文件會(huì)自動(dòng)加密，只有支付贖金后才能繼續(xù)使用。

1.3 勒索軟件如何進(jìn)行攻擊

勒索軟件是一種發(fā)展完善的價(jià)值不菲的犯罪產(chǎn)業(yè)，目前有許多種不同種類的勒索軟件，但它們中的大部分攻擊流程非常相似[2]；

勒索軟件將自身（通常是.exe可執(zhí)行文件）復(fù)制到用戶電腦上；

勒索軟件完成在電腦上的安裝——通常是在用戶的幫助下，比如打開附件或者雙擊一種病毒鏈接；

勒索軟件開始快速加密受害人的文件（這種加密可以是立即進(jìn)行的，或者推遲）；

當(dāng)文件加密進(jìn)程完成后，勒索軟件彈出一種帶計(jì)時(shí)器的勒索信息，并說明如何付款。一般情況下受害人會(huì)被要求下載一種洋蔥（Tor）瀏覽器，通過在線比特幣支付系統(tǒng)匿名支付。

勒索軟件也會(huì)嘗試傳播到其他系統(tǒng)或者同一網(wǎng)絡(luò)中感染設(shè)備，包括本地備份服務(wù)器。

下圖以CTB-Locker勒索軟件為例展示攻擊流程：

圖3 CTB-Locker的攻擊流程[4]

1.4 感染勒索軟件后的癥狀

感染勒索軟件后的一個(gè)重要表現(xiàn)是受害人不能進(jìn)入電腦系統(tǒng)了。屏幕上的屏保會(huì)被持久的勒索信息取代，來通知受害者按照說明支付勒索金。

常見的勒索信息包括{2}：

一段時(shí)間后被加密的數(shù)據(jù)就無法再訪問；

威脅受害者要把截獲的數(shù)據(jù)曝光；

宣傳要通過法律途徑威脅起訴受害者使其恐懼；

勒索金隨著時(shí)間的推移而增長(zhǎng)；

覆寫主引導(dǎo)盤內(nèi)容和加密盤的物理扇區(qū)導(dǎo)致系統(tǒng)不能啟動(dòng)；威脅受害者將刪除所有數(shù)據(jù)，使所有企業(yè)電腦不可用。

一些勒索軟件會(huì)向受害者設(shè)置付款的最后期限。如果到期沒有支付，勒索金價(jià)格就會(huì)上漲，或者解密秘鑰就會(huì)被刪除，受害者就會(huì)永久失去重要文件或者永久不能進(jìn)入電腦系統(tǒng)。

2 勒索軟件的防護(hù)及解決方案

時(shí)至今日，勒索軟件已經(jīng)成為網(wǎng)絡(luò)用戶所面臨的重要威脅之一。勒索軟件在本質(zhì)上是具有任意性和破壞性的；它的攻擊目標(biāo)包括個(gè)人和企業(yè)用戶，具有災(zāi)難性的后果。如果數(shù)據(jù)沒有做好備份，個(gè)人的敏感的或者隱秘的信息將會(huì)丟失。如果員工的特定文件被加密將無法工作，進(jìn)而會(huì)破壞企業(yè)正常的商業(yè)運(yùn)營(yíng)。此外，恢復(fù)個(gè)人或者企業(yè)的電腦系統(tǒng)將要花費(fèi)不少的財(cái)力。面對(duì)勒索軟件帶來的巨大危險(xiǎn)和對(duì)日常生活造成的困擾，不管是個(gè)人還是企業(yè)，必須提高自身的安全意識(shí)。通過前面對(duì)勒索軟件的傳播途徑和攻擊流程的分析和研究，結(jié)合大量的勒索軟件攻擊案例的分析，筆者總結(jié)出一些針對(duì)勒索軟件有效的安全防護(hù)及解決方案。

2.1 切斷勒索軟件的傳播途徑

勒索軟件最好的解決方案是阻止它的發(fā)生。采取以下預(yù)防措施，可以以更好地保護(hù)電腦系統(tǒng)免受感染。

（1）正確設(shè)置反垃圾信息策略

大多數(shù)勒索軟件的傳播渠道是通過包含感染性附件的郵件。應(yīng)付此類勒索木馬，可以設(shè)置網(wǎng)頁郵件服務(wù)器，阻止包含擴(kuò)展名為.exe、.vbs、或者.scr附件的郵件，直接攔截帶有勒索軟件附件的垃圾郵件。

（2）不要打開可疑的附件

釣魚郵件可能會(huì)偽裝成來自快遞公司、商業(yè)機(jī)構(gòu)、執(zhí)法機(jī)構(gòu)或者銀行的公告等，所以不要打開陌生人發(fā)的鏈接、也不要打開熟人發(fā)的看上去可疑的信息。一旦感染上這種病毒，網(wǎng)絡(luò)罪犯會(huì)利用受害人的賬戶向更多的人提供危險(xiǎn)鏈接。

（3）要經(jīng)常性地對(duì)重要文件做備份

多渠道地給文件做備份，這樣當(dāng)任何一個(gè)單一點(diǎn)失敗時(shí)不會(huì)導(dǎo)致數(shù)據(jù)不可逆的丟失?？梢栽诰W(wǎng)絡(luò)存儲(chǔ)應(yīng)用服務(wù)中或者在其他離線的物理媒介，如移動(dòng)硬盤中做備份。此外要提高數(shù)據(jù)存取的權(quán)限，只提供讀/寫權(quán)限，這樣文件就不會(huì)被惡意修改或刪除。

（4）禁用vssaexe.服務(wù)

Windows自帶的系統(tǒng)卷影服務(wù)是一個(gè)簡(jiǎn)便工具，用來恢復(fù)以前版本的二進(jìn)制文件。但是在快速對(duì)文件進(jìn)行加密的惡意軟件框架中，vssadmin.exe就變成了問題而不是一個(gè)好用的服務(wù)了。如果這個(gè)服務(wù)在電腦上被禁用，勒索軟件就不能利用它消除影卷快照。這就意味著你可以事后用VSS去恢復(fù)被加密的文件。

（5）顯示文件擴(kuò)展名

去掉Windows自帶的“隱藏已知文件類型的擴(kuò)展名”選項(xiàng)，系統(tǒng)會(huì)提示什么類型的文件正在打開，這樣就可以避開這些有潛在危害的文件。勒索軟件制造者也會(huì)利用令人迷惑的技術(shù)使得一種文件可以被指定會(huì)幾個(gè)擴(kuò)展名。比如，一種可執(zhí)行的文件看上去像一個(gè)圖片文件，帶有擴(kuò)展名.gif。文件也會(huì)看上去想有兩個(gè)擴(kuò)展名，比如cute-dog.avi.exe、table.xlsx.scr，對(duì)于這種類型的文件要格外小心。一個(gè)單獨(dú)的攻擊向量可能是通過這種方式將惡意的宏嵌入到word文件中的。

（6）經(jīng)常給軟件或系統(tǒng)打補(bǔ)丁

一些勒索軟件是基于軟件的漏洞來感染系統(tǒng)的。經(jīng)常給操作系統(tǒng)、防病毒軟件、瀏覽器、多媒體程序播放器、Java和其他一些軟件打補(bǔ)丁，用最新的插件更新操作系統(tǒng)和所有的軟件來阻止對(duì)漏洞的利用。

安裝并更新防病毒或者防勒索軟件。一周對(duì)電腦系統(tǒng)至少做一次全面掃描，檢測(cè)接受到的文件或者通過移動(dòng)存儲(chǔ)設(shè)備復(fù)制的文件。

（7）在瀏覽器中安裝阻止廣告或腳本植入的工具

勒索軟件被安裝是由于下載驅(qū)動(dòng)導(dǎo)致的，當(dāng)訪問一種帶有惡意腳本或廣告的頁面時(shí)，受害人的電腦將會(huì)受到感染。通過廣告和腳本阻止工具可以有選擇地阻止網(wǎng)頁瀏覽器中的廣告和腳本，只有用戶同意才可以運(yùn)行。

（8）加密敏感數(shù)據(jù)

一些勒索軟件的變種只加密用戶常用的文件類型，比如圖片和文檔。對(duì)這些常用的數(shù)據(jù)進(jìn)行加密，可以阻止勒索軟件的加密。對(duì)敏感或者關(guān)鍵數(shù)據(jù)進(jìn)行加密可以防止丟失或泄露。

（9）有需要再啟用微軟辦公軟件宏

微軟辦公軟件中宏的濫用會(huì)導(dǎo)致電腦感染勒索軟件。以惡意的辦公文檔的形式誘惑受害人啟用宏來訪問它的內(nèi)容。建議用戶謹(jǐn)慎對(duì)待宏，只對(duì)信任的文檔啟用宏。

（10）應(yīng)用控制

考慮到安裝應(yīng)用控制軟件來提供應(yīng)用或目錄白名單。白名單會(huì)只允許已認(rèn)證的程序運(yùn)行而限制其他程序，是一種保護(hù)電腦系統(tǒng)的最安全實(shí)踐措施。

2.2 切斷勒索軟件的攻擊過程

一旦發(fā)現(xiàn)有可疑的進(jìn)程被安裝到計(jì)算機(jī)上，可以采用下列幾個(gè)步驟來切斷勒索軟件對(duì)系統(tǒng)的攻擊：

第一步：立即斷開網(wǎng)絡(luò)連接。在早期的網(wǎng)絡(luò)攻擊階段，這是一種非常有效的方法，因?yàn)閿嗑W(wǎng)以后，勒索軟件就不能用命令和控制服務(wù)器去建立連接，從而不會(huì)完成加密程序；

第二步：停止網(wǎng)盤同步和OneDrive同步服務(wù)。停止該服務(wù)后，計(jì)算機(jī)上的文件就不會(huì)被覆寫了；禁用OneDrive同步云服務(wù)將阻止受感染的設(shè)備破壞存在云端的數(shù)據(jù)；

第三步：通過反病毒或反勒索軟件應(yīng)用對(duì)電腦進(jìn)行掃描和殺毒。一些勒索軟件會(huì)產(chǎn)生一些持久性對(duì)象感染電腦，如果移除不掉隨后可能會(huì)重復(fù)加密數(shù)據(jù)。運(yùn)行一個(gè)完整的掃描殺毒和移除ransomware(惡意)所有可能收到感染的設(shè)備。如果系統(tǒng)上沒有安裝殺毒軟件或者殺毒軟件不能檢測(cè)，可以使用微軟視窗防護(hù)或安全的必需品，還可以根據(jù)故障診斷指導(dǎo)運(yùn)行 Windows后衛(wèi)脫機(jī)工具。

2.3 恢復(fù)被感染的文件

對(duì)于已經(jīng)或者正遭受勒索軟件感染的用戶，只有快速做出正確的反應(yīng)才能避免損失，用正確的流程和技術(shù)來控制正在進(jìn)行的攻擊，才能最大限度地減少損失和附帶損害。

直接支付勒索金這種方法風(fēng)險(xiǎn)非常大，可能會(huì)出現(xiàn)三種情況：勒索方拿到錢后不一定能夠恢復(fù)被加密的文件；勒索方變本加厲的勒索；勒索的費(fèi)用太高，得不償失。

筆者推薦使用下面的步驟來恢復(fù)系統(tǒng)：

第一步：根據(jù)勒索界面上的信息判斷勒索軟件的種類。

找出好勒索界面上的關(guān)鍵信息：比特幣支付地址和被加密的文件名稱列表，根據(jù)勒索軟件特征簡(jiǎn)單判斷是何種勒索軟件?？梢詤⒖枷旅娴谋砀裾页鰧?duì)應(yīng)的勒索軟件：

如果用戶看不懂勒索信息，可以到勒索軟件種類網(wǎng)站上：https://id-ransomware.malwarehunterteam.com/。

通過上傳所收到的勒索軟件的勒索提示信息或者簡(jiǎn)單的加密文件來辨別電腦所感染的勒索軟件的類別。如果存在解密工具，就可以利用該工具進(jìn)行解密恢復(fù)文件。

表1 勒索軟件信息列表[4]

如果不存在解密工具，轉(zhuǎn)到第二步；

第二步：查找被加密文件的任何可能的備份來確定數(shù)據(jù)丟失的程度。數(shù)據(jù)恢復(fù)或商業(yè)業(yè)務(wù)持續(xù)性計(jì)劃有助于促進(jìn)此工作。

第三步：從系統(tǒng)備份中恢復(fù)數(shù)據(jù)。如果之前對(duì)系統(tǒng)或硬盤做過備份，可以直接用備份還原工具進(jìn)行恢復(fù)；建議做一次干凈的安裝確保勒索軟件被清除干凈。

2.4 求助于專業(yè)組織

受到勒索軟件感染后，如果清除不掉病毒軟件，并且文件或系統(tǒng)不可恢復(fù)，用戶可以到拒絕勒索軟件網(wǎng)站（www.nomoreran som.org）上尋求幫助?！癗o More Ransom”（拒絕勒索軟件www.nomoreransom.org）是一個(gè)全新的在線門戶網(wǎng)站，目的是為公眾提供有關(guān)勒索軟件的信息，幫助受害者在無需向網(wǎng)絡(luò)罪犯支付贖金的前提下，恢復(fù)自己被加密的數(shù)據(jù)。

3 結(jié)束語

在豐厚勒索金的驅(qū)動(dòng)下，網(wǎng)絡(luò)罪犯正不斷尋找新的技術(shù)[5]，推出新的勒索軟件變種版本。勒索軟件也正在向社交網(wǎng)絡(luò)、移動(dòng)設(shè)備、智能家居、智能汽車、物聯(lián)網(wǎng)等領(lǐng)域滲透。勒索軟件是每個(gè)互聯(lián)網(wǎng)用戶都要面臨的問題，大到企業(yè)或云端的數(shù)據(jù)中心，小到消費(fèi)者使用的智能設(shè)備。除了使用勒索軟件解密工具之外，企業(yè)和用戶必須提升安全意識(shí)，從源頭上阻止勒索軟件的入侵。要養(yǎng)成好的用網(wǎng)習(xí)慣，經(jīng)常備份重要數(shù)據(jù)，及時(shí)更新電腦上的所有軟件及補(bǔ)丁，刪除可疑的電子郵件或圖片，采取保護(hù)措施預(yù)防勒索軟件的攻擊。

[1]亞信安全智能防護(hù)網(wǎng)(SPN)以及亞信安全 TMES 監(jiān)控中心(MOC). 中國(guó)地區(qū)2016年第3季度安全威脅報(bào)告.

[2]Singapore Computer Emergency Response Team (SingCERT).Ransomware.https://www.csa.gov.sg/singcert/news/a dvisories-alerts/ransomware.

[3]Microsoft Malware Protection Center. Ransomeware. https://www.microsoft.com/en-us/security/portal/mmpc/shared/ra nsomware.aspx.

[4]安天安全研究與應(yīng)急處理中心(Antiy CERT). 揭開勒索軟件的真面目 http://www.antiy.com/response/ ransomw are. html2015.

[5]鄭輝.勒索軟件2016強(qiáng)勢(shì)來襲.信息安全，2016.