最近一年來，接連爆發(fā)的諸如Wannacry、Petya勒索事件影響范圍之廣，造成的經(jīng)濟損失讓不少企業(yè)對網(wǎng)絡(luò)安全的主流威脅之一。

根據(jù)一份最新的暗網(wǎng)市場分析報告指出，通過監(jiān)測全球 21 個頂級暗網(wǎng)平臺發(fā)現(xiàn)目前全球有實際超過 6300 個平臺提供勒索軟件交易，價格從 0.50 美元到 3K美元不等，隨著銷售量增長率達到驚人的 2502 % ，使得勒索軟件的總銷售金額達到了 620 萬美元，比上一年總銷售額多了 25 萬美元。

從勒索軟件背后不斷完善的產(chǎn)業(yè)鏈條來看，巨大的利潤空間使得黑客源源不斷地涌入勒索軟件市場。攻擊者數(shù)量龐大，攻擊方式層出不窮，讓反勒索工作在未來將面臨更加嚴峻的挑戰(zhàn)?？梢灶A見，這場勒索與反勒索、威脅與安全的博弈在未來勢必持久且艱難。而對于企業(yè)用戶而言，全面了解勒索軟件并采取針對性措施就變得非常重要。

利益驅(qū)動下，勒索事件較之以往更高發(fā)

勒索軟件（Ransomware）是一種流行的木馬，通過騷擾、恐嚇甚至采用綁架用戶文件等方式，使用戶數(shù)據(jù)資產(chǎn)或計算資源無法正常使用，并以此為條件向用戶勒索錢財。這類用戶數(shù)據(jù)資產(chǎn)包括文檔、郵件、數(shù)據(jù)庫、源代碼、圖片、壓縮文件等多種文件。

據(jù)相關(guān)部門對2015-2016年勒索軟件增長情況的統(tǒng)計研究發(fā)現(xiàn)，在監(jiān)測的時間范圍內(nèi)全球勒索軟件傳播總數(shù)從不足100萬增長到1500萬，增長了15倍；中國區(qū)勒索軟件數(shù)量增長超過了67倍，躍升為勒索軟件感染最嚴重的10大國家之一。由此可見勒索軟件增長態(tài)勢日益嚴峻。

勒索軟件分類

目前安全專家普遍認為，勒索軟件一般有兩種類型。第一種類型，是鎖屏類型的勒索軟件（WinLocker），這種類型的勒索軟件危害相對較小。盡管可能會導致正常的電腦功能中斷，但其與傳統(tǒng)恐嚇軟件并沒有太多不同，造成的損失也相對較小。

另一種類型，就是加密類型的勒索軟件（CryptoLocker）。這種勒索軟件是從2013年秋天才出現(xiàn)的，它并不鎖定電腦屏幕，也不會中斷計算機的啟動進程，而是對包括“ .doc ”、“ .xls ”和“ .exe ”等在內(nèi)的大多數(shù)類型的個人文件進行加密，然后攻擊者要求用戶支付通常為200美元和3000美元不等的比特幣作為贖金，以換取文件的解密密鑰。

這種加密類型的勒索軟件使用非對稱加密來鎖定用戶文件，這是一種同時包含公有密鑰和私有密鑰的加密方式。公有密鑰用于加密用戶數(shù)據(jù)，而私有密鑰用于解密。這個私有密鑰存儲在攻擊者的服務(wù)器上，無法通過網(wǎng)絡(luò)訪問，同時，攻擊者還會對受害者文件的加密密鑰設(shè)定失效期，以此來增加付款的緊迫性，這就意味著用戶如果沒有在指定的時間之內(nèi)支付酬金，幾乎沒有希望恢復自己的文件。

目前，企業(yè)對勒索軟件深惡痛絕的原因之一也是由加密類型的勒索軟件帶來的。雖然互聯(lián)網(wǎng)上也流傳有一些被勒索軟件加密后的修復軟件，但這些都是利用了勒索軟件實現(xiàn)上的漏洞或私鑰泄露才能夠完成的。如Petya恢復工具就是利用了開發(fā)者軟件實現(xiàn)上的漏洞，TeslaCrypt和CoinVault家族數(shù)據(jù)恢復工具利用了key的泄露來實現(xiàn)。

勒索軟件的傳播

通常，這些勒索軟件會選擇垃圾郵件的方式進行傳播，攻擊者往往會將勒索軟件置于郵件附件之中，這些附件看起來是正常文件實則為可執(zhí)行文件。此外，勒索軟件還有利用漏洞傳播，與其他惡意軟件捆綁傳播，通過僵尸網(wǎng)絡(luò)進行傳播，通過可移動存儲介質(zhì)傳播，文件共享網(wǎng)站傳播，網(wǎng)頁掛馬，社交網(wǎng)絡(luò)傳播等多種傳播方式。

而在2013年后勒索軟件逐漸采用的以比特幣為代表的虛擬貨幣支付方式，使得勒索事件的過程更難追溯，可以說，虛擬貨幣的出現(xiàn)加速了勒索軟件的泛濫。與此同時，勒索軟件服務(wù)化，即開發(fā)者提供整套勒索軟件的解決方案，從勒索軟件的開發(fā)、傳播到贖金的收取都提供完整的服務(wù)，大大降低了勒索軟件的門檻，也推動了勒索軟件大規(guī)模爆發(fā)。

如何更好應(yīng)對勒索軟件

針對勒索事件，支付贖金顯然不是長久有效之計。鑒于攻擊者實施攻擊的目的就是為了贖金，因此，贖金交付之后不能保證原文件的絕對恢復。同時，這種行為某種程度上也滿足了攻擊者通過勒索軟件來牟取利益的欲望。一旦有攻擊者通過攻擊得到了相應(yīng)的酬金，使得勒索軟件真正變得有利可圖，由此大量黑客源源不斷的進入攻擊者的隊伍，從而直接導致了勒索事件屢禁不止，反勒索難度越發(fā)增加。

因此，用戶應(yīng)該將關(guān)注點放在事件的防御而非事后修補，對于企業(yè)用戶來說，應(yīng)采用多層防護措施，從監(jiān)控預警、防御保護、應(yīng)急響應(yīng)、安全審計幾個步驟入手，通過安全軟件的安裝，達到對未知勒索軟件的全程監(jiān)控，對已知勒索軟件的防范，同時對已發(fā)生的勒索事件進行安全審計，達到對勒索事件的防御，才能更好實現(xiàn)有效治理。

在勒索軟件攻擊登上安全事件榜首位置時，聯(lián)軟科技便已重視起這一類勒索軟件，并著手研發(fā)相應(yīng)解決方案，目前聯(lián)軟平臺級產(chǎn)品已具備反勒索病毒的功能。

憑借聯(lián)軟安全團隊長久以來對勒索軟件的跟蹤分析，聯(lián)軟的平臺級產(chǎn)品采用人工智能和大數(shù)據(jù)分析技術(shù)對病毒行為進行解析，通過對勒索軟件行為的檢測，智能判斷出進行文件加密劫持的可疑程序，并對其進行標識、識別、阻斷操作，保護終端文件不被劫持。如此便充分地解決了傳統(tǒng)病毒特征庫識別技術(shù)的瓶頸，快速而精準的識別勒索病毒。

聯(lián)軟平臺級產(chǎn)品三大優(yōu)勢：

• 基于病毒行為分析和全新人工智能識別技術(shù)，解決識別特征庫的更新瓶頸，無需像傳統(tǒng)防病毒軟件一樣需要不斷的進行升級，做到不怕病毒變種和不怕各種新型病毒；
• 可以防止文檔被加密，即使用戶的終端感染并運行了勒索軟件，也能通過阻斷措施防止其惡意加密；
• 該反勒索病毒系統(tǒng)可以快速集成到聯(lián)軟統(tǒng)一安全管理平臺LeagView，用戶只需要在后臺一鍵開啟和關(guān)閉即可杜絕病毒的騷擾。

勒索軟件的關(guān)鍵在預防，除部署聯(lián)軟的系統(tǒng)之外，用戶還應(yīng)及時對重要文件進行備份，同時經(jīng)常將安全軟件進行更新。

作為從業(yè)十幾年的安全廠商，聯(lián)軟始終以用戶為中心，在今年爆發(fā)的Wannacry、Petya事件中第一時間為用戶提供有效的解決方案，今后，聯(lián)軟也會繼續(xù)保持及時發(fā)現(xiàn)、快速響應(yīng)的服務(wù)態(tài)度，為用戶提供真正可靠的網(wǎng)絡(luò)與信息安全解決方案。

更多行業(yè)資訊請關(guān)注聯(lián)軟科技官方微信