石 磊，孫 亮

（南通市公安局，江蘇 南通 226000）

勒索軟件研究

石 磊，孫 亮

（南通市公安局，江蘇 南通 226000）

勒索軟件出現(xiàn)于20世紀80年代，許多用戶對于該軟件所產(chǎn)生的威脅及攻擊方式了解并不多。因此，在應(yīng)對勒索軟件時，不能構(gòu)建起有效的防護措施。隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)犯罪層出不窮，勒索軟件愈演愈烈。筆者就應(yīng)對勒索軟件總結(jié)了經(jīng)驗，如斷網(wǎng)、斷開共享目錄、查找來源、發(fā)出警告、更新安全軟件等。

勒索軟件；應(yīng)急；網(wǎng)絡(luò)安全

隨著網(wǎng)絡(luò)技術(shù)快速發(fā)展，網(wǎng)絡(luò)犯罪呈現(xiàn)出手段多樣化、技術(shù)化、隱蔽化的特點。勒索軟件，又稱贖金木馬，近來有爆發(fā)之勢。勒索軟件通常將用戶文檔、源代碼通過多種方式加密，造成不可使用，干擾用戶正常使用。然后通過彈出窗口等形式向用戶發(fā)出勒索通知，要求用戶向指定賬戶匯款來獲得解密文件密碼。這是對網(wǎng)絡(luò)安全的重大挑戰(zhàn)，也是網(wǎng)絡(luò)安全亟待解決的課題。

1 勒索軟件攻擊對象分析

根據(jù)相關(guān)安全軟件的調(diào)查報告顯示，勒索軟件受影響最為嚴重的國家為美國，占到了整個影響范圍的29%。此外，日本、澳大利亞、英國、德國等國家受影響程度也非常嚴重。隨著互聯(lián)網(wǎng)的普及，勒索軟件已經(jīng)開始延伸到了個人消費者，并對其開展攻擊。對于企業(yè)而言，勒索軟件的攻擊次數(shù)呈現(xiàn)出緩慢增長的趨勢。形成這種趨勢的主要原因是，有的黑客在進行攻擊時，選擇性地對個人用戶進行攻擊。因為個人用戶安全意識相對較弱，沒有構(gòu)建起應(yīng)有的防護意識。黑客在對這個群體進行攻擊時，利用一些較為簡單的勒索軟件就能夠完成攻擊目標(biāo)。黑客在實現(xiàn)對個人用戶攻擊后，通常都會索要金額較小的贖金，許多個人用戶更希望通過支付少量贖金來盡快取回密鑰。所以許多黑客更傾向于對個人用戶進行攻擊。對于企業(yè)而言，由于企業(yè)一般都會采取相應(yīng)的防護措施，黑客要完成對企業(yè)的攻擊則需要發(fā)動規(guī)模較大的攻擊形動。而且為了能夠突破企業(yè)的防護措施，還需要采用相對專業(yè)的攻擊工具，攻擊時間、精力以及成本都較高，但黑客索要贖金也相對較高。

2 勒索軟件的傳播形式分析

對于勒索軟件而言，其軟件的傳播形式非常多元化。如果只是采用單一性的防護措施無法形成應(yīng)有的防護。根據(jù)亞信安全發(fā)布的勒索軟件風(fēng)險研究報告來分析，勒索軟件主要是通過電子郵件、網(wǎng)站鏈接以及文件傳播來進行傳播。想要達到最佳的防護效果，則需要綜合性地構(gòu)建起多層防護措施。這樣才能夠針對勒索軟件進行有效檢測，并可以實現(xiàn)較高的檢測機率。在勒索軟件傳的主要途徑中，網(wǎng)站鏈接（URL）傳播占比最高，但電子郵件的傳播形式在近期內(nèi)呈現(xiàn)出增長的趨勢，而且其增長比例還非常大。根據(jù)亞信安全監(jiān)測中心調(diào)查報告顯示，勒索軟件主要是通過URL以及電子郵件這兩個形式來進行傳播。黑客選用這兩種形式作為勒索軟件最佳的傳播途徑，其主要原因是這兩種形式的傳播速度快、傳播范圍大。而且這兩種形式的傳播途徑，可以減少黑客攻擊的成本，能夠?qū)⒗账鬈浖c一些社交軟件形成捆綁，吸引更多人對其產(chǎn)生興趣并點擊。當(dāng)受害人瀏覽帶有病毒的網(wǎng)頁后，黑客可以通過漏洞攻擊軟件對其操作系統(tǒng)以及應(yīng)用程序進行漏洞掃描，如果受感染用戶計算機沒有定期進行漏洞更新，非常容易感染勒索軟件。

3 安全解決方案和建議

3.1 定期進行數(shù)據(jù)備份

在日常使用電腦過程中，要養(yǎng)成數(shù)據(jù)備份的使用習(xí)慣。做好相應(yīng)的備份工作，可以對不同類型勒索軟件產(chǎn)生一定效果的免疫。

3.2 建立針對性的安全解決方案

在建立具有針對性安全解決方案并實施時，切記不可關(guān)閉高級安全功能。因為，高級安全功能可以通過對程序行為進行監(jiān)控，并及時地檢測出新型勒索軟件，為電腦使用者提供更好的防護措施。

3.3 定期電腦系統(tǒng)及軟件更新

許多常用的電腦系統(tǒng)及應(yīng)用程序，都具有自動檢測并更新的功能。在使用過程中不要輕易關(guān)閉此功能。尤其是與網(wǎng)絡(luò)相關(guān)的應(yīng)用程序以及Windows系統(tǒng)，應(yīng)該定期進行更新，以保持所使用電腦能夠及時地進行漏洞修復(fù)。

3.4 加大對網(wǎng)絡(luò)文件的監(jiān)控力度

隨著互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展，用戶經(jīng)常會在網(wǎng)絡(luò)上下載文件，或者接收電子郵件中的文件。對于一些不受信任的文件，應(yīng)該加強對其監(jiān)控力度。比如：如果你要下載的文件為word文件，但是下載后卻多出一個拓展名.exe。這種類型的文件正是一些不法分子所制作的惡意軟件，應(yīng)該將其及時從電腦中刪除。此外，要選擇一款殺毒能力強的軟件來提供實時監(jiān)控，定期進行全面掃描進行病毒掃描。

3.5 面對勒索要求要懂得拒絕

由于某種原因所使用的電腦或者文件已經(jīng)被勒索軟件進行加密，并對你提出了支付贖金要求時，一定要懂得拒絕。因為，當(dāng)你支付贖金之后，會給這些不法分子增添動力，讓其更渴望能夠通過此種方式來獲利。當(dāng)遇到這種問題時，可以嘗試向一些安全解決方案提供商求救。讓其為你提供一些具有針對性的解密工具來進行解密。同時需要向警方報案，讓警方根據(jù)線索開展調(diào)查，將犯罪分子繩之以法。

4 勒索軟件具體的應(yīng)對方法

傳統(tǒng)的網(wǎng)絡(luò)安全思路難以抵御勒索軟件。接受網(wǎng)絡(luò)安全培訓(xùn)，更新防火墻，在公司中安裝了行為分析的惡意分析軟件，傳統(tǒng)的網(wǎng)絡(luò)安全思路不能隔絕勒索軟件。也許是點擊了惡意軟件，也許是訪問了惡意廣告。“所有文件都打不開了。我收到條提醒 ，要我支付比特幣?！边@是受害者真實的求助。

在公司或單位建立一套強力的、多層次的安全策略是很有必要的，事實上沒有系統(tǒng)會100%感染。在處理勒索軟件的時候，總有機會可以拯救系統(tǒng)。從處理勒索軟件的經(jīng)驗中總結(jié)出5點，希望可以幫助大家：

4.1 斷網(wǎng)

一旦懷疑電腦被種植了勒索軟件，第一件要做的事情就是斷網(wǎng)。拔出網(wǎng)線，關(guān)閉WiFi，關(guān)掉電腦。一些勒索軟件可以通過網(wǎng)絡(luò)傳播，所以斷網(wǎng)速度越快，就能越快地恢復(fù)過來。如果一旦發(fā)現(xiàn)某一臺終端感染勒索軟件，必須要采取立即斷網(wǎng)的措施，這樣才能夠確保減少大范圍感染的概率。

4.2 斷開共享目錄／盤

勒索軟件發(fā)展出許多變種，比如cryptoFortress，其中有的會加密網(wǎng)絡(luò)和共享文件。如果認為已經(jīng)感染了勒索軟件，在清除了威脅之前暫時關(guān)閉共享網(wǎng)絡(luò)是個不錯的方法。

4.3 查找來源

詢問聯(lián)系人或用戶，看他們是否收到釣魚郵件。一旦關(guān)閉電腦并且斷開共享目錄。需要和用戶進行溝通，了解如何感染勒索軟件。比如是否收到了不尋常的郵件，是否打開了宏命令等。掌握了勒索軟件如何傳播有助于抵御下次攻擊，也有助于提升郵箱的安全。

4.4 對聯(lián)系人／用戶發(fā)布警告

找出了攻擊威脅就快速發(fā)出安全警告通知用戶。當(dāng)然，通過一次網(wǎng)絡(luò)攻擊事件來提高用戶的安全意識也是不現(xiàn)實的。

4.5 更新安全軟件

現(xiàn)在隔離了受感染的電腦，提醒用戶檢查安裝、升級網(wǎng)絡(luò)安全軟件。勒索軟件會快速更新，所以必須定期更新殺毒軟件。在使用電子郵件下載文件時，對于一些可疑文件，必須要及時刪除。尤其是帶有網(wǎng)站鏈接以及附件的可疑郵件，切記不可出于好奇心點擊。對于企業(yè)用戶而言，應(yīng)該安裝能夠?qū)φ麄€網(wǎng)絡(luò)流量以及端口進行高級偵測的網(wǎng)絡(luò)安全防護系統(tǒng)，才能有效地阻止勒索軟件在企業(yè)網(wǎng)絡(luò)中的滲透與蔓延。

4.5 從備份中恢復(fù)

隔離了感染的電腦后，其用戶安全了。不交贖金而拯救電腦的最好辦法就是恢復(fù)備份。在格式化硬盤前，最好確認備份文件是最新的。用戶肯定不愿意在格式化硬盤后發(fā)現(xiàn)備份是兩個月之前的。

5 結(jié)語

斷網(wǎng)、斷開共享目錄、查找來源、發(fā)出警告、更新安全軟件。筆者就應(yīng)對勒索軟件總結(jié)了經(jīng)驗，歸納了應(yīng)對方法。拋磚引玉，望讀者多提意見。

[1]Trend micro.Ransomware[EB/OL].（2016-10-25）[2016-09-23].http://www.trendmicro.com/vinfo/us/security/definition/ransomware.

[2]郭磊，胡曉勤，江天宇，等.基于擊鍵特征識別的網(wǎng)絡(luò)詐騙嫌疑人追蹤系統(tǒng)[J].信息網(wǎng)絡(luò)安全，2013（12）：62-66.

Research on ransomware

Shi Lei, Sun Liang
（Nantong Public Security Bureau, Nantong 226000, China）

Ransomware appeared in the 20th century late 80s, and many users don’t know much about its threats and attacks methods. Therefore, effective protective measures would not be taken in response to ransomware. With the development of network technology, network crime intensified and the software emerges in an endless stream. The author summarized the experience of ransomware, such as breaking network, disconnecting the shared directory, finding sources, issuing a warning and updating security software, etc.

ransomware; emergency; network security

石磊（1984— ），男，江蘇南通，碩士，助理工程師；研究方向：移動安全。