◆趙小娟

（洛陽廣播電視大學 河南 471000）

勒索軟件的防護及應(yīng)對策略

◆趙小娟

（洛陽廣播電視大學 河南 471000）

勒索軟件自1898年出現(xiàn)以來，逐漸發(fā)展和成熟，近幾年來有愈演愈烈的趨勢，已成為個人和企業(yè)用戶必須面對的最危險的網(wǎng)絡(luò)威脅之一。本文從2016年勒索軟件攻擊事件開始，詳細介紹了勒索軟件的運行機制和傳播途徑，最后結(jié)合勒索軟件的案例給出了勒索軟件的防護策略，和用戶受到勒索軟件感染后應(yīng)采取的措施。

勒索軟件；Ransomware；惡意程序；網(wǎng)絡(luò)攻擊

0 背景

在眾多的網(wǎng)絡(luò)惡意軟件中，勒索軟件（Ransomware）是一種以勒索錢財為主要目的的惡意木馬程序，秘密安裝在受害者的設(shè)備(電腦、智能手機、可穿戴設(shè)備等)上，通過鎖定系統(tǒng)或加密文件和硬盤設(shè)備等方式，干擾用戶對設(shè)備的正常使用，并以此為條件對用戶進行勒索活動。

勒索軟件不是新鮮事物，1989年第一款勒索軟件——"PC Cyborg”惡意程序出現(xiàn)，它通過加密用戶硬盤上的文件名，迫使用戶支付189美元的贖金才能解密。之后勒索軟件開始逐漸發(fā)展和演化，它以這樣或那樣的形式出現(xiàn)已經(jīng)有20多年的歷史。勒索軟件攻擊目標從個人擴到了企業(yè)、政府、醫(yī)療機構(gòu)及銀行系統(tǒng)，攻擊的范圍也從電腦擴大到了移動智能手機、物聯(lián)網(wǎng)（IoT）設(shè)備如閉路電視、兒童智能手表等設(shè)備，近幾年來有愈演愈烈的趨勢。2016年2月，一家好萊塢醫(yī)院網(wǎng)絡(luò)系統(tǒng)受到勒索軟件的攻擊，被迫支付了$17,000比特幣，才得以重新上線。2016年11月25日至26日，勒索軟件成功攻擊舊金山的Muni地鐵，迫使它給乘客免費乘車。2016年12月1日，一種被稱為 Gooligan Android的惡意勒索軟件出現(xiàn)，導致每天有13,000 臺安卓設(shè)備遭受攻擊，是第一款惡意獲取100多萬臺安卓設(shè)備的ROOT的權(quán)限的勒索軟件。勒索軟件在國內(nèi)也有愈演愈烈的趨勢。亞信安全在2016年10月份發(fā)布的《中國地區(qū)2016年第3季度安全威脅報告》中指出，2016年是個名副其實的勒索之年，而且攻擊手段變化多樣、不斷翻新[1]。中國成為勒索軟件感染最嚴重國家之一，2016增長數(shù)量超過67倍[1]。

勒索軟件已迅速成為企業(yè)和個人用戶必須面對的最危險的網(wǎng)絡(luò)威脅之一，在全球造成的損失已達數(shù)百億美元。目前勒索軟件的成熟度和威脅性已達到了新的高度，大部分的勒索軟件采取的先進的攻擊技術(shù)，與網(wǎng)絡(luò)間諜技術(shù)的攻擊方式相似，一次可以攻擊到數(shù)萬臺電腦，被加密的文件經(jīng)常無法進行解密。企業(yè)或終端用戶必須充分意識到勒索軟件的危險性，采取合理的多層次的防御措施，減少受勒索軟件攻擊的機會。本文從勒索軟件的攻擊流程、加密機制入手，重點提出了勒索軟件的防護策略，以及遭遇勒索軟件攻擊后應(yīng)該如何來應(yīng)對。

1 勒索軟件相關(guān)知識

1.1 什么是勒索軟件

勒索軟件(Ransomware)[2]是一種惡意軟件，通過控制受害人的文件、電腦系統(tǒng)或者移動設(shè)備進行勒索，直到支付贖金才能正常使用。被感染的操作系統(tǒng)包括Windows、Mac OS X和Linux。一些勒索軟件的變種能夠穿過網(wǎng)絡(luò)并加密所有存儲在共享或網(wǎng)絡(luò)驅(qū)動上的文件。目前最流行的一種勒索軟件是加密常用的文件，比如用戶的文檔、圖片、音頻或者視頻文件。通過一種強加密技術(shù)（2048位或者更多），使得這些文件不能夠被恢復，除非獲得一種解密秘鑰。下面的圖標列出了最近幾年研究者們辨別出來的一些勒索軟件的種類。

圖1 幾種主要的勒索軟件種類[2]

一旦被感染的電腦上的文件被加密后，受害人的電腦上就會彈出勒索信息，詳細說明解密這些文件的步驟。下面的屏幕截圖是一些勒索信息樣本：

圖2 勒索軟件彈出的提示信息[3]

勒索軟件被認為是向用戶勒索錢財最有效的手段。控制用戶的重要數(shù)據(jù)后，網(wǎng)絡(luò)犯罪者向受害者制造害怕或恐慌場景，進而迫使受害者不得不支付贖金來獲取解密秘鑰。

1.2 勒索軟件如何進行傳播

勒索軟件的傳播手段有很多種類。

一種常用的途徑是通過包含惡意的附件或者鏈接的網(wǎng)絡(luò)釣魚郵件。用戶不加懷疑地打開這些附件或者鏈接后就會被勒索軟件感染，這些郵件很少是勒索軟件，它們寧愿采取不明顯的文檔，這些文檔一旦被打開，勒索軟件就會從外部服務(wù)器下載并執(zhí)行。

第二種途徑是受害人缺少相關(guān)知識，會不加懷疑地點擊惡意鏈接，并被間接指向一種惡意站點，該站點包含了自動下載和安裝勒索軟件的腳本。

第三種途徑，勒索軟件的感染矢量可能來自于惡意廣告，利用用戶的瀏覽器到服務(wù)器間的漏洞，安裝勒索軟件（通常被認為是路過式下載）。這些廣告可能來自于惡意網(wǎng)站，如果廣告服務(wù)被盜用的話，這些廣告也可能來自于合法網(wǎng)站。

第四種途徑是攻擊者破解一些正版軟件，并加入虛假鏈接，如將 Downloader、搶紅包神器捆綁了一些不必要的隱藏鏈接，用戶在安裝軟件時可能會將鏈接激活從而導致感染。

除了以上幾種常見的傳播手段之外，勒索軟件還演化出一些新型的傳播手段：

（1）通過遠程桌面連接進入并控制受害人的電腦：一種名為“袋鼠”（Kangaroo）的軟件就是黑客通過遠程桌面連接，惡意控制受害人的電腦后，運行Kangaroo程序，進而對用戶硬盤上的文件進行加密；

（2）網(wǎng)頁聊天方式：JIGSAW 勒索軟件就是通過公開的聊天平臺——onWebChat與受害者進行聊天，并將惡意腳本嵌入到特定網(wǎng)站，誘導另一端的用戶打開鏈接，感染系統(tǒng)文件并向罪犯支付贖金的；

（3）將包含惡意程序的郵件偽裝成求職簡歷的形式{4}，發(fā)送至HR的郵箱：網(wǎng)絡(luò)罪犯先將一張未經(jīng)許可的庫存圖片和一個偽裝成簡歷的自解壓的可行性文件或者是 PDF文件（該文件釋放一個惡意的32位PE文件）壓縮到一個文件中， 然后將該壓縮文件放入云存儲軟件dropbox上面，在寫求職簡歷時，將郵件的鏈接指向這個壓縮文件，從而感染HR的電腦系統(tǒng)；

（4）將惡意軟件嵌入圖像和圖形文件的新型攻擊向量ImageGate[5]：攻擊者把惡意代碼植入圖片文件中，然后將圖片上傳至Facebook和LinkedIn等社交應(yīng)用軟件上，再利用社交媒體的配置漏洞惡意迫使受害人下載圖片文件[5]，一旦終端用戶點擊下載完成的文件，該用戶的私人設(shè)備上的所有文件會自動加密，只有支付贖金后才能繼續(xù)使用。

1.3 勒索軟件如何進行攻擊

勒索軟件是一種發(fā)展完善的價值不菲的犯罪產(chǎn)業(yè)，目前有許多種不同種類的勒索軟件，但它們中的大部分攻擊流程非常相似[2]；

勒索軟件將自身（通常是.exe可執(zhí)行文件）復制到用戶電腦上；

勒索軟件完成在電腦上的安裝——通常是在用戶的幫助下，比如打開附件或者雙擊一種病毒鏈接；

勒索軟件開始快速加密受害人的文件（這種加密可以是立即進行的，或者推遲）；

當文件加密進程完成后，勒索軟件彈出一種帶計時器的勒索信息，并說明如何付款。一般情況下受害人會被要求下載一種洋蔥（Tor）瀏覽器，通過在線比特幣支付系統(tǒng)匿名支付。

勒索軟件也會嘗試傳播到其他系統(tǒng)或者同一網(wǎng)絡(luò)中感染設(shè)備，包括本地備份服務(wù)器。

下圖以CTB-Locker勒索軟件為例展示攻擊流程：

圖3 CTB-Locker的攻擊流程[4]

1.4 感染勒索軟件后的癥狀

感染勒索軟件后的一個重要表現(xiàn)是受害人不能進入電腦系統(tǒng)了。屏幕上的屏保會被持久的勒索信息取代，來通知受害者按照說明支付勒索金。

常見的勒索信息包括{2}：

一段時間后被加密的數(shù)據(jù)就無法再訪問；

威脅受害者要把截獲的數(shù)據(jù)曝光；

宣傳要通過法律途徑威脅起訴受害者使其恐懼；

勒索金隨著時間的推移而增長；

覆寫主引導盤內(nèi)容和加密盤的物理扇區(qū)導致系統(tǒng)不能啟動；威脅受害者將刪除所有數(shù)據(jù)，使所有企業(yè)電腦不可用。

一些勒索軟件會向受害者設(shè)置付款的最后期限。如果到期沒有支付，勒索金價格就會上漲，或者解密秘鑰就會被刪除，受害者就會永久失去重要文件或者永久不能進入電腦系統(tǒng)。

2 勒索軟件的防護及解決方案

時至今日，勒索軟件已經(jīng)成為網(wǎng)絡(luò)用戶所面臨的重要威脅之一。勒索軟件在本質(zhì)上是具有任意性和破壞性的；它的攻擊目標包括個人和企業(yè)用戶，具有災(zāi)難性的后果。如果數(shù)據(jù)沒有做好備份，個人的敏感的或者隱秘的信息將會丟失。如果員工的特定文件被加密將無法工作，進而會破壞企業(yè)正常的商業(yè)運營。此外，恢復個人或者企業(yè)的電腦系統(tǒng)將要花費不少的財力。面對勒索軟件帶來的巨大危險和對日常生活造成的困擾，不管是個人還是企業(yè)，必須提高自身的安全意識。通過前面對勒索軟件的傳播途徑和攻擊流程的分析和研究，結(jié)合大量的勒索軟件攻擊案例的分析，筆者總結(jié)出一些針對勒索軟件有效的安全防護及解決方案。

2.1 切斷勒索軟件的傳播途徑

勒索軟件最好的解決方案是阻止它的發(fā)生。采取以下預(yù)防措施，可以以更好地保護電腦系統(tǒng)免受感染。

（1）正確設(shè)置反垃圾信息策略

大多數(shù)勒索軟件的傳播渠道是通過包含感染性附件的郵件。應(yīng)付此類勒索木馬，可以設(shè)置網(wǎng)頁郵件服務(wù)器，阻止包含擴展名為.exe、.vbs、或者.scr附件的郵件，直接攔截帶有勒索軟件附件的垃圾郵件。

（2）不要打開可疑的附件

釣魚郵件可能會偽裝成來自快遞公司、商業(yè)機構(gòu)、執(zhí)法機構(gòu)或者銀行的公告等，所以不要打開陌生人發(fā)的鏈接、也不要打開熟人發(fā)的看上去可疑的信息。一旦感染上這種病毒，網(wǎng)絡(luò)罪犯會利用受害人的賬戶向更多的人提供危險鏈接。

（3）要經(jīng)常性地對重要文件做備份

多渠道地給文件做備份，這樣當任何一個單一點失敗時不會導致數(shù)據(jù)不可逆的丟失。可以在網(wǎng)絡(luò)存儲應(yīng)用服務(wù)中或者在其他離線的物理媒介，如移動硬盤中做備份。此外要提高數(shù)據(jù)存取的權(quán)限，只提供讀/寫權(quán)限，這樣文件就不會被惡意修改或刪除。

（4）禁用vssaexe.服務(wù)

Windows自帶的系統(tǒng)卷影服務(wù)是一個簡便工具，用來恢復以前版本的二進制文件。但是在快速對文件進行加密的惡意軟件框架中，vssadmin.exe就變成了問題而不是一個好用的服務(wù)了。如果這個服務(wù)在電腦上被禁用，勒索軟件就不能利用它消除影卷快照。這就意味著你可以事后用VSS去恢復被加密的文件。

（5）顯示文件擴展名

去掉Windows自帶的“隱藏已知文件類型的擴展名”選項，系統(tǒng)會提示什么類型的文件正在打開，這樣就可以避開這些有潛在危害的文件。勒索軟件制造者也會利用令人迷惑的技術(shù)使得一種文件可以被指定會幾個擴展名。比如，一種可執(zhí)行的文件看上去像一個圖片文件，帶有擴展名.gif。文件也會看上去想有兩個擴展名，比如cute-dog.avi.exe、table.xlsx.scr，對于這種類型的文件要格外小心。一個單獨的攻擊向量可能是通過這種方式將惡意的宏嵌入到word文件中的。

（6）經(jīng)常給軟件或系統(tǒng)打補丁

一些勒索軟件是基于軟件的漏洞來感染系統(tǒng)的。經(jīng)常給操作系統(tǒng)、防病毒軟件、瀏覽器、多媒體程序播放器、Java和其他一些軟件打補丁，用最新的插件更新操作系統(tǒng)和所有的軟件來阻止對漏洞的利用。

安裝并更新防病毒或者防勒索軟件。一周對電腦系統(tǒng)至少做一次全面掃描，檢測接受到的文件或者通過移動存儲設(shè)備復制的文件。

（7）在瀏覽器中安裝阻止廣告或腳本植入的工具

勒索軟件被安裝是由于下載驅(qū)動導致的，當訪問一種帶有惡意腳本或廣告的頁面時，受害人的電腦將會受到感染。通過廣告和腳本阻止工具可以有選擇地阻止網(wǎng)頁瀏覽器中的廣告和腳本，只有用戶同意才可以運行。

（8）加密敏感數(shù)據(jù)

一些勒索軟件的變種只加密用戶常用的文件類型，比如圖片和文檔。對這些常用的數(shù)據(jù)進行加密，可以阻止勒索軟件的加密。對敏感或者關(guān)鍵數(shù)據(jù)進行加密可以防止丟失或泄露。

（9）有需要再啟用微軟辦公軟件宏

微軟辦公軟件中宏的濫用會導致電腦感染勒索軟件。以惡意的辦公文檔的形式誘惑受害人啟用宏來訪問它的內(nèi)容。建議用戶謹慎對待宏，只對信任的文檔啟用宏。

（10）應(yīng)用控制

考慮到安裝應(yīng)用控制軟件來提供應(yīng)用或目錄白名單。白名單會只允許已認證的程序運行而限制其他程序，是一種保護電腦系統(tǒng)的最安全實踐措施。

2.2 切斷勒索軟件的攻擊過程

一旦發(fā)現(xiàn)有可疑的進程被安裝到計算機上，可以采用下列幾個步驟來切斷勒索軟件對系統(tǒng)的攻擊：

第一步：立即斷開網(wǎng)絡(luò)連接。在早期的網(wǎng)絡(luò)攻擊階段，這是一種非常有效的方法，因為斷網(wǎng)以后，勒索軟件就不能用命令和控制服務(wù)器去建立連接，從而不會完成加密程序；

第二步：停止網(wǎng)盤同步和OneDrive同步服務(wù)。停止該服務(wù)后，計算機上的文件就不會被覆寫了；禁用OneDrive同步云服務(wù)將阻止受感染的設(shè)備破壞存在云端的數(shù)據(jù)；

第三步：通過反病毒或反勒索軟件應(yīng)用對電腦進行掃描和殺毒。一些勒索軟件會產(chǎn)生一些持久性對象感染電腦，如果移除不掉隨后可能會重復加密數(shù)據(jù)。運行一個完整的掃描殺毒和移除ransomware(惡意)所有可能收到感染的設(shè)備。如果系統(tǒng)上沒有安裝殺毒軟件或者殺毒軟件不能檢測，可以使用微軟視窗防護或安全的必需品，還可以根據(jù)故障診斷指導運行 Windows后衛(wèi)脫機工具。

2.3 恢復被感染的文件

對于已經(jīng)或者正遭受勒索軟件感染的用戶，只有快速做出正確的反應(yīng)才能避免損失，用正確的流程和技術(shù)來控制正在進行的攻擊，才能最大限度地減少損失和附帶損害。

直接支付勒索金這種方法風險非常大，可能會出現(xiàn)三種情況：勒索方拿到錢后不一定能夠恢復被加密的文件；勒索方變本加厲的勒索；勒索的費用太高，得不償失。

筆者推薦使用下面的步驟來恢復系統(tǒng)：

第一步：根據(jù)勒索界面上的信息判斷勒索軟件的種類。

找出好勒索界面上的關(guān)鍵信息：比特幣支付地址和被加密的文件名稱列表，根據(jù)勒索軟件特征簡單判斷是何種勒索軟件?？梢詤⒖枷旅娴谋砀裾页鰧?yīng)的勒索軟件：

如果用戶看不懂勒索信息，可以到勒索軟件種類網(wǎng)站上：https://id-ransomware.malwarehunterteam.com/。

通過上傳所收到的勒索軟件的勒索提示信息或者簡單的加密文件來辨別電腦所感染的勒索軟件的類別。如果存在解密工具，就可以利用該工具進行解密恢復文件。

表1 勒索軟件信息列表[4]

如果不存在解密工具，轉(zhuǎn)到第二步；

第二步：查找被加密文件的任何可能的備份來確定數(shù)據(jù)丟失的程度。數(shù)據(jù)恢復或商業(yè)業(yè)務(wù)持續(xù)性計劃有助于促進此工作。

第三步：從系統(tǒng)備份中恢復數(shù)據(jù)。如果之前對系統(tǒng)或硬盤做過備份，可以直接用備份還原工具進行恢復；建議做一次干凈的安裝確保勒索軟件被清除干凈。

2.4 求助于專業(yè)組織

受到勒索軟件感染后，如果清除不掉病毒軟件，并且文件或系統(tǒng)不可恢復，用戶可以到拒絕勒索軟件網(wǎng)站（www.nomoreran som.org）上尋求幫助?！癗o More Ransom”（拒絕勒索軟件www.nomoreransom.org）是一個全新的在線門戶網(wǎng)站，目的是為公眾提供有關(guān)勒索軟件的信息，幫助受害者在無需向網(wǎng)絡(luò)罪犯支付贖金的前提下，恢復自己被加密的數(shù)據(jù)。

3 結(jié)束語

在豐厚勒索金的驅(qū)動下，網(wǎng)絡(luò)罪犯正不斷尋找新的技術(shù)[5]，推出新的勒索軟件變種版本。勒索軟件也正在向社交網(wǎng)絡(luò)、移動設(shè)備、智能家居、智能汽車、物聯(lián)網(wǎng)等領(lǐng)域滲透。勒索軟件是每個互聯(lián)網(wǎng)用戶都要面臨的問題，大到企業(yè)或云端的數(shù)據(jù)中心，小到消費者使用的智能設(shè)備。除了使用勒索軟件解密工具之外，企業(yè)和用戶必須提升安全意識，從源頭上阻止勒索軟件的入侵。要養(yǎng)成好的用網(wǎng)習慣，經(jīng)常備份重要數(shù)據(jù)，及時更新電腦上的所有軟件及補丁，刪除可疑的電子郵件或圖片，采取保護措施預(yù)防勒索軟件的攻擊。

[1]亞信安全智能防護網(wǎng)(SPN)以及亞信安全 TMES 監(jiān)控中心(MOC). 中國地區(qū)2016年第3季度安全威脅報告.

[2]Singapore Computer Emergency Response Team (SingCERT).Ransomware.https://www.csa.gov.sg/singcert/news/a dvisories-alerts/ransomware.

[3]Microsoft Malware Protection Center. Ransomeware. https://www.microsoft.com/en-us/security/portal/mmpc/shared/ra nsomware.aspx.

[4]安天安全研究與應(yīng)急處理中心(Antiy CERT). 揭開勒索軟件的真面目 http://www.antiy.com/response/ ransomw are. html2015.

[5]鄭輝.勒索軟件2016強勢來襲.信息安全，2016.