什么是勒索軟件

勒索軟件又稱勒索病毒，是一種特殊的惡意軟件，又被歸類為“阻斷訪問式攻擊”（denial-of-access attack），與其他病毒最大的不同在于攻擊手法以及中毒方式。勒索軟件的攻擊方式是將受害者的電腦鎖起來或者系統性地加密受害者硬盤上的文件，以此來達到勒索的目的。
所有的勒索軟件都會要求受害者繳納贖金以取回對電腦的控制權，或是取回受害者根本無從自行獲取的解密密鑰以便解密文件。勒索軟件一般通過木馬病毒的形式傳播，將自身掩蓋為看似無害的文件，通常假冒普通電子郵件等社會工程學方法欺騙受害者點擊鏈接下載，但也有可能與許多其他蠕蟲病毒一樣利用軟件的漏洞在互聯網的電腦間傳播。

勒索軟件的類型

根據勒索軟件對受害者系統采取的措施，主要可以分為以下幾類：

·綁架用戶數據

使用加密算法（如AES、RSA等）將用戶的文件進行加密，用戶在沒有秘鑰的情況下無法操作自己的文件。用戶可以訪問設備，但是對設備內的數據無法操作。

典型勒索軟件有：WannaCry、GlobeImposter、CryptoLocker，TeslaCrypt等。

·鎖定用戶設備

不加密用戶的文件，但是通過修改一些配置或者系統文件，使得用戶無法進入設備。

典型勒索軟件有：NotPetya等。

·鎖定用戶設備和綁架數據

既加密用戶文件，又鎖住用戶設備。是1和2的結合體。

典型勒索軟件有：BadRabbit等。

勒索軟件的入侵方式

勒索軟件常用的入侵方式如圖1所示。

勒索軟件的入侵方式

1.網絡共享文件

一些小范圍傳播的敲詐勒索病毒會通過共享文件的方式進行傳播，黑客會將病毒上傳到網絡共享空間、云盤、QQ群、BBS論壇等，以分享的方式發送給特定人群，進而誘騙其下載安裝。

此外，不法黑客還常會編造出“殺毒軟件會產生誤報，運行之前需要退出殺毒軟件”之類的理由，誘騙受害者關閉殺毒軟件后運行。

典型代表有：暫時主要為國產勒索類病毒通過外掛輔助，“綠色”軟件類工具攜帶。

2.捆綁傳播

勒索軟件與正常合法軟件一起捆綁發布在各大下載網站或者論壇，當用戶下載該軟件后便會中招。

3.垃圾郵件

這是勒索軟件最為廣泛的攻擊方式。

·利用社會工程學方法，發送假冒的電子郵件，將惡意腳本/程序掩蓋為普通的文件，欺騙受害者下載、運行。

·利用一些僵尸網絡，更能增加欺騙的概率。如GameOverZeus僵尸網絡，會使用MITB技術竊取銀行憑證，通過該僵尸網絡來分發釣魚郵件，受害者非常容易相信。該僵尸網絡被CrytoLocker等勒索軟件利用來分發釣魚郵件。

典型代表有：Locky、Cerber、GlobeImposter、CrytoLocker等。

4.水坑攻擊

勒索者利用有價值、有權威或訪問量較大網站的缺陷植入惡意代碼，當受害者訪問該網址，或者下載相關文件時便會中招。

典型代表有：Cerber、GandCrab等。

5.軟件供應鏈傳播

勒索軟件制作者通過入侵軟件開發、分發、升級服務等環節，在軟件開發過程中，就會在產品組件中混入病毒，通過入侵、劫持軟件下載站、升級服務器，當用戶正常進行軟件安裝或升級服務時勒索病毒趁虛而入。這種傳播方式利用了用戶與軟件供應商之間的信任關系，成功繞開了傳統安全產品的圍追堵截，傳播方式上更加隱蔽，危害也更為嚴重。此前侵襲全球的Petya勒索病毒便是通過劫持Medoc軟件更新服務進行傳播。

典型代表有：Petya等。

6.暴力破解（定向攻擊）

針對服務器、個人用戶或特定目標，通過使用弱口令、滲透、漏洞等方式獲取相應權限。例如NotPetya會對口令進行暴力破解然后在局域網內傳播。

典型代表有：NotPetya、Crysis、GlobeImposter等。

7.利用已知漏洞攻擊

利用系統或者第三方軟件存在的漏洞實施攻擊。例如WannaCry便利用了SMBV1的一組漏洞進行攻擊和傳播。

典型代表有：WannaCry、Satan等

8.利用高危端口攻擊

利用一些端口的業務機制，找到端口的漏洞，進行攻擊。如WannaCry利用Windows操作系統445端口存在的漏洞進行傳播，并具有自我復制、主動傳播的特性。常見的高危端口有135、139、445、3389、5800/5900等。建議盡量關閉此類端口。

典型代表有：WannaCry等。

9.以上幾種的組合聯合攻擊

通常來說，勒索軟件不會只采取一種方式來進行攻擊和傳播，通常會是幾種的組合。

如何防御勒索軟件

阻止勒索軟件攻擊最有效的辦法是防止攻擊進入組織內部。

主機側防護

首先，推薦通過組織級的IT基礎設施方案來統一設置主機。通過AD服務器的組策略、企業級殺毒軟件的控制中心等，可以保證安全措施執行到位，而不必依賴員工個人的執行力。

其次是針對員工的信息安全教育。很多勒索軟件使用電子郵件和社會工程手段，誘使員工下載惡意軟件，或訪問惡意網址。員工不為所動，就能避免激活攜帶的攻擊媒介。通過信息安全宣傳，培訓員工養成良好的辦公習慣，識別和防范典型的攻擊手法，是避免勒索軟件攻擊的有效手段

以下列出了主要的主機側防護措施，其中大部分可以通過IT基礎設施方案來統一管理。對于沒有完善IT系統的小微企業，可以把這些措施轉化為信息安全教育的內容，指導員工自行配置。

相關措施包括但不局限于：

·開啟系統防火墻，利用防火墻阻止特定端口的連接，或者禁用特定端口。

·升級最新的殺毒軟件，或者部署專殺工具。

·更新補丁，修復勒索軟件所利用的含漏洞軟件。

·各項登錄、鑒權操作的用戶名、密碼復雜度要符合要求。

·設置帳戶鎖定策略。

·阻止宏自動運行，謹慎啟用宏。

·僅從指定位置下載軟件。

·不要打開來源不明郵件的附件和鏈接。

·定期做好異地備份，這是系統被感染后數據盡快恢復的最好手段，以勒索軟件的套路，即使交付贖金，也不一定保證本地數據會被解密。

·在Windows文件夾中設置顯示“文件擴展名”，可以更輕易地發現潛在的惡意文件。

網絡側防護

防御勒索軟件攻擊的關鍵在于預防，即在勒索軟件進入組織并造成實質性損壞之前，攔截攻擊。最佳方法是設置以防火墻為基礎的多層安全防御體系，避免攻擊者突破一層防御之后長驅直入。嚴格的安全策略是最簡單有效的防護手段；僅對外開放必需的服務，封堵高危端口，可以減小暴露面（攻擊面）。阻斷已知威脅，通常可以使攻擊者放棄攻擊，否則攻擊者就需要創建新的勒索軟件，或者利用新的漏洞，其成本必然增加。同時，啟用文件過濾，可以限制高風險類型文件進入網絡；利用URL過濾阻斷惡意網站，可以避免用戶無意中下載惡意軟件。在安全性要求較高的網絡中，還可以部署FireHunter沙箱、HiSecInsight、誘捕系統，全面感知安全態勢。

針對勒索軟件在網絡側的防護，華為通過如下分層防御體系進行防護：

1.通過在防護墻上部署嚴格的安全策略，限制用戶對網絡和應用的使用。

·南北向安全策略：在網絡邊界處，設置嚴格的網絡訪問策略，僅對外開放必需的服務，且僅允許受信任IP地址/用戶訪問必要的服務。

·東西向安全策略：把內部網絡按照功能和風險等級劃分到不同的安全區域，在不同功能網絡間設置嚴格的安全策略。建議阻斷高危端口（包括135、137、138、139、445、3389等）或限制可訪問的用戶，降低勒索軟件橫向擴散的可能性。在交換機和路由器等網絡設備上，也可以利用流策略封堵高危端口。

2.通過IPS、AV、URL，發現和阻斷已知威脅。

·IPS入侵防御：在安全策略中引用IPS配置文件，確保如下暴力破解和漏洞利用簽名的動作為阻斷。如果簽名的缺省動作不是阻斷，可以設置例外簽名，修改其動作為阻斷。

·AV反病毒：對于文件傳輸協議（HTTP、FTP）和共享協議（NFS、SMB），采用缺省動作。對于郵件協議，建議動作設置為宣告或刪除附件。防火墻將在郵件中添加提示信息，提醒收件人附件中可能含有病毒。

·URL過濾：推薦使用白名單機制，根據組織業務需求，圈定業務需求所需的網站類型。如果采用白名單機制有困難，則至少要阻斷惡意網站、其他類。同時，啟用惡意URL檢測功能。

3.通過沙箱聯動，發現未知威脅。

防火墻將流量還原成文件，并將需要檢測的文件發送到沙箱進行檢測。防火墻定期到沙箱上查詢檢測結果，并根據檢測結果更新設備緩存中的惡意文件和惡意URL列表。當具有相同特征的后續流量命中惡意文件或惡意URL列表時，防火墻將直接阻斷。

4.通過HiSec Insight、誘捕，避免橫向擴散。

部署HiSec Insight和支持誘捕特性的交換機和防火墻。誘導勒索病毒入侵仿真業務并捕獲其入侵行為，上報檢測結果至HiSec Insight，HiSec Insight可全網下發策略阻斷勒索病毒傳播。誘捕系統有助于降低真實系統被攻擊的概率，最大限度減少損失。