勒索病毒“漫談”（上篇）

勒索病毒（Ransomware），又稱勒索軟件，是一種特殊的惡意軟件，又被人歸類為“阻斷訪問式攻擊”（denial-of-access attack）。其作為一種新型電腦病毒，主要以郵件、程序木馬、網(wǎng)頁掛馬的形式進行傳播，通過恐嚇、綁架用戶文件或破壞用戶計算機等方式，向用戶勒索錢財。

勒索病毒與其他病毒最大的區(qū)別在于攻擊手法和中毒方式。部分勒索病毒僅是單純地將受害者的電腦鎖起來，而也有部分勒索病毒會系統(tǒng)性地加密受害者硬盤上的文件。所有的勒索病毒都會要求受害者繳納贖金以取回對電腦、硬盤的控制權(quán)，或是取回受害者根本無法自行獲取的解密密鑰。由此可見，該病毒性質(zhì)惡劣、危害極大，一旦感染將給用戶帶來無法估量的損失。

背后巨大利益驅(qū)動

2017年4月中旬，“永恒之藍”攻擊工具在網(wǎng)絡(luò)盛傳，5月不法分子通過改造此工具制作了WannaCry勒索病毒，一時間全球眾多醫(yī)院、高校、企業(yè)、政府及個人PC接連不斷中招，受害者被要求支付高額贖金才可解密恢復文件，這是勒索病毒第一次以如此“大規(guī)?！钡姆绞綕B透進各類網(wǎng)絡(luò)。2017年12月13日，“勒索病毒”入選國家語言資源監(jiān)測與研究中心發(fā)布的“2017年度中國媒體十大新詞語”。由于近些年來數(shù)字加密幣的流行，勒索病毒感染正處于愈演愈烈的態(tài)勢。

2018年3月，國家互聯(lián)網(wǎng)應急中心通過自主監(jiān)測和樣本交換形式共發(fā)現(xiàn)23個鎖屏勒索類惡意程序變種。該類病毒通過對用戶手機鎖屏，勒索用戶付費解鎖，對用戶財產(chǎn)和手機安全均造成嚴重威脅。從2018年初到9月中旬，勒索病毒總計對超過200萬臺終端發(fā)起過攻擊，攻擊次數(shù)高達1700萬余次，且整體呈上升趨勢。

事實上，WannaCry不是第一個在國內(nèi)出現(xiàn)的勒索病毒。早期的勒索病毒通常是通過釣魚郵件、社工等方式傳播，通常傳播規(guī)模量比較小，隨著2017年NSA方程式工具泄露，“永恒之藍”工具被大量利用，勒索病毒開始爆發(fā)式增長。

據(jù)不完全統(tǒng)計，2020年，全球因勒索病毒造成的總損失高達25萬億美元，高額的收益讓更多的犯罪者趨之若鶩，而以往諸如GandCrab勒索病毒，不僅高調(diào)宣布僅僅一年就獲得超過20億美元的贖金，并且已成功兌現(xiàn)。諸如此類事件的推波助瀾，加劇了勒索事件的爆發(fā)。

根據(jù)《2022年年中網(wǎng)絡(luò)威脅報告》顯示，僅2022年1-6月全球就記錄了2.361億次勒索軟件攻擊，還有報告稱，80%的網(wǎng)絡(luò)安全領(lǐng)導者認為勒索軟件是對公共安全的重大威脅，并預測勒索軟件損害將從2015年的3.25億美元增長至2031年的2650億美元。

如何防御勒索病毒

面對勒索病毒攻擊，我們首先想到使用勒索病毒防御系統(tǒng)，對已發(fā)生過勒索攻擊的網(wǎng)絡(luò)進行識別、定位感染源，并預防勒索病毒攻擊的再次發(fā)生。這樣的方式當然是十分有效的，尤其是使用國聯(lián)易安自主研發(fā)的——勒索病毒防御系統(tǒng)防御效果尤為明顯。

不過，除此之外，我們還可以通過另一種技術(shù)對勒索病毒攻擊進行間接防御，那就是能夠掃描識別漏洞，進而打補丁或調(diào)整策略修補漏洞，從根源上解決勒索病毒侵害——統(tǒng)一脆弱性管理平臺。其平臺主要功能：

多租戶管理。不同租戶間能設(shè)置符合各租戶自身特點的漏洞掃描策略，并只能查看當前租戶的漏洞分別情況；平臺管理員能進行全局統(tǒng)一系統(tǒng)脆弱性管理和監(jiān)控。

網(wǎng)絡(luò)空間資產(chǎn)探測。遍歷資產(chǎn)空間實現(xiàn)全網(wǎng)資產(chǎn)發(fā)現(xiàn)，識別網(wǎng)絡(luò)環(huán)境中的存活主機、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫等相關(guān)設(shè)備及屬性，自動生成網(wǎng)絡(luò)拓撲，支持資產(chǎn)導出、導入以及資產(chǎn)數(shù)據(jù)的人工修正。

漏洞掃描。系統(tǒng)涵蓋了空間資產(chǎn)探測、系統(tǒng)漏洞掃描、虛擬機漏洞掃描、Web漏洞掃描、數(shù)據(jù)庫安全掃描、安全基線核查、工控漏洞掃描、WiFi安全檢測、App安全掃描、大數(shù)據(jù)平臺漏洞掃描、等保合規(guī)關(guān)聯(lián)等漏洞掃描功能。

Windows安全加固。支持針對Windows操作系統(tǒng)的配置、網(wǎng)絡(luò)、接入、日志、防護等方面的自動和手動安全加固。加固內(nèi)容包括：配置管理（主機配置、用戶策略、身份鑒別、補丁管理、軟件管理），網(wǎng)絡(luò)管理（服務(wù)端口、防火墻管理），接入管理（外設(shè)管理、自動播放、遠程登錄、無線網(wǎng)卡），日志審計，惡意代碼防范（數(shù)據(jù)保護、防病毒軟件）等。

報表關(guān)聯(lián)。系統(tǒng)采用報表和圖形的形式對掃描結(jié)果進行分析，可以預定義、自定義和多角度多層次的分析掃描結(jié)果。提供完善的漏洞風險級別、漏洞類別、漏洞描述、漏洞類型、漏洞解決辦法。

分布式漏洞管理。全網(wǎng)分布式管理功能，系統(tǒng)支持分布式管理功能，系統(tǒng)能夠向下級引擎下達掃描任務(wù)，接收下級引擎上傳的掃描結(jié)果，進行統(tǒng)一分析，生成整體掃描報告。

一鍵升級。利用程序內(nèi)置的產(chǎn)品升級模塊，可以通過網(wǎng)絡(luò)或者本地數(shù)據(jù)包，對漏洞庫、軟件進行在線升級、本地升級、定時升級。

魔高一尺，道高一丈

隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展和我們對所面臨問題理解程度的日益加深，網(wǎng)絡(luò)和信息安全已是當今眾多互聯(lián)網(wǎng)領(lǐng)域的突出問題之一。在眾多網(wǎng)絡(luò)和信息安全風險中，居首位者當屬網(wǎng)絡(luò)攻擊。無論是個人還是組織機構(gòu)，都隨時可能成為網(wǎng)絡(luò)攻擊的對象，而每年網(wǎng)絡(luò)犯罪所帶來的經(jīng)濟損失也與日俱增。綜合以往，我們從攻擊對象和利益最大化的角度來看，影響最大也最惡劣的當屬勒索病毒攻擊。

國聯(lián)易安統(tǒng)一系統(tǒng)脆弱性管理平臺是由國聯(lián)易安安全研究團隊自主研發(fā)設(shè)計的新一代漏洞掃描管理系統(tǒng)，涵蓋了網(wǎng)絡(luò)空間資產(chǎn)探測、系統(tǒng)漏洞掃描、虛擬機漏洞掃描、Web漏洞掃描、網(wǎng)站安全監(jiān)測、數(shù)據(jù)庫安全掃描、安全基線核查、工控漏洞掃描、WiFi安全檢測、App安全掃描、大數(shù)據(jù)平臺漏洞掃描、Windows安全加固、等保合規(guī)關(guān)聯(lián)、分布式管理等功能。能全面、精準地檢測信息系統(tǒng)中存在的各種脆弱性問題，提供專業(yè)、有效的漏洞分析和修補建議。并結(jié)合可信的漏洞管理流程對漏洞進行預警、掃描、修復、審計。

“勒索病毒攻擊愈演愈烈。無論是個人還是組織機構(gòu)都隨時有可能淪為下一個受害者。同時，隨著政企數(shù)字化轉(zhuǎn)型的推進，供應鏈安全風險日益嚴峻，勒索攻擊手法持續(xù)進化，多重勒索成為常態(tài)，勒索攻擊安全威脅將有恃無恐、有增無減?！眹?lián)易安總經(jīng)理門嘉平博士表示。

關(guān)于國聯(lián)易安

北京國聯(lián)易安信息技術(shù)有限公司(原北京智恒聯(lián)盟科技有限公司)簡稱“國聯(lián)易安”，成立于2006年，擁有“國聯(lián)易安”和“智恒聯(lián)盟”兩個品牌，是國內(nèi)專注于保密與非密領(lǐng)域的分級保護、等級保護、業(yè)務(wù)連續(xù)性安全和大數(shù)據(jù)安全產(chǎn)品解決方案與相關(guān)技術(shù)研究開發(fā)的領(lǐng)軍企業(yè)。公司多項安全技術(shù)補了國內(nèi)技術(shù)空白，并且在政府、金融、保密、電信運營商、軍隊軍工、大中型企業(yè)、能源、教育、醫(yī)療電商等領(lǐng)域得到廣泛應用。

國聯(lián)易安除研發(fā)生產(chǎn)專業(yè)安全產(chǎn)品外，還為客戶提供全面的檢測與防護方案專家咨詢、源代碼安全評估、安全運維值守、智能終端安全評估、安全滲透測試、專業(yè)安全培訓等專業(yè)安全服務(wù)。

審核編輯 黃宇