全面解密！深信服安全威胁分析报告之勒索病毒篇

摘要：

深信服对全国 11 个行业超过10w个域名（或IP）做安全防御，共阻断勒索软件攻击 163250 次。从被攻击流量数据来看，勒索软件攻击流量最多的三个月分别是 5 月、 6 月和 10 月。

正文：

正如众多安全专家所预测的，勒索软件会在将来的网络犯罪中占据重要作用，这两年恶意软件的活动情况恰好验证此预测。技术门槛低、低风险、高回报使“勒索即服务”发展迅猛。

所谓知己知彼，方能百战不殆。勒索病毒究竟有怎样的前世今生？该如何去防范？本文节选自《深信服 2017 年安全威胁分析报告》，全面为您解密勒索病毒。

勒索病毒演进

最早的勒索软件

已知最早的勒索软件出现于 1989 年。该勒索软件运行后，连同C盘的全部文件名也会被加密（从而导致系统无法启动）。此时，屏幕将显示信息，声称用户的软件许可已经过期，要求用户向“PC Cyborg”公司位于巴拿马的邮箱寄 189 美元，以解锁系统。从此，勒索病毒开启了近 30 年的攻击历程。

首次使用RSA加密的勒索软件

Archievus是在 2006 年出现的勒索软件，勒索软件发作后，会对系统中“我的文档”目录中所有内容进行加密，并要求用户从特定网站购买，来获取密码解密文件。它在勒索软件的历史舞台上首次使用RSA加密算法。RSA是一种非对称加密算法，让加密的文档更加难以恢复。

国内首个勒索软件

2006 年出现的Redplus勒索木马（Trojan/Win32.Pluder），是国内首个勒索软件。该木马会隐藏用户文档，然后弹出窗口要求用户将赎金汇入指定银行账号。

勒索即服务诞生

2015 年，第一款勒索即服务（RaaS）Tox曾风靡一时，Tox工具包在暗网发售，Tox允许用户访问购买页面，创建一个自定义的勒索软件，在这个页面，用户可以自定义勒索说明文字、赎金价格和验证码。之后，Tox服务会生成一个2MB大小的可执行文件，该文件包含勒索代码，伪装成屏幕保护程序。

同年，Karmen勒索软件出现。这种勒索软件即服务（RaaS）的新变体为买家提供了一个用户友好的图形化仪表板，让买家可以访问位于黑暗网络上基于Web的控制面板，从而允许买家配置个性化版本的Karmen勒索软件。

随后，其他RaaS工具包如雨后春笋般冒出，例如Fakben、Encrytor、Raddamant、Cerber、Stampado等勒索服务不断冲击市场，勒索软件工具包的价格也随之走低。

比如勒索软件Shark，软件本身免费，开发者从赎金中赚取 20% ；勒索软件Stampado，售价$39 ，准许购买者终身使用工具包 。最近在恶意软件论坛上搜索 RaaS 工具包，价格范围在$15 到 $95 之间。

勒索病毒获利模式

随着黑产市场的扩张，勒索市场也不断受到其他运营模式的冲击。一种新的商业模式应运而生——勒索即服务（RaaS），勒索软件开发者将部分软件功能作为服务出售，持续提供更新和免杀服务，小黑客和供应商通过网络钓鱼或其他攻击进行传播扩散，然后利益分成。运营模式如下图所示：

在勒索即服务市场中，无论技术高低，能力大小，甚至毫无编程经验的人只要愿意支付金钱，都可以得到相应的服务，从而发起勒索软件攻击。勒索即服务一般有三种交付方式，第一种是最常见的是直接付费购买，获得勒索软件的终身使用权利，并且可以自定义勒索说明、赎金价格和验证码。另一种是提供免费的勒索软件，但是开发者要从赎金中抽取一定比例的分成。最后一种是定制化服务，根据付费者要求提供开发服务。

传播方式

勒索软件的传播手段主要以成本较低的邮件传播为主。同时也有针对医院、企业等特定组织的攻击，通过入侵组织内部的服务器，散播勒索软件。随着人们对勒索软件的警惕性提高，勒索者也增加了其他的传播渠道，具体的传播方式如下：

邮件传播：攻击者以广撒网的方式大量传播垃圾邮件、钓鱼邮件，一旦收件人打开邮件附件或者点击邮件中的链接地址，勒索软件会以用户看不见的形式在后台静默安装，实施勒索；

漏洞传播：当用户正常访问网站时，攻击者利用页面上的恶意广告验证用户的浏览器是否有可利用的漏洞。如果存在，则利用漏洞将勒索软件下载到用户的主机；

捆绑传播：与其他恶意软件捆绑传播；

僵尸网络传播：一方面僵尸网络可以发送大量的垃圾邮件，另一方面僵尸网络为勒索软件即服务(RaaS)的发展起到了支撑作用；

可移动存储介质、本地和远程的驱动器（如C盘和挂载的磁盘）传播：恶意软件会自我复制到所有本地驱动器的根目录中，并成为具有隐藏属性和系统属性的可执行文件；

文件共享网站传播：勒索软件存储在一些小众的文件共享网站，等待用户点击链接下载文件；

网页挂马传播：当用户不小心访问恶意网站时，勒索软件会被浏览器自动下载并在后台运行；

社交网络传播：勒索软件以社交网络中的.JPG图片或者其他恶意文件载体传播。

2017 年，WannaCry和Petya的出现彻底打开了我国的勒索犯罪市场，尤其是WannaCry，还针对中国人民开发汉语版界面，如下图所示：

这两个漏洞就是典型的通过漏洞和共享进行传播。Wanacry勒索软件利用Microsoft Windows中一个公开已知的安全漏洞。Petya勒索软件通过ME文档软件更新的漏洞传播。 WannaCry和Petya的出现也同时表明，利用全球范围内普遍漏洞产生的勒索软件攻击活动会给全人类带来灾难性的后果。

勒索病毒全年态势

2017 年，勒索软件数量暴增。勒索即服务的逐步发展，使勒索软件成本越来越低，备受黑客喜爱。在过去的一年中，各产业都曾遭受到勒索软件的攻击。在 2017 年间流行的勒索软件使用不对称的复杂加密算法，受害者一旦中招，只有支付赎金才能安全找回数据。

2017 年 1 月 1 日开始至 12 月 31 日截止，深信服下一代防火墙、信服云盾等安全防护产品对全国 11 个行业（其中包括政府、教育、医疗、金融、企业、能源等）超过10w个域名（或IP）做安全防御，共阻断勒索软件攻击 163250 次。每月拦截勒索软件攻击次数走势图如下：

从被攻击流量数据来看，勒索软件攻击流量最多的三个月分别是 5 月、 6 月和 10 月。由此可以看到，在重大安全事件爆发时期，以及国家重大会议活动期间，恶意软件传播非常频繁。因此，网络安全工作时刻不能松懈，在特殊时期更应该加固网络防护，避免中招。

应对建议

目前针对勒索软件的措施主要是：更新补丁、封锁恶意源。但这些都只有在威胁已经引发了损害之后才能开始。反病毒和反恶意软件产品虽然防护给力，但威胁发展太快，任何工具都无法提供100%防护。因此，深信服提供以下 10 个建议保护您以及您的单位免受勒索软件伤害：

1. 制定备份与恢复计划。经常备份您的系统，并且将备份文件离线存储到独立设备；

2. 使用专业的电子邮件与网络安全工具，可以分析电子邮件附件、网页、或文件是否包含恶意软件，可以隔离没有业务相关性的潜在破坏性广告与社交媒体网站；

3. 及时对操作系统、设备、以及软件进行打补丁和更新；

4. 确保您的安全设备及安全软件等升级到最新版本，包括网络上的反病毒、入侵防护系统、以及反恶意软件工具等；

5. 在可能的情况下，使用应用程序白名单，以防止非法应用程序下载或运行；

6. 做好网络安全隔离，将您的网络隔离到安全区，确保某个区域的感染不会轻易扩散到其他区域；

7. 建立并实施权限与特权制度，使无权限用户无法访问到关键应用程序、数据、或服务；

8. 建立并实施自带设备安全策略，检查并隔离不符合安全标准（没有安装反恶意软件、反病毒文件过期、操作系统需要关键性补丁等）的设备；

9. 部署鉴定分析工具，可以在攻击过后确认：

a）感染来自何处；

b）病毒已经在您的环境中潜伏多长时间；

c）是否已经从所有设备移除了感染文件；

d）所有设备是否恢复正常。

10. 最关键的是：加强用户安全意识培训，不要下载不明文件、点击不明电子邮件附件、或点击电子邮件中来路不明的网页链接；毕竟人是安全链中最薄弱的一环，需要围绕他们制定计划。

除此之外，深信服在勒索病毒应对实践中积累大量实战经验，拥有勒索病毒检测解决方案，勒索病毒防御响应解决方案，以及体系化解决方案，帮助更多用户从容应对勒索病毒！

本文由安科网传媒平台分发，安科网传媒平台旨为企业提供"全方位"的互联网品牌推广营销服务！目前，平台已经上线自助软文投放系统，对接直编、出稿更快速、价格实惠，还能获取“免费”的自媒体分发资源（头条号、百家号、搜狐号、网易号等）。

免责声明：本文为企业推广稿件，发布本文的目的在于推广其产品或服务，安科网发布此文仅为传递信息，不代表安科网赞同其观点，不对对内容真实性负责，仅供用户参考之用，不构成任何投资、使用等行为的建议。请读者使用之前核实真实性，以及可能存在的风险，任何后果均由读者自行承担。