1989年，2萬張感染了“AIDSTrojan”病毒的軟盤被分發(fā)給國際衛(wèi)生組織國際艾滋病大會的與會者，導(dǎo)致大量文件被加密，歷史上第一個勒索病毒由此誕生。 

　　到現(xiàn)在，整整30年過去了，勒索病毒已發(fā)展為網(wǎng)絡(luò)世界最大的安全威脅之一，并造成了諸如“永恒之藍、WannaCry”等震驚世界的勒索蠕蟲肆虐事件，讓不少用戶與組織機構(gòu)“談虎色變”。

什么是勒索病毒？

　　勒索病毒實際是一種新型木馬，被大家叫白了才被稱為了“病毒”，主要以郵件、程序木馬、網(wǎng)頁掛馬的形式出現(xiàn)。值得一提的是，這種木馬一般都會利用各種加密算法對文件進行加密，而且木馬使用的加密方案大多是非對稱加密算法，只要實現(xiàn)了加密效果，就基本不存在被破解的可能。實際上常見的勒索病毒（CTB Locker，WannaCry等）目前為止都沒有被破解。如果勒索病毒使用的是AES＋RSA4096位的算法加密，遇到這種加密級別，目前電腦如果要暴力破解可能需要幾十萬年，或者更長時間，一旦被勒索病毒感染，加密了電腦上的文作，是無論如何都無法解密的。所以如果是政府、企事業(yè)單位的重要文件中毒被加密，一般無法解密，必須支付黑客要求贖金，拿到解密的私鑰后才能解密恢復(fù)。

　　尤其可氣的是勒索病毒對文件加密完成后，一般還會修改電腦壁紙，在桌面等明顯位置生成勒索提示文件，指導(dǎo)用戶去繳納贖金。而且更有甚者，勒索病毒的設(shè)計者往往把勒索的說明信息翻譯成20多個國家和地區(qū)的語言版本，好讓全世界每一個中了病毒的人都能看懂付款信息。目前，勒索金額動輒高達幾個比特幣，（1個比特幣價值人民幣5萬多元），勒索者索要的支付贖金一定是比特幣，因為這種虛擬電子貨幣基于區(qū)塊鏈技術(shù)的而不易被追蹤，更容易隱藏勒索者的真實身份。更加恐怖的是中了勒索病毒的計算機一般都是性能很不錯的服務(wù)器、PC類終端，勒索病毒還會在這臺電腦當中植入挖礦程序，讓這臺計算機成為生產(chǎn)比特幣的工具，勒索病毒攻擊者可謂無所不用其極，最大程度地榨取受害電腦的經(jīng)濟價值。最近發(fā)現(xiàn)的新型勒索病毒，除了加密受害者，還會把加密文件向外主動傳送，在暗網(wǎng)中進行交易，造成受害者的數(shù)據(jù)在網(wǎng)絡(luò)上發(fā)生泄露。

　　由此可見，勒索病毒可謂性質(zhì)惡劣、危害極大，一旦感染會給用戶帶來無法估量的損失，尤其是學(xué)校、醫(yī)院、政府機構(gòu)等重災(zāi)區(qū)對勒索病毒都噤若寒蟬。

勒索病毒如何傳播？

　　終端被感染勒索病毒后，最明顯的特征是電腦桌面發(fā)生明顯變化，即：桌面通常會出現(xiàn)新的文本文件或網(wǎng)頁文件，這些文件用來說明如何解密的信息，同時桌面上顯示勒索提示信息及解密聯(lián)系方式，通常提示信息英文較多，中文提示信息較少。

　　文件后綴名被篡改或者辦公文檔、照片、視頻等文件的圖標變?yōu)椴豢纱蜷_形式。一般來說，文件后綴名會被改成勒索病毒家族的名稱或其家族代表標志，如：GlobeImposter家族的后綴為.dream、.TRUE、.CHAK等；Satan家族的后綴.satan、sicck；Crysis家族的后綴有.ARROW、.arena等。

　　勒索病毒自身寄生性非常強，先寄生在宿主機，然后向目標機感染，一旦進入終端機，就會自動運行，同時刪除勒索病毒樣本，以躲避查殺和分析。如果中招的電腦處于一個局域網(wǎng)當中，那么只要一臺電腦感染病毒，其他電腦只要開機上網(wǎng)，馬上也會被感染。勒索病毒會通過像445端口這樣的文件共享和網(wǎng)絡(luò)打印機共享端口或漏洞展開擴散感染，并且還發(fā)現(xiàn)了很多起利用未公開漏洞傳播感染勒索病毒事件。

　　勒索病毒變種非?？?，對常規(guī)的殺毒軟件都具有天然的免疫性。攻擊的樣本以exe、js、wsf、vbe等類型為主，對常規(guī)依靠特征檢測的殺毒軟件來講是一個極大的挑戰(zhàn)。勒索病毒出現(xiàn)變種后，不僅加快了傳播速度和再識別的難度，而且可能會影響網(wǎng)絡(luò)的穩(wěn)定運行。

勒索病毒如何防御？

　　目前勒索病毒防御，一般是多種產(chǎn)品和服務(wù)組合而成，同時在防御時要求用戶信息系統(tǒng)升級，另外一些方案還對用戶的系統(tǒng)提出特殊要求，如要求用戶斷網(wǎng)，操作系統(tǒng)打補丁，關(guān)相應(yīng)端口等。

　　為滿足政府、軍隊、能源、教育、金融、衛(wèi)生、企業(yè)等行業(yè)對服務(wù)器與終端未知威脅檢測和未知惡意代碼防御方面需求，基于在大數(shù)據(jù)安全分析領(lǐng)域的優(yōu)勢，國聯(lián)易安開發(fā)出下一代勒索病毒防御系統(tǒng)，產(chǎn)品主要技術(shù)手段如下：

　　一是通過威脅情報，實現(xiàn)“智能化輔助決策”。在過去的安全防御中，更多的是關(guān)注如何提升系統(tǒng)內(nèi)部的防御能力，缺少對外部攻擊者的研究和了解，永遠處在被動防御的狀態(tài)。

　　威脅情報的引入解決了這一問題，通過互聯(lián)網(wǎng)上海量數(shù)據(jù)的收集分析，為用戶提供了攻擊發(fā)起者的背景信息，既可以指導(dǎo)安全防御體系建設(shè)，也可以直接用來發(fā)現(xiàn)安全威脅。

　　二是通過行為關(guān)聯(lián)分析，定位“攻擊動作鏈條”。一件攻擊事件在不同的階段具備不同的行為特征，這些行為特征分開來看并不一定直接構(gòu)成威脅，而原有的解決方案中并不具備將這些行為進行關(guān)聯(lián)分析的能力，導(dǎo)致這些安全威脅無法被檢測和阻止。

　　所以，要實現(xiàn)對未知威脅以及未知勒索病毒的檢測必須依靠機器學(xué)習(xí)和大數(shù)據(jù)分析能力，通過大量的行為日志分析和快速檢索，找出關(guān)鍵目標和威脅，對相關(guān)事件進行關(guān)聯(lián)分析，還原安全事件全貌，并進行有效的防御和處置。

　　三是通過機器學(xué)習(xí)技術(shù)，對抗“病毒變種威脅”。傳統(tǒng)殺毒技術(shù)嚴重依賴于樣本獲得能力和病毒分析師的能力，這種能力只能處理已知問題，不能對可能發(fā)生的問題進行防范，具有嚴重的滯后性和局限性。

　　國聯(lián)易安依托海量的威脅情報庫和惡意軟件捕獲能力，通過機器學(xué)習(xí)技術(shù)訓(xùn)練的未知惡意軟件檢測引擎，可以幫助用戶有效抵抗未知惡意軟件威脅。通過對海量樣本進行監(jiān)測分析，能夠找到惡意軟件的內(nèi)在規(guī)律，能對未來相當長時期的惡意軟件變種技術(shù)做出前瞻性預(yù)測，實現(xiàn)針對勒索病毒變種的有效識別。

　　四是通過人工智能技術(shù)構(gòu)建誘捕模型，誘捕“惡意程序發(fā)作”。國聯(lián)易安基于AI技術(shù)，構(gòu)建了仿真誘捕環(huán)境，可以實現(xiàn)對可疑文件進行高級威脅檢測。仿真誘捕環(huán)境通過接收還原PE和非PE文件，使用仿真環(huán)境、動態(tài)檢測等一系列無簽名檢測方式，發(fā)現(xiàn)傳統(tǒng)安全設(shè)備無法發(fā)現(xiàn)的復(fù)雜威脅，并將仿真誘捕平臺上的相關(guān)告警發(fā)送至分析平臺，實現(xiàn)告警統(tǒng)一管理和后續(xù)進一步分析。

　　五是通過威脅腦圖，顯示“直觀安全態(tài)勢”。國聯(lián)易安通過可視化技術(shù)的利用，將原本碎片化的威脅告警、異常行為告警數(shù)據(jù)結(jié)構(gòu)化，以便于用戶理解，從而省去了閱讀繁復(fù)報告的過程?？梢暬夹g(shù)的利用使得用戶可以更直觀地感受到網(wǎng)絡(luò)內(nèi)的安全形勢，使得安全由“不可見變?yōu)榭梢姟?，不但帶來了更好的用戶體驗，同時還有效地提高了安全監(jiān)控的效率。

　　下一代勒索病毒防御系統(tǒng)達到了對所有勒索病毒及其變種的自動識別、主動檢測、精準定位和全面防御效果，解決了勒索病毒“發(fā)現(xiàn)難、防御更難”的尷尬困境和問題。

　　此前，總部設(shè)在荷蘭海牙的歐洲刑警組織與國際刑警組織2019年10月9日共同發(fā)布《2019互聯(lián)網(wǎng)有組織犯罪威脅評估》報告認為，全球勒索軟件犯罪總量有所下降，但正轉(zhuǎn)向更加有利可圖的目標且已造成更為嚴重的經(jīng)濟損失。由此可見，勒索病毒犯罪仍為作案范圍最廣、造成經(jīng)濟損失最嚴重的網(wǎng)絡(luò)犯罪形式。

　　參考文獻：

　　劉學(xué)習(xí)， 中國軟件網(wǎng)， 《即使等保2.0要合規(guī)，也不能忽視勒索病毒防御》

　　煜銘2011， CSDN網(wǎng)，《勒索病毒自救指南》

　　佚名， 網(wǎng)界網(wǎng)，《下一代勒索病毒防御系統(tǒng)：“主動防御”才是硬道理》