勒索軟件的防護及應對策略

◆趙小娟

（洛陽廣播電視大學 河南 471000）

勒索軟件的防護及應對策略

◆趙小娟

（洛陽廣播電視大學 河南 471000）

勒索軟件自1898年出現以來，逐漸發展和成熟，近幾年來有愈演愈烈的趨勢，已成為個人和企業用戶必須面對的最危險的網絡威脅之一。本文從2016年勒索軟件攻擊事件開始，詳細介紹了勒索軟件的運行機制和傳播途徑，最后結合勒索軟件的案例給出了勒索軟件的防護策略，和用戶受到勒索軟件感染后應采取的措施。

勒索軟件；Ransomware；惡意程序；網絡攻擊

0 背景

在眾多的網絡惡意軟件中，勒索軟件（Ransomware）是一種以勒索錢財為主要目的的惡意木馬程序，秘密安裝在受害者的設備(電腦、智能手機、可穿戴設備等)上，通過鎖定系統或加密文件和硬盤設備等方式，干擾用戶對設備的正常使用，并以此為條件對用戶進行勒索活動。

勒索軟件不是新鮮事物，1989年第一款勒索軟件——"PC Cyborg”惡意程序出現，它通過加密用戶硬盤上的文件名，迫使用戶支付189美元的贖金才能解密。之后勒索軟件開始逐漸發展和演化，它以這樣或那樣的形式出現已經有20多年的歷史。勒索軟件攻擊目標從個人擴到了企業、政府、醫療機構及銀行系統，攻擊的范圍也從電腦擴大到了移動智能手機、物聯網（IoT）設備如閉路電視、兒童智能手表等設備，近幾年來有愈演愈烈的趨勢。2016年2月，一家好萊塢醫院網絡系統受到勒索軟件的攻擊，被迫支付了$17,000比特幣，才得以重新上線。2016年11月25日至26日，勒索軟件成功攻擊舊金山的Muni地鐵，迫使它給乘客免費乘車。2016年12月1日，一種被稱為 Gooligan Android的惡意勒索軟件出現，導致每天有13,000 臺安卓設備遭受攻擊，是第一款惡意獲取100多萬臺安卓設備的ROOT的權限的勒索軟件。勒索軟件在國內也有愈演愈烈的趨勢。亞信安全在2016年10月份發布的《中國地區2016年第3季度安全威脅報告》中指出，2016年是個名副其實的勒索之年，而且攻擊手段變化多樣、不斷翻新[1]。中國成為勒索軟件感染最嚴重國家之一，2016增長數量超過67倍[1]。

勒索軟件已迅速成為企業和個人用戶必須面對的最危險的網絡威脅之一，在全球造成的損失已達數百億美元。目前勒索軟件的成熟度和威脅性已達到了新的高度，大部分的勒索軟件采取的先進的攻擊技術，與網絡間諜技術的攻擊方式相似，一次可以攻擊到數萬臺電腦，被加密的文件經常無法進行解密。企業或終端用戶必須充分意識到勒索軟件的危險性，采取合理的多層次的防御措施，減少受勒索軟件攻擊的機會。本文從勒索軟件的攻擊流程、加密機制入手，重點提出了勒索軟件的防護策略，以及遭遇勒索軟件攻擊后應該如何來應對。

1 勒索軟件相關知識

1.1 什么是勒索軟件

勒索軟件(Ransomware)[2]是一種惡意軟件，通過控制受害人的文件、電腦系統或者移動設備進行勒索，直到支付贖金才能正常使用。被感染的操作系統包括Windows、Mac OS X和Linux。一些勒索軟件的變種能夠穿過網絡并加密所有存儲在共享或網絡驅動上的文件。目前最流行的一種勒索軟件是加密常用的文件，比如用戶的文檔、圖片、音頻或者視頻文件。通過一種強加密技術（2048位或者更多），使得這些文件不能夠被恢復，除非獲得一種解密秘鑰。下面的圖標列出了最近幾年研究者們辨別出來的一些勒索軟件的種類。

圖1 幾種主要的勒索軟件種類[2]

一旦被感染的電腦上的文件被加密后，受害人的電腦上就會彈出勒索信息，詳細說明解密這些文件的步驟。下面的屏幕截圖是一些勒索信息樣本：

圖2 勒索軟件彈出的提示信息[3]

勒索軟件被認為是向用戶勒索錢財最有效的手段。控制用戶的重要數據后，網絡犯罪者向受害者制造害怕或恐慌場景，進而迫使受害者不得不支付贖金來獲取解密秘鑰。

1.2 勒索軟件如何進行傳播

勒索軟件的傳播手段有很多種類。

一種常用的途徑是通過包含惡意的附件或者鏈接的網絡釣魚郵件。用戶不加懷疑地打開這些附件或者鏈接后就會被勒索軟件感染，這些郵件很少是勒索軟件，它們寧愿采取不明顯的文檔，這些文檔一旦被打開，勒索軟件就會從外部服務器下載并執行。

第二種途徑是受害人缺少相關知識，會不加懷疑地點擊惡意鏈接，并被間接指向一種惡意站點，該站點包含了自動下載和安裝勒索軟件的腳本。

第三種途徑，勒索軟件的感染矢量可能來自于惡意廣告，利用用戶的瀏覽器到服務器間的漏洞，安裝勒索軟件（通常被認為是路過式下載）。這些廣告可能來自于惡意網站，如果廣告服務被盜用的話，這些廣告也可能來自于合法網站。

第四種途徑是攻擊者破解一些正版軟件，并加入虛假鏈接，如將 Downloader、搶紅包神器捆綁了一些不必要的隱藏鏈接，用戶在安裝軟件時可能會將鏈接激活從而導致感染。

除了以上幾種常見的傳播手段之外，勒索軟件還演化出一些新型的傳播手段：

（1）通過遠程桌面連接進入并控制受害人的電腦：一種名為“袋鼠”（Kangaroo）的軟件就是黑客通過遠程桌面連接，惡意控制受害人的電腦后，運行Kangaroo程序，進而對用戶硬盤上的文件進行加密；

（2）網頁聊天方式：JIGSAW 勒索軟件就是通過公開的聊天平臺——onWebChat與受害者進行聊天，并將惡意腳本嵌入到特定網站，誘導另一端的用戶打開鏈接，感染系統文件并向罪犯支付贖金的；

（3）將包含惡意程序的郵件偽裝成求職簡歷的形式{4}，發送至HR的郵箱：網絡罪犯先將一張未經許可的庫存圖片和一個偽裝成簡歷的自解壓的可行性文件或者是 PDF文件（該文件釋放一個惡意的32位PE文件）壓縮到一個文件中， 然后將該壓縮文件放入云存儲軟件dropbox上面，在寫求職簡歷時，將郵件的鏈接指向這個壓縮文件，從而感染HR的電腦系統；

（4）將惡意軟件嵌入圖像和圖形文件的新型攻擊向量ImageGate[5]：攻擊者把惡意代碼植入圖片文件中，然后將圖片上傳至Facebook和LinkedIn等社交應用軟件上，再利用社交媒體的配置漏洞惡意迫使受害人下載圖片文件[5]，一旦終端用戶點擊下載完成的文件，該用戶的私人設備上的所有文件會自動加密，只有支付贖金后才能繼續使用。

1.3 勒索軟件如何進行攻擊

勒索軟件是一種發展完善的價值不菲的犯罪產業，目前有許多種不同種類的勒索軟件，但它們中的大部分攻擊流程非常相似[2]；

勒索軟件將自身（通常是.exe可執行文件）復制到用戶電腦上；

勒索軟件完成在電腦上的安裝——通常是在用戶的幫助下，比如打開附件或者雙擊一種病毒鏈接；

勒索軟件開始快速加密受害人的文件（這種加密可以是立即進行的，或者推遲）；

當文件加密進程完成后，勒索軟件彈出一種帶計時器的勒索信息，并說明如何付款。一般情況下受害人會被要求下載一種洋蔥（Tor）瀏覽器，通過在線比特幣支付系統匿名支付。

勒索軟件也會嘗試傳播到其他系統或者同一網絡中感染設備，包括本地備份服務器。

下圖以CTB-Locker勒索軟件為例展示攻擊流程：

圖3 CTB-Locker的攻擊流程[4]

1.4 感染勒索軟件后的癥狀

感染勒索軟件后的一個重要表現是受害人不能進入電腦系統了。屏幕上的屏保會被持久的勒索信息取代，來通知受害者按照說明支付勒索金。

常見的勒索信息包括{2}：

一段時間后被加密的數據就無法再訪問；

威脅受害者要把截獲的數據曝光；

宣傳要通過法律途徑威脅起訴受害者使其恐懼；

勒索金隨著時間的推移而增長；

覆寫主引導盤內容和加密盤的物理扇區導致系統不能啟動；威脅受害者將刪除所有數據，使所有企業電腦不可用。

一些勒索軟件會向受害者設置付款的最后期限。如果到期沒有支付，勒索金價格就會上漲，或者解密秘鑰就會被刪除，受害者就會永久失去重要文件或者永久不能進入電腦系統。

2 勒索軟件的防護及解決方案

時至今日，勒索軟件已經成為網絡用戶所面臨的重要威脅之一。勒索軟件在本質上是具有任意性和破壞性的；它的攻擊目標包括個人和企業用戶，具有災難性的后果。如果數據沒有做好備份，個人的敏感的或者隱秘的信息將會丟失。如果員工的特定文件被加密將無法工作，進而會破壞企業正常的商業運營。此外，恢復個人或者企業的電腦系統將要花費不少的財力。面對勒索軟件帶來的巨大危險和對日常生活造成的困擾，不管是個人還是企業，必須提高自身的安全意識。通過前面對勒索軟件的傳播途徑和攻擊流程的分析和研究，結合大量的勒索軟件攻擊案例的分析，筆者總結出一些針對勒索軟件有效的安全防護及解決方案。

2.1 切斷勒索軟件的傳播途徑

勒索軟件最好的解決方案是阻止它的發生。采取以下預防措施，可以以更好地保護電腦系統免受感染。

（1）正確設置反垃圾信息策略

大多數勒索軟件的傳播渠道是通過包含感染性附件的郵件。應付此類勒索木馬，可以設置網頁郵件服務器，阻止包含擴展名為.exe、.vbs、或者.scr附件的郵件，直接攔截帶有勒索軟件附件的垃圾郵件。

（2）不要打開可疑的附件

釣魚郵件可能會偽裝成來自快遞公司、商業機構、執法機構或者銀行的公告等，所以不要打開陌生人發的鏈接、也不要打開熟人發的看上去可疑的信息。一旦感染上這種病毒，網絡罪犯會利用受害人的賬戶向更多的人提供危險鏈接。

（3）要經常性地對重要文件做備份

多渠道地給文件做備份，這樣當任何一個單一點失敗時不會導致數據不可逆的丟失。可以在網絡存儲應用服務中或者在其他離線的物理媒介，如移動硬盤中做備份。此外要提高數據存取的權限，只提供讀/寫權限，這樣文件就不會被惡意修改或刪除。

（4）禁用vssaexe.服務

Windows自帶的系統卷影服務是一個簡便工具，用來恢復以前版本的二進制文件。但是在快速對文件進行加密的惡意軟件框架中，vssadmin.exe就變成了問題而不是一個好用的服務了。如果這個服務在電腦上被禁用，勒索軟件就不能利用它消除影卷快照。這就意味著你可以事后用VSS去恢復被加密的文件。

（5）顯示文件擴展名

去掉Windows自帶的“隱藏已知文件類型的擴展名”選項，系統會提示什么類型的文件正在打開，這樣就可以避開這些有潛在危害的文件。勒索軟件制造者也會利用令人迷惑的技術使得一種文件可以被指定會幾個擴展名。比如，一種可執行的文件看上去像一個圖片文件，帶有擴展名.gif。文件也會看上去想有兩個擴展名，比如cute-dog.avi.exe、table.xlsx.scr，對于這種類型的文件要格外小心。一個單獨的攻擊向量可能是通過這種方式將惡意的宏嵌入到word文件中的。

（6）經常給軟件或系統打補丁

一些勒索軟件是基于軟件的漏洞來感染系統的。經常給操作系統、防病毒軟件、瀏覽器、多媒體程序播放器、Java和其他一些軟件打補丁，用最新的插件更新操作系統和所有的軟件來阻止對漏洞的利用。

安裝并更新防病毒或者防勒索軟件。一周對電腦系統至少做一次全面掃描，檢測接受到的文件或者通過移動存儲設備復制的文件。

（7）在瀏覽器中安裝阻止廣告或腳本植入的工具

勒索軟件被安裝是由于下載驅動導致的，當訪問一種帶有惡意腳本或廣告的頁面時，受害人的電腦將會受到感染。通過廣告和腳本阻止工具可以有選擇地阻止網頁瀏覽器中的廣告和腳本，只有用戶同意才可以運行。

（8）加密敏感數據

一些勒索軟件的變種只加密用戶常用的文件類型，比如圖片和文檔。對這些常用的數據進行加密，可以阻止勒索軟件的加密。對敏感或者關鍵數據進行加密可以防止丟失或泄露。

（9）有需要再啟用微軟辦公軟件宏

微軟辦公軟件中宏的濫用會導致電腦感染勒索軟件。以惡意的辦公文檔的形式誘惑受害人啟用宏來訪問它的內容。建議用戶謹慎對待宏，只對信任的文檔啟用宏。

（10）應用控制

考慮到安裝應用控制軟件來提供應用或目錄白名單。白名單會只允許已認證的程序運行而限制其他程序，是一種保護電腦系統的最安全實踐措施。

2.2 切斷勒索軟件的攻擊過程

一旦發現有可疑的進程被安裝到計算機上，可以采用下列幾個步驟來切斷勒索軟件對系統的攻擊：

第一步：立即斷開網絡連接。在早期的網絡攻擊階段，這是一種非常有效的方法，因為斷網以后，勒索軟件就不能用命令和控制服務器去建立連接，從而不會完成加密程序；

第二步：停止網盤同步和OneDrive同步服務。停止該服務后，計算機上的文件就不會被覆寫了；禁用OneDrive同步云服務將阻止受感染的設備破壞存在云端的數據；

第三步：通過反病毒或反勒索軟件應用對電腦進行掃描和殺毒。一些勒索軟件會產生一些持久性對象感染電腦，如果移除不掉隨后可能會重復加密數據。運行一個完整的掃描殺毒和移除ransomware(惡意)所有可能收到感染的設備。如果系統上沒有安裝殺毒軟件或者殺毒軟件不能檢測，可以使用微軟視窗防護或安全的必需品，還可以根據故障診斷指導運行 Windows后衛脫機工具。

2.3 恢復被感染的文件

對于已經或者正遭受勒索軟件感染的用戶，只有快速做出正確的反應才能避免損失，用正確的流程和技術來控制正在進行的攻擊，才能最大限度地減少損失和附帶損害。

直接支付勒索金這種方法風險非常大，可能會出現三種情況：勒索方拿到錢后不一定能夠恢復被加密的文件；勒索方變本加厲的勒索；勒索的費用太高，得不償失。

筆者推薦使用下面的步驟來恢復系統：

第一步：根據勒索界面上的信息判斷勒索軟件的種類。

找出好勒索界面上的關鍵信息：比特幣支付地址和被加密的文件名稱列表，根據勒索軟件特征簡單判斷是何種勒索軟件。可以參考下面的表格找出對應的勒索軟件：

如果用戶看不懂勒索信息，可以到勒索軟件種類網站上：https://id-ransomware.malwarehunterteam.com/。

通過上傳所收到的勒索軟件的勒索提示信息或者簡單的加密文件來辨別電腦所感染的勒索軟件的類別。如果存在解密工具，就可以利用該工具進行解密恢復文件。

表1 勒索軟件信息列表[4]

如果不存在解密工具，轉到第二步；

第二步：查找被加密文件的任何可能的備份來確定數據丟失的程度。數據恢復或商業業務持續性計劃有助于促進此工作。

第三步：從系統備份中恢復數據。如果之前對系統或硬盤做過備份，可以直接用備份還原工具進行恢復；建議做一次干凈的安裝確保勒索軟件被清除干凈。

2.4 求助于專業組織

受到勒索軟件感染后，如果清除不掉病毒軟件，并且文件或系統不可恢復，用戶可以到拒絕勒索軟件網站（www.nomoreran som.org）上尋求幫助。“No More Ransom”（拒絕勒索軟件www.nomoreransom.org）是一個全新的在線門戶網站，目的是為公眾提供有關勒索軟件的信息，幫助受害者在無需向網絡罪犯支付贖金的前提下，恢復自己被加密的數據。

3 結束語

在豐厚勒索金的驅動下，網絡罪犯正不斷尋找新的技術[5]，推出新的勒索軟件變種版本。勒索軟件也正在向社交網絡、移動設備、智能家居、智能汽車、物聯網等領域滲透。勒索軟件是每個互聯網用戶都要面臨的問題，大到企業或云端的數據中心，小到消費者使用的智能設備。除了使用勒索軟件解密工具之外，企業和用戶必須提升安全意識，從源頭上阻止勒索軟件的入侵。要養成好的用網習慣，經常備份重要數據，及時更新電腦上的所有軟件及補丁，刪除可疑的電子郵件或圖片，采取保護措施預防勒索軟件的攻擊。

[1]亞信安全智能防護網(SPN)以及亞信安全 TMES 監控中心(MOC). 中國地區2016年第3季度安全威脅報告.

[2]Singapore Computer Emergency Response Team (SingCERT).Ransomware.https://www.csa.gov.sg/singcert/news/a dvisories-alerts/ransomware.

[3]Microsoft Malware Protection Center. Ransomeware. https://www.microsoft.com/en-us/security/portal/mmpc/shared/ra nsomware.aspx.

[4]安天安全研究與應急處理中心(Antiy CERT). 揭開勒索軟件的真面目 http://www.antiy.com/response/ ransomw are. html2015.

[5]鄭輝.勒索軟件2016強勢來襲.信息安全，2016.