勒索病毒的攻擊原理與防范措施探究

姜彬 居曉琴 施志剛

摘要：互聯網的普及在給人們帶來各種便利的同時也給人們的經濟、生產和生活等帶來了一定的負面影響。互聯網面臨的各種安全威脅層出不窮，其中尤以勒索病毒帶來的危害最甚，勒索病毒正成為全球網絡安全研究的熱點問題。文章從勒索病毒的概念、背景、類型、攻擊原理等方面對勒索病毒相關問題進行了闡述，分析了勒索病毒的攻擊過程并對其防范給出了具體的措施，以期對進一步研究和探索勒索病毒提供一定的應用參考。

關鍵詞：勒索病毒；攻擊原理；防范措施

中圖分類號：TP393? ? ? ? 文獻標識碼：A

文章編號：1009-3044（2023）31-0095-03

開放科學（資源服務）標識碼（OSID）

0 引言

勒索病毒，也被稱為勒索蠕蟲，是一種惡意軟件，它通過加密用戶文件、設備鎖屏，以通過為受害者提供文件解密密鑰或設備屏幕解鎖密鑰來獲取用戶支付的贖金，或者通過售出由竊取的網絡算力挖出的加密貨幣進行勒索獲利。通常，勒索信息會以彈窗或文本文檔的形式出現在用戶屏幕上。

當前，勒索病毒正日益成為全球頭號安全威脅。數據表明，超過三分之二的企業在過去一年中至少經歷過一次勒索攻擊。根據SonicWall發布的2022年年中網絡威脅報告，2022年1—6月，全球共記錄了2.361億次勒索病毒攻擊[1]。此外，根據Resecurity報告，到2031年，全球勒索病毒勒索活動將達到2650億美元，對全球企業造成的潛在總損失或達到10.5萬億美元 [2]。勒索病毒的危害整體呈現范圍廣、次數多、經濟損失大的特點。在此形勢下，如何應對勒索病毒攻擊成為全球網絡安全的難題。本文擬在勒索病毒相關概念、攻擊原理等理論基礎上，探究勒索病毒攻擊過程并對其提出具體的防范措施。

1 勒索病毒的類型

勒索病毒攻擊有多種攻擊目標（有的是針對系統中特定文件，有的是針對系統本身，有的是針對網絡資源等）。勒索病毒根據攻擊針對目標的不同可以分為加密型、鎖屏型和挖礦型三種類型的勒索病毒。從目標導向來看，勒索病毒又可分為傳統的非定向型勒索攻擊和定向勒索攻擊兩種類型。

1.1 加密型

文件加密勒索病毒是最常見的一種勒索病毒（感染文件加密勒索病毒后的癥狀如圖1所示），它旨在加密計算機或網絡上的文件并阻止用戶訪問這些文件，攻擊者會給受害者發送一條消息，要求其繳納一定數量的贖金，以便獲得解密密鑰，進而解鎖文件。文件加密勒索病毒能夠快速傳播，因為它可以通過電子郵件發送、嵌入惡意網站或通過受感染的網絡傳送。

1.2 鎖屏型

鎖屏型勒索病毒是一種旨在將用戶鎖定在他們的設備之外的攻擊行為（感染鎖屏勒索病毒后的癥狀如圖2所示）。此類勒索病毒通常會在用戶屏幕上顯示一條消息，要求用戶支付贖金以解鎖設備。其中，移動勒索病毒是一種專門針對移動設備設計的鎖屏型勒索病毒。它通常由應用程序提供，可用于將用戶鎖定在他們的設備之外或竊取個人信息。

1.3 挖礦型

挖礦型勒索病毒是一種與加密貨幣相關的勒索攻擊軟件，旨在從計算機或網絡中竊取計算能力以挖掘加密貨幣，攻擊者通過由竊取算力所挖掘出的加密貨幣進行出售以獲利。

1.4 非定向勒索攻擊

非定向勒索攻擊采用“非定向大規模傳播→加密數據→收取贖金→解密數據”單線作業模式。早期的非定向攻擊者會采用傳統的擴散蠕蟲或釣魚投放等方式進行發散式的傳播，且不會預先對目標進行偵查、評估與篩選，對于攻擊的收益也沒有精確預估。隨后對中了勒索病毒的設備關鍵數據進行加密，發布以解密操作為酬勞并收取贖金進行解密的攻擊模式。當前，非定向勒索攻擊者大多會選用RaaS（勒索即服務）平臺或僵尸網絡渠道，采取“廣撒網”的方式對勒索病毒進行傳播侵入，威脅攻擊對象主要為中小企業與政府機構等單位。

1.5 定向勒索攻擊

定向勒索攻擊是一種針對有價值的攻擊目標進行定向勒索，采用“定向攻擊→數據竊取→加密數據→收取贖金解密”“定向攻擊→數據竊取→加密數據→不交贖金→曝光數據”的新型作業模式。定向勒索攻擊的特征是事先有非常明確的攻擊目標，再“有組織、有預謀、有步驟”地發動威脅攻擊，以牟取巨額收益。

2 勒索病毒的攻擊原理

勒索病毒可以通過多種方式感染系統，通過但不限于：社會工程學、惡意軟件、網絡釣魚、系統漏洞以及爆破攻擊等多種技術方式來獲得對受害者系統的訪問權限，讓受害者感染上勒索病毒[3-4]。

2.1 社會工程學

社會工程學是操縱人們提供機密信息或采取有利于攻擊者行動的過程，一般是通過電子郵件或電話詐騙來完成，攻擊者偽裝成合法組織以獲取對個人信息或密碼的訪問權限，如冒充公安局、檢察院、法院等有關權威部門套取個人敏感信息數據。

2.2 惡意軟件

惡意軟件旨在利用系統中的安全漏洞，通常用于在計算機或網絡上下載和執行勒索病毒。惡意軟件可以通過電子郵件、惡意網站或移動存儲設備等方式傳播。

2.3 網絡釣魚

網絡釣魚是一種通過發送看似來自合法組織的消息來獲取機密信息的技術，這些消息通常包含惡意鏈接或附件，點擊后會下載勒索病毒并在用戶設備上執行。

2.4 漏洞利用

勒索病毒會利用系統中的漏洞來感染系統，這些漏洞可能是未修復的安全漏洞或者是用戶使用的弱密碼等情況。

2.5 爆破攻擊

爆破攻擊是利用爆破技術（如爆破RDP、SMB、MySQL、VNC等）對受害人設備實施爆破行為獲取設備系統訪問權限的一種軟件攻擊技術[5]。

一旦勒索病毒成功感染了系統，它會加密用戶的文件。通常，勒索病毒會加密用戶的文檔、照片、音樂和視頻等常見的文件類型。勒索病毒使用強加密算法對文件進行加密，使得文件無法被用戶訪問。新型的勒索病毒在加密用戶文件之后，勒索病毒會向用戶發送勒索信息，要求用戶支付贖金以獲得解密密鑰。通常，這些勒索信息會以彈窗或文本文檔的形式出現在用戶的屏幕上。

3 勒索病毒攻擊過程

勒索病毒的攻擊過程一般分為五個階段，具體攻擊過程如圖3所示。

第一階段：初始訪問階段。通過存在漏洞的邊緣設備，如虛擬化設備、VPN和服務器等媒介，依據初始訪問向量，通過特定工具下載到設備上，建立交互式訪問。

第二階段：掃描、獲取憑證階段。此階段，攻擊者首先對攻擊的設備進行系統掃描以更好地了解設備和網絡，然后攻擊者確定雙重勒索或三重勒索攻擊的目標文件。

第三階段：部署攻擊資源階段。攻擊者從網絡攻擊突破口、部署網絡攻擊資源、部署遠程訪問工具并滲透入侵組織內部網絡。

第四階段：勒索病毒運行階段。此階段勒索病毒啟動運行，對文件識別和加密，禁用系統恢復功能，竊取備份數據，同時攻擊者保留文件解密的私鑰。

第五階段：實施勒索階段。攻擊者向目標主機發出感染警告，釋放勒索信，說明如何支付贖金（一般是加密貨幣），同時攻擊者在此階段對有價值的文件進行加密和威脅進行多重勒索，結束勒索攻擊過程。

4 勒索病毒的防范措施

勒索病毒的攻擊手段日益復雜，因此需要多種措施來保護自己不受勒索病毒的攻擊，以下是一些常見的防范措施。

4.1 增強入口防護能力

增強入口防護能力主要是指從避免爆破攻擊、漏洞利用、橫向滲透、社工釣魚以及漏洞熱補丁免疫等多個方面，強化系統免受勒索病毒攻擊的能力。

4.1.1 爆破攻擊防護

爆破攻擊防護是要構筑起能精準識別爆破RDP、SMB、MySQL、VNC等爆破行為并能自動封禁攻擊IP訪問的一套軟件行為防護能力。

爆破攻擊防護建議從以下方面實施具體防護：1） 限制登錄嘗試次數。可以采用限制登錄嘗試次數的方法，對用戶的登錄嘗試次數進行限制，一旦超過一定次數，就會被系統自動屏蔽，以防止暴力破解。2） 登錄驗證碼。可以采用登錄驗證碼的方法，在用戶登錄時，要求用戶輸入一個登錄驗證碼，以防止暴力破解。3） 定期更換密碼。可以要求用戶定期更換密碼，以增加系統安全性，防止暴力破解。4） IP地址限制。可以采用 IP地址限制的方法，只允許特定的 IP 地址登錄系統，以防止暴力破解。5） 雙因素認證。建議采用雙因素認證的方法，在用戶登錄時，除了輸入用戶名和密碼之外，還要求用戶輸入一個動態的認證碼，以防止暴力破解。

4.1.2 漏洞利用防護

漏洞利用防護主要是能夠支持對多種熱門高危漏洞利用攻擊的防御，從網絡側對攻擊行為進行阻斷。

漏洞利用防護可從以下五方面實施防護：1） 采取全面的網絡安全措施，其中包括安裝、配置和維護安全軟件、安全設備、安全策略和安全管理系統，以遏制漏洞利用防護勒索病毒的攻擊。2） 定期進行系統和應用程序的更新，以保護網絡免受漏洞利用防護勒索病毒的攻擊。3） 配置完整的安全審計系統及實施監控和及時發現網絡安全事件的措施，以有效防范漏洞利用防護勒索病毒的攻擊。4） 建立嚴格的訪問控制機制及限制訪問外部設備的策略，限制可能發起攻擊的用戶的訪問權限。5） 定期培訓員工，以增強其網絡安全知識，及時發現和處理可能發起攻擊的可疑行為。

4.1.3 橫向滲透防護

橫向滲透防護主要是能防止內網機器對其他機器通過遠程執行風險操作、修改共享目錄等方式橫移的技術防護能力。

橫向滲透防護建議可從以下幾方面具體防護：1） 采用多層防護：在網絡層面阻止勒索病毒的攻擊，可以采取一些常見的措施，如安裝防火墻、配置安全策略、定期更新安全補丁等，以防止未知的攻擊行為。2） 進行安全審計：定期對網絡系統進行安全審計，檢查是否存在安全漏洞，檢查服務器和網絡設備的安全配置，及時發現和修復安全漏洞。3） 實施雙重身份驗證：采用雙重身份驗證機制可有效防止勒索病毒的攻擊，這一機制要求用戶在登錄系統時，除了輸入用戶名和密碼外，還需要通過其他方式，如短信驗證碼，令牌等來完成雙重身份驗證。4） 對遠程登錄和共享進行限制：禁止不必要的遠程登錄和共享，限制服務器和網絡設備的遠程登錄，限制無須共享的文件、文件夾等資源。5） 建立完善的報警機制：設置網絡報警系統，及時發現網絡異常情況，如賬號被盜取，有病毒入侵等，及時采取措施，防止勒索病毒的攻擊。

4.1.4 社工釣魚防護

社工釣魚防護能力主要指建立對特定渠道新入樣本進行監控并能基于樣本來源和行為鏈進行風險識別的一套軟件防護技術能力。

社工釣魚防護可從以下幾方面防護：1） 安裝防火墻，阻止社會工程學和網絡釣魚等攻擊。防火墻可以攔截未經授權的網絡流量，從而保護網絡安全。2） 安裝殺毒軟件，以便及時查找出病毒、木馬或其他惡意程序。3） 使用高強度密碼，確保登錄信息的安全。4） 定期備份，以備突發事件時協助恢復數據。5） 使用可信的訪問控制機制，確保只有授權用戶才可以訪問數據。6） 通過對網絡中的設備進行管理，實時監測網絡設備狀態，及時發現潛在的安全威脅。

4.1.5 漏洞熱補丁免疫

漏洞熱補丁通常被認為是保護系統免受惡意攻擊的好方法，它通過安裝系統漏洞補丁，在不影響系統正常運行的情況下，快速、有效地修復系統中發現的安全漏洞，從而阻止勒索病毒的攻擊。漏洞熱補丁免疫是對如Win7等停服系統缺乏漏洞補丁或不適合安裝補丁時，提供使用免疫無損的保護終端能力。其熱補丁應用方法可以采取以下三種：1） 安裝安全補丁。安全補丁可以修復系統中的安全漏洞，并使其不易受到勒索病毒攻擊。2） 實施網絡安全策略。實施網絡安全策略可以有效防止勒索病毒的攻擊，這些策略包括限制對網絡的訪問權限、屏蔽不可信IP地址、阻止未經許可的網絡流量等。3） 實施基本安全措施。實施基本的安全措施也能防止勒索病毒攻擊，基本安全措施主要包括定期備份數據、禁用不必要的服務、及時安裝安全補丁等。

4.2 備份和恢復

備份和恢復是防范勒索病毒攻擊的最佳措施之一。定期備份重要數據可以幫助受害者恢復其數據，而無須支付贖金。建議備份數據的最佳方式是將數據備份到外部存儲設備或云存儲中，確保備份數據與受攻擊系統隔離開來。

4.3 安裝安全軟件

安裝殺毒軟件、反間諜軟件和防火墻可以提高系統的安全性。這些安全軟件可以檢測和清除惡意軟件，或者阻止惡意軟件的安裝。

4.4 確保操作系統和軟件程序的安全性

勒索病毒常常利用操作系統和軟件程序中的漏洞來感染系統。因此，定期更新操作系統和軟件程序非常重要，以確保它們能夠及時修復漏洞。

4.5 用戶培訓

鑒于勒索病毒攻擊的普遍性和嚴重性，實施對用戶的相關培訓、采取措施降低攻擊風險變得非常重要。通過用戶培訓以識別勒索病毒攻擊的跡象，是防范勒索病毒攻擊的另一個重要措施。用戶培訓時，建議培訓內容包括但不限于使用戶了解勒索病毒的危害，學會識別勒索病毒的攻擊途徑，例如電子郵件、郵件附件、鏈接和未知來源的下載以及避免使用弱口令等內容。

4.6 使用加密和備份工具

使用加密和備份工具可以有效地保護數據。加密可以防止勒索病毒攻擊者訪問敏感數據，備份工具可以確保數據備份，以便在數據丟失或損壞時進行恢復。

4.7 建立應急響應計劃

建立應急響應計劃可以幫助組織在遭受勒索病毒攻擊時迅速采取行動。這個計劃包括：1） 安排備份和恢復的程序；2） 確定通知誰以及何時通知；3） 確定如何處理勒索病毒攻擊；4） 建立聯系信息，以便在緊急情況下快速聯系專業人員；5） 檢測和清除勒索病毒。

如果發現自己的系統已經感染勒索病毒，可以嘗試使用殺毒軟件或其他恢復工具來清除惡意軟件。但是，如果文件已經被加密，那么恢復數據可能會非常困難，甚至無法恢復。因此，我們應該采取預防措施，而不是等到受到攻擊后再采取相關防護措施。

5 結論

勒索病毒攻擊是一種嚴重的網絡安全威脅，可以對個人用戶、企業等造成嚴重的經濟損失。本文從勒索病毒的概念、危害、類型、攻擊原理等方面闡述了勒索病毒的相關理論，分析了勒索病毒的攻擊過程，探究了勒索病毒的防范措施，并給出了相關具體防護建議。我們應該采取多種防范措施相結合的方法，最大程度地減少勒索病毒攻擊的危害，防范風險，保護敏感數據和業務的連續性。

參考文獻：

[1] ADEBAYO O.Cybersecurity for Ransomware Attack： Principles and Practices[M].Advances in Cybersecurity. IGI Global，2022：1-15.

[2] SARKAR S， SHARMA P. Preventing Ransomware Attacks： Countermeasures and Best Practices[M].Advances in Cybersecurity. IGI Global， 2022： 32-45.

[3] 馮淑華.勒索病毒攻擊原理及防范措施[J].安全技術， 2021（4）： 83-86.

[4] 郭瑞芳，張玉鵬，蘇俊.勒索病毒攻擊及其防御技術研究[J].計算機科學， 2021（3）： 84-86.

[5] KUMAR V， GUPTA M， SINGH S. A review on ransomware attacks， detection and prevention techniques[J].Computer Science Review， 2020，37：100303.

【通聯編輯：代影】