勒索软件的特征和防范

勒索软件的特征和防范

01

勒索软件的概念和特征

自1989年勒索软件出现至今，这一恶意代码不但没有走向消亡，反而伴随着互联 应用的发展愈演愈烈。从最初的伪装反病毒软件到勒索比特币，再到开始感染不同平台，不断进行开发与更新，如今勒索软件已经呈现出爆发式增长的趋势，对 络安全构成了巨大的威胁。

1. 勒索软件的概念

勒索软件（Ransomware）属于木马家族中的特殊类型。一旦勒索软件安装在设备上并启动它时，它就会企图感染和控制设备。比如，它会搜索有特定扩展名的重要文件，如txt、doc、ppt和jpg等，之后使用加密算法对设备上的文件进行加密或者锁定设备屏幕，这导致用户无法访问他们的文件或设备。此外，勒索软件还会通过威胁性文字恐吓用户，如果用户想要解锁设备或者恢复被加密的文件需要给攻击者支付相应的赎金。

勒索软件除针对传统的个人计算机之外，还将移动智能终端作为主要攻击对象。随着智能手机等移动智能终端应用越来越普及，智能终端所遭受到的安全威胁也越来越多。其中手机勒索软件就是近年来针对智能手机的一种危害极大的安全威胁，并有愈演愈烈的趋势。手机勒索软件是一种恶意应用，这种恶意应用通过锁住用户设备或加密文件，使用户无法正常使用，并以此胁迫用户支付解锁或解密费用的恶意软件，给用户移动设备带来了巨大安全威胁。不同于其他类别的恶意软件，勒索软件无法通过被移除来使得用户恢复对设备或者文件的控制权。

2. 勒索软件的主要传播方式

勒索软件同其他恶意代码类似，同样采用多种途径进行传播，例如短信、 站、邮件等。图6-27显示了典型勒索软件的攻击流程。

■ 图6-27 勒索软件的攻击流程

勒索软件的传播手段主要以邮件传播为主，同时也借助一些安全配置不高的Web服务器，通过入侵Web 站，使用批量脚本及其勒索软件负载的简单组合，通过半自动化的方式向 络中散播勒索软件。随着人们对勒索软件的警惕性提高，勒索者也增加了其他的传播渠道，具体的传播方式如下。

（1）邮件传播。攻击者以垃圾邮件方式大量传播垃圾邮件、钓鱼邮件，一旦收件人打开邮件附件或者点击邮件中的链接地址，勒索软件会以用户看不见的形式在后台静默安装，实施勒索。

（2）漏洞传播。当用户正常访问 站时，攻击者利用页面上的恶意广告验证用户的浏览器是否存在可利用的漏洞。如果存在，则利用漏洞将勒索软件下载到用户的主机。

（3）捆绑传播。与其他恶意软件捆绑传播，并实现不同恶意软件之间的协同功能。

（4）僵尸 络传播。一方面僵尸 络可以发送大量的垃圾邮件，另一方面僵尸 络为勒索软件的发展起到了支撑作用。

（5）可移动存储介质、本地和远程的驱动器（如C盘和挂载的磁盘）传播。恶意软件会自我复制到所有本地驱动器的根目录中，并成为具有隐藏属性和系统属性的可执行文件。

（6）文件共享 站传播。勒索软件存储在一些小众的文件共享 站，等待用户点击链接下载文件。

（7） 页挂马传播。当用户不小心访问恶意 站时，勒索软件会被浏览器自动下载并在后台运行。

（8） 交 络传播。勒索软件以 交 络中的.JPG图片或者其他恶意文件载体传播。

另外，手机勒索软件主要伪装成游戏外挂、低俗视频播放器、Adobe Flash Player、杀毒软件等，运行时要求用户激活设备管理器，并强行将勒索界面置顶，造成手机无法正常使用，更有甚者加密手机SD卡，使用前置摄像头对用户进行拍照上传、设置新锁屏密码等恶意行为。

3. 勒索软件的分类

根据勒索软件攻击方式的不同，将勒索软件分为控制设备类、绑架数据类和恐吓用户类3种类型。

（2）绑架数据类。勒索软件实施敲诈勒索的第二个重要方法是绑架受害者的数据，包括数据加密、隐私窃取和文件贩卖等。近几年来，智能手机变得越来越私有化，很多重要的数据都保存在这些设备上。因此，攻击者可以通过加密或者窃取用户数据的方式对用户进行敲诈。通常，他们会选择性地加密对用户有价值的文件，例如文档、密钥、短信等。相比普通系统文件，一旦这些有价值文件被加密或窃取，用户支付赎金以降低损失的可能性会更大。

（3）恐吓用户类。恐吓用户类勒索软件本身并没有控制设备或者绑架数据的能力，只是利用用户的恐惧心理达到攻击目的。一般情况下，它们会扮演当地政府机构控告用户违反了严重的法律规定或者发现了严重的安全威胁，并给出详细的处罚说明．例如，控告用户访问了色情 站，违反了互联 管理条例等。这些指控往往看起来非常真实，没有经验的用户会感到紧张并试图支付罚款。

02

勒索软件的发展及典型勒索软件介绍

从1989年第一款勒索软件出现开始，早期的勒索软件主要是针对Windows平台，直到2013年第一款针对Android平台的勒索软件（即Fakedefender）才开始出现，并快速威胁到智能终端的安全。

1. 勒索软件的演进过程

在 络安全领域，勒索软件虽然出现较早，但一直没有引起广泛关注，只是近年来随着互联 应用的普遍，勒索软件成为 络安全最大的威胁之一。

（1）最早的勒索软件。最早的勒索软件出现于1989年，是由哈佛大学毕业的Joseph Popp编写。该勒索软件发作后，计算机C盘的全部文件名会被加密，从而导致系统无法启动。此时，屏幕将显示信息，声称用户的软件许可已经过期，要求用户向“PC Cyborg”公司位于巴拿马的邮箱寄去189美元，以解锁系统。该木马采取的方式为对称加密，解密工具很快可恢复文件名称。

（2）加密用户文件的勒索软件。2005年出现了一种加密用户文件的木马（Trojan/Win32.GPcode）。该木马在被加密文件的目录下生成，具有警告性质的txt文件，要求用户购买解密程序。所加密的文件类型包括：.doc、.html、.jpg、.xls、.zip、.rar等。

（3）首次使用RSA加密的勒索软件。Archievus是在2006年出现的勒索软件，勒索软件发作后，会对系统中“我的文档”目录中所有内容进行加密，并要求用户从特定 站购买来获取密码解密文件。它在勒索软件的历史舞台上首次使用RSA非对称加密算法，使被加密的文档更加难以恢复。

（5）最早出现的Android平台勒索软件家族。2014年4月下旬，勒索软件陆续出现在以Android系统为代表的移动智能终端，而较早出现的为Koler家族（Trojan[rog,sys,fra]/Android.Koler）。该类勒索软件的主要行为是：在用户解锁屏及运行其它应用时，会以手机用户非法浏览色情信息为由，反复弹出警告信息，提示用户需缴罚款，从而向用户勒索高额赎金。

（6）首例Linux平台勒索软件。俄罗斯杀毒软件公司Doctor Web的研究人员发现了一种名为Linux.Encoder.1的针对Linux系统的恶意软件，这个Linux恶意软件使用C语言编写，它启动后作为一个守护进程来加密数据，以及从系统中删除原始文件，使用AES-CBC-128对文件加密之后，会在文件尾部加上“.encrypted”扩展名。

（8）首例将蠕虫和勒索功能相结合的勒索软件。2017年5月12日，一种名为WannaCry（该勒索软件的中文名称为“永恒之蓝”）的勒索蠕虫病毒在全球大范围传播，波及全球100多个国家和地区，包括政府部门、教育、医院、能源、通信、制造业等多个行业的数十万用户的 络和计算机受到攻击感染。这是一次波及全球、影响恶劣、危害严重的 络安全事件。勒索软件以前出现主要通过电子邮件等 交工程学方式传播，这一次是蠕虫技术和勒索软件结合，所以传播感染的速度很快，影响面大，造成的后果影响也较为严重。这也充分展示了 络攻击将多种攻击技术结合、复杂度和攻击强度增加、传播更加快速等趋势。

2. 典型勒索软件介绍

勒索软件的本质是木马，下面以几个典型勒索软件为例，通过对其工作过程的介绍，使读者对勒索软件有一个较为全面的认识。

（1）主攻Windows系统的CryptoLocker。CryptoLocker在2013年9月被首次发现，它可以感染Windows XP/7/8等操作系统。CryptoLocker通常以邮件附件的方式进行传播，附件执行之后会使用RSA&AES加密算法对特定类型的文件进行加密。随后，弹出如图6-28所示的勒索界面，提示需要用户使用moneypak（一种充值卡）或比特币，在72小时或4天内付款300美元或欧元，方可对加密的文件进行解密。

■ 图6-28 CryptoLocker勒索软件弹出的勒索信息

（2）勒索软件即服务模式Cerber。自2016年以来，采用勒索软件即服务（Ransomware as a Service）模式、名为Cerber的勒索软件开始爆发。攻击者在2016年下半年开始了频率极高的版本升级，仅在8月份就发现了Cerber2和Cerber3两个版本，而在10月及11月，Cerber4和Cerber5相继推出。

勒索软件即服务（RaaS）是一整套体系，指从勒索到解锁的服务。勒索软件编写者开发出恶意代码，通过在暗 中出售、出租或以其他方式提供给有需求的攻击者作为下线，下线实施攻击并获取部分分成，原始开发者获得大部分利益，在只承担最小风险的前提下扩大了犯罪规模。而采用这种服务模式的勒索软件越来越多地将目标放在了企业上，对于很多企业来说，他们不希望失去重要的数据资料，因此更愿意去支付赎金。

Cerber通过垃圾邮件和漏洞利用工具Rig-V Exploit EK传播，自Cerber4开始，它不再使用Cerber作为加密文件的后缀，而是使用4个随机字符。Cerber采用RSA2048加密文件，拥有文件夹及语言地区的黑名单，而在黑名单中的文件夹及语言地区均不能加密。

（3）可感染工控设备的LogicLocker。在2017年旧金山RSA大会上，乔治亚理工学院（GIT）的研究员向人们展示了一种名为LogicLocker，可以感染工控设施，并向中水投毒的勒索软件。该勒索软件可以改变可编程逻辑控制器（PLCs），也就是控制关键工业控制系统（ICS）和监控及数据采集（SCADA）的基础设施，例如发电厂或水处理设施。通过LogicLocker，可以关闭阀门，控制水中氯的含量并在机器面板上显示错误的读数。

LogicLocker针对3种已经暴露在互联 上的PLC，感染后修改密码，锁定合法用户并要求赎金。如果用户付钱，他们可以找回他们的PLC。但是如果没有，攻击者可以使水厂设备发生故障，或者向水中投入大量威胁生命的氯元素。

该勒索软件攻击生命周期包括对PLC的攻击、侦察并感染更多的PLC、获取设备密码和控制列表等资源、窃取并加密PLC程序及通过邮件进行勒索这几个节点。

针对工业控制系统的攻击并不少见，像Stuxnet、Flame和Duqu已经引起了全球的普遍关注。但是，利用勒索软件进行攻击是第一次，以金钱为目标的攻击者可能很快就会瞄准关键的基础设施，而在这些攻击的背后，很可能是拥有国家背景的攻击者。

（4）移动平台的勒索软件攻击。2014年4月，国内开始出现了以人民币、Q币、美元、卢布等为赎金方式的移动平台勒索软件。勒索方式有锁屏、加密文件、加密通讯录等方式，对用户手机及用户信息形成严重威胁。

国内出现的勒索软件通常伪装成游戏外挂或付费破解软件，用户点击即会锁定屏幕，要求添加QQ 为好友去支付赎金才能解锁。如图6-29所示是该类勒索软件的一个真实案例。

②用户添加该QQ 。

③显示勒索者的相关资料，在用户个人信息中可以看到勒索者的相关身份信息，但无法确保其真实性。

④在受害用户加好友以后，勒索软件编写者与其聊天，勒索人定数量的人民币，并要求用户转账到指定支付宝账户才给出解锁密码。

■ 图6-29 利用手机进行勒索的过程

03

勒索软件的防范方法

目前，虽然勒索软件的类型较多，但主要功能都是实施勒索行为。从恶意代码的特征来看，勒索软件在许多方面与木马类似。下面，介绍针对常见勒索软件的主要防范方法。

1. 解密方法

就目前而言，勒索软件多采用非对称加密方式，除使用攻击者提供的密钥外，破解密码的可能性几乎为零。现有的勒索软件解密工具主要是通过以下几个方式获得密钥，恢复被加密的文件。

（1）通过逆向分析，发现勒索软件执行上的逻辑漏洞，根据漏洞获得加密密钥或者跳过密钥直接解密文档。

（2）勒索软件保存密钥的服务器被安全厂商反制，在取得服务器权限后，将服务器内的密钥导出制作成相应勒索软件的解密工具。

（3）一些勒索软件加密算法复杂程度较低，加密过程照搬其他现有的加密算法或者只做小部分修改，使得 络安全技术人员可以编写程序暴力破解，计算出对应的解密密钥。

（4）密钥在上传的过程中没有使用加密的通讯协议，被 络安全技术人员截获解密密钥。

2. 预防勒索软件的建议

为了避免受到勒索软件的威胁，分别对个人计算机用户和Android用户日常的上 行为提一些建议。

（1）个人计算机用户。对于个人计算机用户来说，可以从以下几个方面做好勒索软件的防范工作：

①及时备份重要文件，且文件备份应与主机隔离。

②及时安装更新补丁，避免一些勒索软件利用漏洞感染计算机。

⑤定期用反病毒软件扫描系统，如杀毒软件有启发式扫描功能，可使用该功能扫描计算机。

（2）移动智能终端。对于Android平台的移动智能终端用户，可以通过以下方法防范勒索软件的攻击。

①安装手机杀毒软件。

②由可靠的安卓市场下载手机应用程序。

③尽量少或者不访问博彩、色情等潜在危险程度较大的 站。

3. 针对个人用户的勒索软件防范方法

（1）个人计算机用户。高强度加密方式绑架用户数据的勒索软件一旦感染主机，将对用户的数据安全构成严重威胁，所以，良好的安全意识和预防工作就显得非常重要。如果个人用户不慎感染勒索软件，且没有做好数据备份，则可根据勒索软件特性，如勒索界面、加密文件名等特征在 络中查找是否有相应解密工具。国内一些 络安全机构对新发布的勒索软件解密工具做了收集，可为用户提供一些的快速查找解密工具的服务。

（2）已经受到勒索软件感染的移动终端用户。对于感染勒索软件的移动终端用户来说，可采取以下方法删除恶意程序：

①如果手机已root并开启USB调度模式，可进入adb shell 后直接删除恶意应用。

②如果是利用系统密码进行锁屏，部分手机可尝试利用找回密码功能。

③可进入手机安全模式删除恶意应用程序。

04

针对企业用户的勒索软件防范方法

对于企业用户来说，针对勒索软件类的安全威胁防护可从预警、防御、保护、处置和审计几个步骤来进行有效防御和处理，保护系统免受攻击。在病毒查杀的基础上，结合勒索软件的行为特性，采用了“边界防御+主动防御+文档安全工具”的三重防御模式，可以有效阻止已知和未知勒索软件的进入、启动和破坏等行为。

05

参考书籍

《 络安全技术-微课视频版》

定价：59.80元

06

精彩推荐