勒索软件：深具“故事情节”的信息安全“控制者”

如果你还沉浸在让平安夜不那么“平安”的电影《绝对控制》中令人无处可逃的互联 智能设备编织的冰冷密 中，那么，请睁开眼来，现实生活中同样存在着深具“故事情节”的信息安全“控制者”——勒索软件。

影片主人公家中所有全智能家居被人远程控制

近日，IBM旗下安全部门IBM Security发布 告称，2016年带有勒索软件的垃圾邮件数量同比增长了6000%，近40%的垃圾信息中都带有勒索软件。令人担忧的是，这种“业务模式”非常奏效：70%的商业用户受害者向黑客支付了赎金，其中，50%的支付额超过了1万美元，20%超过4万美元，除了企业用户，个人消费者也未能幸免。

勒索软件是什么？

所谓的勒索软件就是一种恶意软件，是目前通过 络勒索金钱的常用工具。具体来讲，它是一种 络攻击行为，可立即锁定目标用户文档、邮件、数据库、源代码、图片、压缩文件等各种文件以及应用程序、数据库信息、业务系统相关的重要信息，直到受害者支付赎金才能通过攻击者提供的密钥恢复访问。

勒索软件专门以用户文件为攻击目标，同时会避免破坏系统文件。其中的原因是，一方面可确保用户会收到相关通知，以告知他们的文件所遭到的攻击；另一方面，用户也能够通过一定的方法支付赎金以取回他们的文件。对文件进行加密后，此类恶意软件通常会自我删除，并留下某种形式的文档 —— 这个文档会指示受害者如何支付赎金，并重新获得对加密文件的访问权限。某些变体还会向受害者设定支付时限，并威胁如果在此时限之前未收到付款，则会增加赎金的价格，甚至删除密钥/解密工具。

期限到 赎金增

勒索软件的发送方式通常包括：漏洞攻击包、水坑式攻击、电子邮件、恶意广告，或者大规模的 络钓鱼活动。一旦发送成功，勒索软件一般通过某种嵌入式文件扩展名列表来识别用户文件和数据。勒索软件还会通过编程，避免影响某些系统目录（例如 Windows 系统目录或某些程序文件目录），以确保负载运行结束后，系统仍然保持稳定，以使客户能够支付赎金。

勒索软件常见发送方式

勒索软件的“前世今生”

第一个勒索软件病毒AIDS Trojan由哈佛大学毕业的Joseph L.Popp在1989年创建。2万张受感染的软盘被分发给国际卫生组织国际艾滋病大会的与会者。该木马的主要武器是对称加密，解密工具很快可恢复文件名称，这开启了近30年的勒索软件攻击。

但自此，勒索软件似乎进入了沉寂期，直到2006年“Archievus”的出现。这个勒索软件更加难以移除，并在勒索软件历史上首次使用RSA加密，会对系统中“我的文档”目录中所有内容进行加密，并要求用户从特定 站来购买以获取密码解密文件。Archiveus也是第一个使用非对称加密的勒索软件。

到了2010年以后，勒索软件进入了活跃期，几乎每年都有新种类推出，危害性也越来越大。2016年，勒索软件呈现出“肆虐”发展态势，这一年简直成为了勒索软件的“狂欢年”。

2016年11月底，美国旧金山市交通系统遭勒索软件感染，黑客入侵了旧金山市交通局（MUNI），超过2000台计算机系统被黑。据当地媒体 道，市交通局收到的勒索是，除非支付价值73,000美元的比特币作为赎金，否则该政府机构的电脑依旧在入侵者的掌控之中。

美国旧金山市交通系统遭勒索软件感染

勒索软件已经足够可恶了，而安全专家发现，勒索软件正变得更加恶劣。“中招”后，如果用户不按时付款，它就有可能泄露敏感信息，这是策略上的新变化。

除此之外，还有一个新的变化。恶意软件研究人员在暗 中发现了一种名为 PopcornTime 的勒索软件，并不需要你缴纳赎金，但如果要获得免费的解锁密码，你必须帮助软件发布者感染另外两位有效用户。有效用户是指你感染的那两位用户，必须要缴纳赎金1比特币（约合人民币5390元）。

可是，这样一个让人分分钟爆炸的勒索软件，居然背后还蕴藏着“情怀”。这位来自叙利亚的开发者在勒索信息中表示：“要么支付赎金，要么感染其他的用户。该勒索软件的收入将用于为饱受战乱的叙利亚平民提供食物、医疗和临时居所。” 如果是你，你将作何选择，爱心？金钱？朋友？信息？

十条防范建议

面对这种勒索软件的攻击，安全专家提出了以下十条防范建议：

1

屏蔽弹窗

犯罪分子们经常利用弹窗来传播恶意软件。为了避免不慎点中，最好的办法就是直接将其全部屏蔽。

2

保持怀疑：不点击可疑对象

不要点击任何我们所不熟悉的电子邮件或者附件，同时避免访问那些可疑的 站。由于大部分感染都源自用户操作——例如打开附件或者访问 站——因此保持警惕之心是降低损失的最佳方法。

3

数据备份和恢复

可靠的数据备份可将勒索软件带来的损失最小化，但同时也要对这些数据备份进行安全防护，避免被感染和损坏。

4

电子邮件安全

钓鱼邮件是目前勒索软件传播的主要方式，有条件的单位和用户应该部署电子邮件防护产品，对所有的电子邮件附件进行病毒扫描。

5

终端防护

由于终端的可移动性，很容易将来自外部的威胁(包括勒索软件)带入内部 络，因此应该对包括移动终端在内的所有主机进行防护，采取的措施除了安装传统的杀毒软件外，还应安装补丁管理、Web内容过滤以及主动防护类的病毒防护产品等。

6

络隔离

目前勒索软件已可通过局域 传播，为了防止勒索软件的扩散，应该采取有效的 络隔离措施，将关键的业务服务程序、数据和设备隔离到独立的 络中，防止来自 络的感染。

7

采用多层防护的 络安全策略

很多勒索软件与APT攻击相结合，单一的防护手段无法抵御，应该采取多种防护手段相结合方式搭建多层的 络安全防护体系，如：高级威胁防护、 关防病毒、入侵防御以及其他基于 络的安全防护手段。

8

对加密 络流量的监测

当前采用SSL/TLS加密的Web服务越来越多，如果勒索软件通过加密的Web服务传播，就能够绕过传统的防护手段。因此，必须采取支持SSL监测的防护手段，检测SSL加密会话中存在的威胁。

9

新攻击防御技术部署

随着当今威胁趋势的不断演化，出现成熟且具有目标性的零时差攻击。为了阻止这些攻击，需通过沙箱分析和访问最新的全球威胁情 获得先进的动态保护。

10

安全意识培训

进行持续的安全教育培训是十分必要的，应当了解勒索软件的传播方式，如 交媒体、不可信 站、不可信下载源、垃圾邮件和钓鱼邮件等。

END