盘一盘，勒索软件的认知与防范

“勒索软件”，又一次在恶意软件攻击中站稳了”C位”。

来自Positive Technologies公司最新发布的一份调查 告中一个令人不安的发现，勒索软件攻击数量在2021年第二季度再创新高，目前占所有涉及恶意软件攻击的69%。研究还表明，针对政府机构的勒索软件攻击数量也从2021年第一季度的12%飙升至第二季度的20%。

一、日益猖獗的勒索软件

信息技术加速发展的今天，勒索软件似乎总能找到 络安全防护的空子，给各组织机构带来重创。盘点2021上半年，勒索软件攻击愈发频繁，引发了多起重大安全事件。

3月，计算机巨头宏碁（Acer）受到勒索软件REvil攻击，被勒索5000万美元赎金；5月，美国最大燃油运输管道商Colonial Pipeline（科洛尼尔管道运输公司）遭受勒索软件攻击，导致美国东海岸燃油供应因此受到严重影响，迫使美国宣布进入国家紧急状态。同时还有，安盛保险公司遭遇Avaddon勒索软件攻击，3TB敏感数据被窃；日本东芝公司法国分公司遭受DarkSide勒索软件攻击，740G机密信息和个人资料被职业勒索组织窃取等等……

勒索软件宛若成为全球企业组织的噩梦，深恐被其惦记纠缠。而被勒索的企业组织，往往就只有两条路：要么乖乖交钱，息事宁人；要么拒绝到底，却难以善终。

追根揭底，勒索软件就是黑客用来劫持用户资产或资源实施勒索的一种恶意程序。黑客利用勒索软件，通过加密用户数据、更改配置等方式，使用户资产或资源无法正常使用，并以此为条件要求用户支付费用以获得解密密码或者恢复系统正常运行。其主要的勒索形式就是文件加密、系统锁定、数据泄露、锁屏等等，通常以钓鱼邮件、 页挂马、远程登录入侵、供应链传播等方式进行传播。这么看似乎很容易理解，但在现实应对时却往往难上加难。

二、进阶的勒索软件攻击

现如今，对那些 络安全存在薄弱环节、防护意识跟不上节奏、人为操作易违规失误的，被勒索组织当做“香饽饽”的企业组织，越来越多的不法分子开始使用“双重勒索”策略进行攻击，完全不讲究“武德”。

“双重勒索”，即不法分子在加密企业文件的同时，还窃取被勒索公司的数据并进行备份，如果企业不交钱，他们就威胁曝光或售卖数据。数据被加密尚可以通过备份恢复，可一旦机密数据泄露，企业不仅品牌声誉大损，还要承担法律责任，还可能要赔偿客户远高于赎金的损失。

随着勒索软件背后的 络犯罪团伙依靠不当资金大肆发展，不断创造新变种，“改良”勒索方式。勒索软件即服务（RaaS）的服务已然在勒索行业内兴盛起来，形成了又一种商业模式。犯罪团伙通过在非法市场提供能够访问其他公司内部 络的权限，降低勒索的技术门槛，让更多不法分子尝试入侵勒索企业组织，然后从中分得利益，还分摊了犯罪活动的风险，一举多得。

面对这样猖獗的勒索软件，企业组织究竟应当做些什么？

三、勒索软件防范措施

常规的勒索软件防御措施包括有：

1.资产盘点。企业尽快建立对业务运营至关重要的数据资产的完整清单，存储资产清单的系统应严格控制；

2.端点防护。由于许多勒索软件感染都是从受感染的工作站开始的，因此使用端点反恶意软件非常重要。从浏览器中删除不需要的插件和扩展，保持软件为最新并确保员工帐户具有有限的特权也至关重要；

3.安全加固。企业应通过执行内部和外部渗透测试并确定暴露于互联 的任何潜在易受攻击的系统、服务器和 络远程连接（例如VPN或RDP），启用高熵密码（消灭弱密码）和双因素身份验证（2FA）。

国家互联 应急中心（CNCERT）近期发布的《勒索软件防范指南》也提出了九要、四不要：

“九要”

1、要做好资产梳理与分级分类管理。清点和梳理组织内的信息系统和应用程序，建立完整的资产清单；梳理通信数据在不同信息系统或设备间的流动方向，摸清攻击者横向移动可能路径；识别内部系统与外部第三方系统间的连接关系，尤其是与合作伙伴共享控制的区域，降低勒索软件从第三方系统进入的风险；对信息系统、数据进行分级分类，识别关键业务和关键系统，识别关键业务和关键系统间的依赖关系，确定应急响应的优先级。

2、要备份重要数据和系统。重要的文件、数据和业务系统要定期进行备份，并采取隔离措施，严格限制对备份设备和备份数据的访问权限，防止勒索软件横移对备份数据进行加密。

3、要设置复杂密码并保密。使用高强度且无规律的登录密码，要求包括数字、大小写字母、符 ，且长度至少为8位的密码，并经常更换密码；对于同一局域 内的设备杜绝使用同一密码，杜绝密码与设备信息（例如IP、设备名）具有强关联性。

4、要定期安全风险评估。定期开展风险评估与渗透测试，识别并记录资产脆弱性，确定信息系统攻击面，及时修复系统存在的安全漏洞。

5、要常杀毒、关端口。安装杀毒软件并定期更新病毒库，定期全盘杀毒；关闭不必要的服务和端口，包括不必要的远程访问服务（3389端口、22端口），以及不必要的135、139、445等局域 共享端口等。

6、要做好身份验证和权限管理。加强访问凭证颁发、管理、验证、撤销和审计，防止勒索软件非法获取和使用访问凭证，建议使用双因子身份认证；细化权限管理，遵守最小特权原则和职责分离原则，合理配置访问权限和授权，尽量使用标准用户而非管理员权限用户。

7、要严格访问控制策略。加强 络隔离，使用 络分段、 络划分等技术实现不同信息设备间的 络隔离，禁止或限制 络内机器之间不必要的访问通道；严格远程访问管理，限制对重要数据或系统的访问，如无必要关闭所有远程管理端口，若必须开放远程管理端口，使用白名单策略结合防火墙、身份验证、行为审计等访问控制技术细化访问授权范围，定期梳理访问控制策略。

8、要提高人员安全意识。为组织内人员和合作伙伴提供 络安全意识教育;教育开发人员开发和测试环境要与生产环境分开，防止勒索软件从开发和测试系统传播到生产系统。

9、要制定应急响应预案。针对重要信息系统，制定勒索软件应急响应预案，明确应急人员与职责，制定信息系统应急和恢复方案，并定期开展演练；制定事件响应流程，必要时请专业安全公司协助，分析清楚攻击入侵途径，并及时加固堵塞漏洞。

“四不要”

4、不要插拔来历不明的存储介质。不要随意将来历不明的U盘、移动硬盘、闪存卡等移动存储设备插入机器。

在此之外，企业组织还需要有更专业的安全分析人员对企业中潜在的威胁活动进行分析，及时发现企业中存在的潜在威胁，中断后面被勒索攻击的风险。现在的黑客组织一般在进入企业之后，会在企业潜伏数天，数周，数月或更长时间，谁能在这个期间更早的发现企业中存在的潜在安全威胁，谁才能有效的阻止企业被黑客进行勒索病毒攻击的可能。

此时，可以安装部署聚铭 络流量智能分析审计系统，提高勒索软件攻击的安全风险预警能力。

聚铭 络流量智能分析审计系统（简称：iNFA）是以全流量还原为基础，结合失陷分析、 络攻击检测、威胁情 分析、异常流量行为挖掘、文件检测、 络质量检测等技术，可对 络流量实时进行威胁感知、可疑流量分析，为用户在面对高级威胁入侵时，及时察觉，及时止损。

系统内置多种 络攻击检测策略，支持对一般 络攻击、明文传输、过期系统或软件、木马检测、隐蔽通道、电子加密货币活动、勒索软件进行检测，支持检测的类型可达数十种。

【勒索软件检测】

系统支持对各类勒索软件进行检测，包括其登录行为、横向扩散行为等，检测的类型包括但不限于永恒之蓝、GandCrab、Satan 等。

目前，聚铭 络流量智能分析审计系统已广泛应用于电信、能源、医疗、教育、金融等多个行业，并获得了客户的认可与肯定。