勒索軟件已經成為當今網絡安全的主流威脅之一。如果說前幾年我們對勒索軟件這一名詞還略感陌生，那么現在則不得不重新對其進行認識與審視。安天最早從2014年開始全面跟蹤勒索軟件專題的惡意程序， 2014年4月30日，安天接到用戶稱其專門攻擊wps辦公系統的惡意郵件附件，確認攻擊者為CTB-Locker（敲詐者），并發布《“攻擊WPS”樣本實為敲詐者》，2015年發布系統全面地介紹勒索軟件的報告《揭開勒索軟件的真面目》。之后的2016年是勒索軟件大規模爆發的一年，隨著勒索軟件攻擊趨向本地化、多語言化的發展，我國也從一個過去很少受到勒索軟件感染的國家變成如今受感染最嚴重的國家之一。

　　自1989年勒索軟件出現至今，已有近三十年的歷史，漫長的歲月不但沒有使其逐漸消亡，反而愈演愈烈。從最初的偽裝反病毒軟件到勒索比特幣，再到開始感染不同平臺，不斷進行開發與更新，如今勒索軟件已然呈爆發性增長，成為不可小覷的威脅。因此，我們必須要重視這一威脅，并提早部署有效的防御措施，安天等很多網絡安全廠商也都在其安全防護產品中添加了針對勒索軟件的防護模塊。本文我們將回顧以往關于勒索軟件的內容，并結合2016年至今勒索軟件發生的新變化，更加系統和深入地帶領讀者認識勒索軟件。

　　一、何謂勒索軟件

　　勒索軟件（Ransomware）是一種流行的木馬，通過騷擾、恐嚇甚至采用綁架用戶文件等方式，使用戶數據資產或計算資源無法正常使用，并以此為條件向用戶勒索錢財。這類用戶數據資產包括文檔、郵件、數據庫、源代碼、圖片、壓縮文件等多種文件。贖金形式包括真實貨幣、比特幣或其它虛擬貨幣。一般來說，勒索軟件作者還會設定一個支付時限，有時贖金數目也會隨著時間的推移而上漲；有時，即使用戶支付了贖金，最終也還是無法正常使用系統，無法還原被加密的文件。

　　暗網又稱深網、不可見網、隱藏網，即指那些存儲在網絡數據庫里，但不能通過網頁跳轉的訪問方式，而需要通過動態網頁技術訪問的資源集合，不屬于那些可以被標準搜索引擎索引的表面網絡。

　　隨著互聯網的迅速發展，一些非法分子利用網絡匿名的特性，通過比特幣的交易形式開始了一些不為人知的非法交易。匿名支付的網絡特性在一定程度上為不法分子通過比特幣進行的交易給予了很大的支撐。比特幣是一種通過密碼編碼，在復雜算法的大量計算下產生的電子貨幣。暗網具有一定的隱秘性，在保護隱私的同時，也為犯罪分子提供了安全的窩巢。那么，比特幣和暗網一旦結合，則使整個勒索過程變得密不透風。在有些攻擊者給出的勒索信上，甚至還“貼心”地介紹了進入暗網的方法，比特幣的購買方法和支付方法。

　　二、主要傳播手段

　　勒索軟件的傳播手段主要以成本較低的郵件傳播為主。同時也有針對醫院類特定組織的攻擊，通過入侵組織內部的服務器，使用批量腳本及其勒索軟件負載的簡單組合，通過半自動化的方式向網絡中散播勒索軟件。隨著人們對勒索軟件的警惕性提高，勒索者也增加了其他的傳播渠道，具體的傳播方式如下：

　　●郵件傳播：攻擊者以廣撒網的方式大量傳播垃圾郵件、釣魚郵件，一旦收件人打開郵件附件或者點擊郵件中的鏈接地址，勒索軟件會以用戶看不見的形式在后臺靜默安裝，實施勒索；

　　●漏洞傳播：當用戶正常訪問網站時，攻擊者利用頁面上的惡意廣告驗證用戶的瀏覽器是否有可利用的漏洞。如果存在，則利用漏洞將勒索軟件下載到用戶的主機；

　　●捆綁傳播：與其他惡意軟件捆綁傳播；

　　●僵尸網絡傳播：一方面僵尸網絡可以發送大量的垃圾郵件，另一方面僵尸網絡為勒索軟件即服務(RaaS)的發展起到了支撐作用；

　　●可移動存儲介質、本地和遠程的驅動器（如C盤和掛載的磁盤）傳播：惡意軟件會自我復制到所有本地驅動器的根目錄中，并成為具有隱藏屬性和系統屬性的可執行文件；

　　●文件共享網站傳播：勒索軟件存儲在一些小眾的文件共享網站，等待用戶點擊鏈接下載文件；

　　●網頁掛馬傳播:當用戶不小心訪問惡意網站時，勒索軟件會被瀏覽器自動下載并在后臺運行；

　　●社交網絡傳播:勒索軟件以社交網絡中的.JPG圖片或者其他惡意文件載體傳播（見圖1）。

　　三、勒索軟件的演進（見圖2）

　　1.最早的勒索軟件

　　已知最早的勒索軟件出現于1989年，是由哈佛大學畢業的Joseph Popp創建。該勒索軟件發作后，C盤的全部文件名也會被加密（從而導致系統無法啟動）。此時，屏幕將顯示信息，聲稱用戶的軟件許可已經過期，要求用戶向“PC Cyborg”公司位于巴拿馬的郵箱寄去189美元，以解鎖系統。作者在被起訴時曾為自己辯解，稱其非法所得費用用于艾滋病研究。該木馬采取的方式為對稱加密，解密工具很快可恢復文件名稱，但該惡意代碼開啟了近30年的勒索軟件攻擊。

　　2.加密用戶文件的勒索軟件

　　2005年出現了一種加密用戶文件的木馬（Trojan/Win32.GPcode）。該木馬在被加密文件的目錄下生成，具有警告性質的txt文件，要求用戶購買解密程序。所加密的文件類型包括：.doc、.html、.jpg、.xls、.zip及.rar。

　　3.首次使用RSA加密的勒索軟件

　　Archievus是在2006年出現的勒索軟件，勒索軟件發作后，會對系統中“我的文檔”目錄中所有內容進行加密，并要求用戶從特定網站購買來獲取密碼解密文件。它在勒索軟件的歷史舞臺上首次使用RSA加密算法。RSA是一種非對稱加密算法，讓加密的文檔更加難以恢復。

　　4.國內首個勒索軟件

　　2006年出現的Redplus勒索木馬（Trojan/Win32.Pluder），是國內首個勒索軟件。該木馬會隱藏用戶文檔和包裹文件，然后彈出窗口要求用戶將贖金匯入指定銀行賬號。2007年，出現了另一個國產勒索軟件QiaoZhaz，該木馬運行后會彈出“發現您硬盤內曾使用過盜版了的我公司軟件，所以將您部分文件移動到鎖定了的扇區，若要解鎖將文件釋放，請電郵liugongs19670519@yahoo.com.cn購買相應軟件”的對話框。

　　5.最早出現的Android平臺勒索軟件家族

　　2014年4月下旬，勒索軟件陸續出現在以Android系統為代表的移動終端，而較早出現的為Koler家族（Trojan[rog,sys,fra]/Android.Koler）。該家族主要行為是：在用戶解鎖屏及運行其它應用時，會以手機用戶非法瀏覽色情信息為由，反復彈出警告信息，提示用戶需繳罰款，從而向用戶勒索高額贖金。

　　6.首例Linux平臺勒索軟件

　　俄羅斯殺毒軟件公司Doctor Web的研究人員發現了一種新的勒索軟件，命名為Linux.Encoder.1，該勒索軟件是針對Linux系統的惡意軟件。這個Linux惡意軟件使用C語言編寫，它啟動后作為一個守護進程來加密數據，以及從系統中刪除原始文件，使用AES-CBC-128對文件加密之后，會在文件尾部加上“.encrypted”擴展名。

　　7.首例具有中文提示的勒索軟件

　　安天在2016年2月發現一款新的勒索軟件家族，名為“Locky”，它通過RSA-2048和AES-128算法對100多種文件類型進行加密，同時在每個存在加密文件的目錄下提示勒索文件。經過安天CERT研究人員分析發現，這是一類利用垃圾郵件進行傳播的勒索軟件，是首例具有中文提示的比特幣勒索軟件?！癓ocky”和其他勒索軟件的目的一致，都是加密用戶數據并向用戶勒索金錢。與其他勒索軟件不同的是，它是首例具有中文提示的比特幣勒索軟件，這預示著勒索軟件作者針對的目標范圍逐漸擴大，勒索軟件將發展出更多的本地化版本。

　　四、典型勒索軟件家族分析

　　勒索軟件的本質是木馬，下面以幾個典型勒索軟件家族為例，詳細地介紹其勒索過程，力求揭開勒索軟件的真面目。

　　1.主攻Windows的CryptoLocker

　　CryptoLocker在2013年9月被首次發現，它可以感染大部分的Windows操作系統，包括：Windows XP、Windows Vista、Windows 7、Windows 8。CryptoLocker通常以郵件附件的方式進行傳播，附件執行之后會使用RSA&AES對特定類型的文件進行加密。并彈出勒索窗體，如圖3所示：

　　彈出付款窗口，需要用戶使用moneypak或比特幣，在72小時或4天內付款300美元或歐元，方可對加密的文件進行解密。

　　2.匿名交易CTB-Locker

　　CTB-Locker是Curve-Tor-Bitcoin Locker的縮寫，是當前全球影響較大的勒索軟件家族，主要通過郵件附件傳播，使用高強度的加密算法，加密用戶系統中的文檔、圖片、數據庫等重要資料。加密完成后，CTB-Locker會采用彈出窗體和修改桌面背景等方式，提示用戶支付贖金，并要求用戶在96小時內支付8比特幣（約合人民幣1萬元）贖金，否則將銷毀用戶文件。該家族在國外一直很活躍，國內也陸續出現受害者。該家族的另一個特點是使用洋蔥路由（Tor），通過完全匿名的比特幣交易方式獲取贖金，這使得該勒索軟件的作者難以追蹤。

　　3.勒索軟件即服務模式Cerber

　　自2016年開始，采用勒索軟件即服務（Ransomware-as-a-Service）模式，名為Cerber的勒索軟件開始爆發。攻擊者在2016年下半年開始了頻率極高的版本升級，僅在8月份就發現了Cerber2和Cerber3兩個版本，而在10月及11月，Cerber4和Cerber5相繼推出。

　　勒索軟件即服務（RaaS）是一整套體系，指從勒索到解鎖的服務。勒索軟件作者開發出惡意代碼，通過在暗網中出售、出租或以其他方式提供給有需求的攻擊者作為下線，下線實施攻擊并獲取部分分成，原始開發者獲得大部分利益，在只承擔最小風險的前提下擴大了犯罪規模。而采用這種服務模式的勒索軟件越來越多地將目標放在了企業上，對于很多企業來說，他們不希望失去重要的數據資料，因此更愿意去支付贖金。

　　Cerber通過垃圾郵件和漏洞利用工具Rig-V Exploit EK傳播，自Cerber4開始，它不再使用Cerber作為加密文件的后綴，而是使用4個隨機字符。Cerber采用RSA2048加密文件，擁有文件夾及語言地區的黑名單，而在黑名單中的文件夾及語言地區均不能加密。

　　4.中文提示勒索軟件Locky

　　安天CERT在2016年2月份發現了一款新的勒索軟件家族，名為“Locky”。它通過RSA-2048和AES-128算法對100多種文件類型進行加密，同時在每個存在加密文件的目錄下釋放一個名為_Locky_recover_instructions.txt的勒索提示文件。經過安天CERT研究人員分析發現，這是一類利用垃圾郵件進行傳播的勒索軟件，是首例具有中文提示的比特幣勒索軟件。

　　Locky惡意代碼樣本運行后，顯示中文的提示信息，如圖所示。

　　Locky樣本的本地行為：復制自身到系統臨時目錄%Temp%下，并重新命名為svchost；對系統中的文件進行遍歷，判斷文件后綴名是否在樣本內置的列表中，若存在，則對樣本進行加密操作；在多個文件夾中創建提示文件_Locky_recover_instructions.txt；在桌面上創建文件_Locky_recover_instructions.bmp；將該文件設置為桌面背景，提示用戶如何操作可以成功恢復被加密的文件；添加相關注冊表鍵值；刪除系統還原快照。

　　5.“傳銷”解密的PopcornTime

　　自2016年末開始，一種名為PopcornTime的新型勒索軟件逐漸活躍。該勒索軟件正在不斷地被進行新版本的開發，研究人員還在暗網中發現了該勒索軟件的源代碼。該勒索軟件有一個與眾不同的特點：除了支付1個比特幣解密文件之外，還可以將惡意代碼鏈接發送給其他人，如果兩名以上的受害者支付了贖金，最初的受害者就可以獲得免費的解密密鑰。受害者很有可能為了解密文件而將勒索軟件傳播出去，這種方式也許會成為勒索軟件發展的新趨勢。

　　PopcornTime在后臺加密特定目錄、特定后綴名的用戶文件。特定目錄包括：我的文檔、圖片、音樂和桌面共四個文件夾，特定后綴名共500余種。解密方式除了正常的支付比特幣，增加了“傳銷”解密的方式，即只要發展兩個下線（讓其他兩個人中招且支付贖金），就可以獲取解密密鑰。

　　6.典型勒索軟件家族對比

　　安天CERT對以上五個典型勒索軟件家族特點進行了總結，如表1所示。

　　7.可感染工控設備的LogicLocker

　　在2017年舊金山RSA大會上，喬治亞理工學院（GIT）的研究員向人們展示了一種可以感染工控設施，向中水投毒的勒索軟件，名為LogicLocker。它可以改變可編程邏輯控制器（PLCs），也就是控制關鍵工業控制系統（ICS）和監控及數據采集（SCADA）的基礎設施，例如發電廠或水處理設施。通過LogicLocker，他們可以關閉閥門，控制水中氯的含量并在機器面板上顯示錯誤的讀數。

　　LogicLocker針對三種已經暴露在互聯網上的PLC，感染后修改密碼，鎖定合法用戶并要求贖金。如果用戶付錢，他們可以找回他們的PLC。但是如果沒有，攻擊者可以使水廠設備發生故障，或者向水中投入大量威脅生命的氯元素。

　　該勒索軟件攻擊生命周期包括對PLC的攻擊、偵察并感染更多的PLC、獲取設備密碼和控制列表等資源、竊取并加密PLC程序及通過郵件進行勒索這幾個節點。如圖所示：

　　針對工業控制系統的攻擊并不新鮮，Stuxnet、Flame和Duqu已經給我們以震驚。但是對于勒索軟件的攻擊卻是頭一次，以金錢為目標的攻擊者可能很快就會瞄準關鍵的基礎設施，而在這些攻擊的背后，很可能是擁有國家背景的攻擊者們。

　　8.移動平臺勒索軟件開始愈演愈烈

　　2014年4月，隨著國外開始出現移動平臺勒索軟件，國內也很快出現了類似軟件，并且有愈演愈烈的趨勢。目前國內外出現移動平臺的贖金方式有人民幣、Q幣、美元、盧布等，勒索方式有鎖屏、加密文件、加密通訊錄等方式。據了解該類軟件爆發后，國內已經有上千人的手機受到感染，這類勒索軟件的發展將對用戶手機及資料形成嚴重威脅。

　　國內出現的勒索軟件通常偽裝游戲外掛或付費破解軟件，用戶點擊即會鎖定屏幕，需加手機界面留下的QQ號為好友，去支付贖金才能解鎖。

　　下圖所示是該類勒索軟件的一個真實案例。受害用戶手機被鎖定，勒索軟件作者在手機界面給出QQ號碼，要求受害用戶加QQ好友并支付一定贖金才能解鎖。

　　用戶加該QQ后會提示回答驗證問題。在該案例中，可以看到勒索者的相關資料，在用戶個人信息中可以看到勒索者的相關身份信息，但無法確保其真實性。

　　在受害用戶加好友以后，勒索軟件作者與其聊天，勒索人民幣20元，并要求用戶轉賬到指定支付寶賬戶才給出解鎖密碼。據了解，該勒索軟件作者同時也對其他Android手機用戶進行勒索行為，并且在受害用戶支付贖金后，未能提供解鎖密碼。甚至還在勒索軟件中加入短信攔截木馬功能，盜取用戶支付寶和財富通賬戶。有時，受害用戶在多次進行充值、轉賬等方式后，仍不能獲得解鎖密碼，甚至會被勒索軟件作者將受害用戶加入黑名單。

　　五、防御：我該做什么

　　1.解密方法

　　就目前而言，勒索軟件多采用非對稱加密方式，除使用攻擊者提供的密鑰外，破解密碼的可能性幾乎為零?，F有的勒索軟件解密工具主要是通過以下幾個方式獲得密鑰，恢復被加密的文件：

　　●研究人員通過逆向分析，發現勒索軟件執行上的邏輯漏洞，根據漏洞獲得加密密鑰或者跳過密鑰直接解密文檔。

　　●有些勒索軟件保存解密密鑰的服務器被當地警方發現，警方在服務器中找到了大量密鑰。這些密鑰是由感染勒索軟件的計算機生成，后上傳到此服務器中保存的。它們在感染者交付贖金后被用作加密文檔的解密密鑰。警方與一些技術公司合作，根據從服務器中取出的解密密鑰制作了相應的解密工具。

　　●勒索軟件保存密鑰的服務器被安全廠商反制，在取得服務器權限后，將服務器內的密鑰導出制作成相應勒索軟件的解密工具。

　　●解密密鑰被其他競爭對手泄露或是勒索軟件作者主動將密鑰交出。

　　●一些勒索軟件加密算法復雜程度較低，加密過程照搬其他現有的加密算法或者只做小部分修改，使得研究人員可以編寫程序暴力破解，計算出對應的解密密鑰。

　　●密鑰在上傳的過程中沒有使用加密的通訊協議，被技術人員截獲解密密鑰。

　　2.預防勒索軟件的部分安全建議

　　為了避免受到勒索軟件的威脅，安天針對不同用戶給出如下建議：

　　● PC用戶

　　及時備份重要文件，且文件備份應與主機隔離；及時安裝更新補丁，避免一些勒索軟件利用漏洞感染計算機；盡量避免打開社交媒體分享的來源不明的鏈接，給信任網站添加書簽并通過書簽訪問；對非可信來源的郵件保持警惕，避免打開附件或點擊郵件中的鏈接；定期用反病毒軟件掃描系統，如殺毒軟件有啟發式掃描功能，可使用該功能掃描計算機。

　　● Android平臺的移動終端用戶

　　安裝手機殺毒軟件（比如LBE安全大師、安天AVL Pro等）；由可靠的安卓市場下載手機應用程序；盡量少或者不訪問博彩、色情等潛在危險程度較大的網站。

　　3.針對個人用戶的勒索軟件解決方案

　　● PC用戶

　　高強度加密方式綁架用戶數據的勒索軟件一旦感染主機，將對用戶的數據安全構成嚴重威脅，所以，良好的安全意識和預防工作就顯得非常重要。如果個人用戶不慎感染勒索軟件，且沒有做好數據備份，則可根據勒索軟件特性，如勒索界面、加密文件名等特征在網絡中查找是否有相應解密工具。如安天持續關注勒索軟件動態，對新發布的勒索軟件解密工具做了收集，可方便用戶快速查找解密工具。

　　●已經受到勒索軟件感染的移動終端用戶

　　對于感染勒索軟件的移動終端用戶來說，可采取以下方法刪除惡意程序：如果手機已root并開啟USB調度模式，可進入adb shell后直接刪除惡意應用；如果是利用系統密碼進行鎖屏，部分手機可嘗試利用找回密碼功能；可進入手機安全模式刪除惡意應用程序。

　　4.企業用戶的全方位勒索軟件解決方案

　　對于企業用戶來說，針對勒索軟件類的安全威脅防護可從預警、防御、保護、處置和審計幾個步驟來進行有效防御和處理，保護系統免受攻擊。以安天企業安全產品“智甲”為例，即是從這幾方面入手進行防御和處理的，在病毒查殺的基礎上，結合勒索軟件的行為特性，采用了“邊界防御+主動防御+文檔安全工具”的三重防御模式，可以有效阻止已知勒索軟件和未知的勒索軟件的進入、啟動和破壞等行為，并且具有不依賴病毒特征的檢測防護能力，從而保護用戶數據和文件的安全。

　　六、總結

　　從2016年勒索軟件爆發式的增長趨勢來看，勒索軟件目前已泛濫成災，呈現爆發趨勢，僅在下半年內就出現了數以千計的勒索軟件變種，攻擊對象已由傳統辦公終端擴展到了服務器終端，一旦感染將成為個人與企業用戶的噩夢。而且，新型勒索軟件的出現表現出了攻擊者正在不斷地更新傳播方式、開發大量變種以及將勒索軟件作為一種商業模式來開展，除了加密用戶的數據文件勒索錢財外，極有可能發起更具有針對性的攻擊。

　　據專家推測，在未來一段時間內，勒索軟件攻擊事件將會持續增長。造成這種情況的原因主要包括：勒索軟件能讓攻擊者短時間內就獲得豐厚利潤，在利益驅動下，將會有越來越多攻擊者加入其中；攻擊者通過匿名支付和匿名網絡實現贖金的交易，犯罪隱藏性高，難以捕獲；研發勒索軟件的技術水平相對較低，現在甚至有了制作平臺，很多沒有技術能力的人員也可以加入到這條黑產鏈條當中。在未來，勒索軟件會進一步復合化，與目前的黑產合流，走向更多的系統平臺，攻擊范圍會越來越大。針對勒索軟件的防御將會成為安全產品面臨的巨大挑戰。

　　在勒索軟件防御方面，現有防御措施已暴露出許多不足之處，首先很多勒索軟件攻擊者采用社工攻擊手段，通過釣魚郵件、網站掛馬的方式實現攻擊，防火墻等網絡防御手段不能完全地阻攔勒索軟件進入網絡；其次由于每天都有大量新型勒索軟件問世，傳統的基于文件特征的方式很難準確檢測出這些病毒。

　　但是，無論現今勒索軟件采用何種攻擊手段，其最終都需要在終端上才能完成攻擊行為，因此加強終端的反病毒能力才是防勒索的核心。并且殺毒產品的檢測手段，不能只依賴于傳統的病毒特征，要提供更有效更準確的檢測方式。

<menuitem id="zjj55"></menuitem>

<menuitem id="zjj55"></menuitem>

<big id="zjj55"></big>

責任編輯：韓希宇