勒索软件的防护及应对策略

◆赵小娟

（洛阳广播电视大学 河南 471000）

勒索软件的防护及应对策略

◆赵小娟

（洛阳广播电视大学 河南 471000）

勒索软件自1898年出现以来，逐渐发展和成熟，近几年来有愈演愈烈的趋势，已成为个人和企业用户必须面对的最危险的网络威胁之一。本文从2016年勒索软件攻击事件开始，详细介绍了勒索软件的运行机制和传播途径，最后结合勒索软件的案例给出了勒索软件的防护策略，和用户受到勒索软件感染后应采取的措施。

勒索软件；Ransomware；恶意程序；网络攻击

0 背景

在众多的网络恶意软件中，勒索软件（Ransomware）是一种以勒索钱财为主要目的的恶意木马程序，秘密安装在受害者的设备(电脑、智能手机、可穿戴设备等)上，通过锁定系统或加密文件和硬盘设备等方式，干扰用户对设备的正常使用，并以此为条件对用户进行勒索活动。

勒索软件不是新鲜事物，1989年第一款勒索软件——"PC Cyborg”恶意程序出现，它通过加密用户硬盘上的文件名，迫使用户支付189美元的赎金才能解密。之后勒索软件开始逐渐发展和演化，它以这样或那样的形式出现已经有20多年的历史。勒索软件攻击目标从个人扩到了企业、政府、医疗机构及银行系统，攻击的范围也从电脑扩大到了移动智能手机、物联网（IoT）设备如闭路电视、儿童智能手表等设备，近几年来有愈演愈烈的趋势。2016年2月，一家好莱坞医院网络系统受到勒索软件的攻击，被迫支付了$17,000比特币，才得以重新上线。2016年11月25日至26日，勒索软件成功攻击旧金山的Muni地铁，迫使它给乘客免费乘车。2016年12月1日，一种被称为 Gooligan Android的恶意勒索软件出现，导致每天有13,000 台安卓设备遭受攻击，是第一款恶意获取100多万台安卓设备的ROOT的权限的勒索软件。勒索软件在国内也有愈演愈烈的趋势。亚信安全在2016年10月份发布的《中国地区2016年第3季度安全威胁报告》中指出，2016年是个名副其实的勒索之年，而且攻击手段变化多样、不断翻新[1]。中国成为勒索软件感染最严重国家之一，2016增长数量超过67倍[1]。

勒索软件已迅速成为企业和个人用户必须面对的最危险的网络威胁之一，在全球造成的损失已达数百亿美元。目前勒索软件的成熟度和威胁性已达到了新的高度，大部分的勒索软件采取的先进的攻击技术，与网络间谍技术的攻击方式相似，一次可以攻击到数万台电脑，被加密的文件经常无法进行解密。企业或终端用户必须充分意识到勒索软件的危险性，采取合理的多层次的防御措施，减少受勒索软件攻击的机会。本文从勒索软件的攻击流程、加密机制入手，重点提出了勒索软件的防护策略，以及遭遇勒索软件攻击后应该如何来应对。

1 勒索软件相关知识

1.1 什么是勒索软件

勒索软件(Ransomware)[2]是一种恶意软件，通过控制受害人的文件、电脑系统或者移动设备进行勒索，直到支付赎金才能正常使用。被感染的操作系统包括Windows、Mac OS X和Linux。一些勒索软件的变种能够穿过网络并加密所有存储在共享或网络驱动上的文件。目前最流行的一种勒索软件是加密常用的文件，比如用户的文档、图片、音频或者视频文件。通过一种强加密技术（2048位或者更多），使得这些文件不能够被恢复，除非获得一种解密秘钥。下面的图标列出了最近几年研究者们辨别出来的一些勒索软件的种类。

图1 几种主要的勒索软件种类[2]

一旦被感染的电脑上的文件被加密后，受害人的电脑上就会弹出勒索信息，详细说明解密这些文件的步骤。下面的屏幕截图是一些勒索信息样本：

图2 勒索软件弹出的提示信息[3]

勒索软件被认为是向用户勒索钱财最有效的手段。控制用户的重要数据后，网络犯罪者向受害者制造害怕或恐慌场景，进而迫使受害者不得不支付赎金来获取解密秘钥。

1.2 勒索软件如何进行传播

勒索软件的传播手段有很多种类。

一种常用的途径是通过包含恶意的附件或者链接的网络钓鱼邮件。用户不加怀疑地打开这些附件或者链接后就会被勒索软件感染，这些邮件很少是勒索软件，它们宁愿采取不明显的文档，这些文档一旦被打开，勒索软件就会从外部服务器下载并执行。

第二种途径是受害人缺少相关知识，会不加怀疑地点击恶意链接，并被间接指向一种恶意站点，该站点包含了自动下载和安装勒索软件的脚本。

第三种途径，勒索软件的感染矢量可能来自于恶意广告，利用用户的浏览器到服务器间的漏洞，安装勒索软件（通常被认为是路过式下载）。这些广告可能来自于恶意网站，如果广告服务被盗用的话，这些广告也可能来自于合法网站。

第四种途径是攻击者破解一些正版软件，并加入虚假链接，如将 Downloader、抢红包神器捆绑了一些不必要的隐藏链接，用户在安装软件时可能会将链接激活从而导致感染。

除了以上几种常见的传播手段之外，勒索软件还演化出一些新型的传播手段：

（1）通过远程桌面连接进入并控制受害人的电脑：一种名为“袋鼠”（Kangaroo）的软件就是黑客通过远程桌面连接，恶意控制受害人的电脑后，运行Kangaroo程序，进而对用户硬盘上的文件进行加密；

（2）网页聊天方式：JIGSAW 勒索软件就是通过公开的聊天平台——onWebChat与受害者进行聊天，并将恶意脚本嵌入到特定网站，诱导另一端的用户打开链接，感染系统文件并向罪犯支付赎金的；

（3）将包含恶意程序的邮件伪装成求职简历的形式{4}，发送至HR的邮箱：网络罪犯先将一张未经许可的库存图片和一个伪装成简历的自解压的可行性文件或者是 PDF文件（该文件释放一个恶意的32位PE文件）压缩到一个文件中， 然后将该压缩文件放入云存储软件dropbox上面，在写求职简历时，将邮件的链接指向这个压缩文件，从而感染HR的电脑系统；

（4）将恶意软件嵌入图像和图形文件的新型攻击向量ImageGate[5]：攻击者把恶意代码植入图片文件中，然后将图片上传至Facebook和LinkedIn等社交应用软件上，再利用社交媒体的配置漏洞恶意迫使受害人下载图片文件[5]，一旦终端用户点击下载完成的文件，该用户的私人设备上的所有文件会自动加密，只有支付赎金后才能继续使用。

1.3 勒索软件如何进行攻击

勒索软件是一种发展完善的价值不菲的犯罪产业，目前有许多种不同种类的勒索软件，但它们中的大部分攻击流程非常相似[2]；

勒索软件将自身（通常是.exe可执行文件）复制到用户电脑上；

勒索软件完成在电脑上的安装——通常是在用户的帮助下，比如打开附件或者双击一种病毒链接；

勒索软件开始快速加密受害人的文件（这种加密可以是立即进行的，或者推迟）；

当文件加密进程完成后，勒索软件弹出一种带计时器的勒索信息，并说明如何付款。一般情况下受害人会被要求下载一种洋葱（Tor）浏览器，通过在线比特币支付系统匿名支付。

勒索软件也会尝试传播到其他系统或者同一网络中感染设备，包括本地备份服务器。

下图以CTB-Locker勒索软件为例展示攻击流程：

图3 CTB-Locker的攻击流程[4]

1.4 感染勒索软件后的症状

感染勒索软件后的一个重要表现是受害人不能进入电脑系统了。屏幕上的屏保会被持久的勒索信息取代，来通知受害者按照说明支付勒索金。

常见的勒索信息包括{2}：

一段时间后被加密的数据就无法再访问；

威胁受害者要把截获的数据曝光；

宣传要通过法律途径威胁起诉受害者使其恐惧；

勒索金随着时间的推移而增长；

覆写主引导盘内容和加密盘的物理扇区导致系统不能启动；威胁受害者将删除所有数据，使所有企业电脑不可用。

一些勒索软件会向受害者设置付款的最后期限。如果到期没有支付，勒索金价格就会上涨，或者解密秘钥就会被删除，受害者就会永久失去重要文件或者永久不能进入电脑系统。

2 勒索软件的防护及解决方案

时至今日，勒索软件已经成为网络用户所面临的重要威胁之一。勒索软件在本质上是具有任意性和破坏性的；它的攻击目标包括个人和企业用户，具有灾难性的后果。如果数据没有做好备份，个人的敏感的或者隐秘的信息将会丢失。如果员工的特定文件被加密将无法工作，进而会破坏企业正常的商业运营。此外，恢复个人或者企业的电脑系统将要花费不少的财力。面对勒索软件带来的巨大危险和对日常生活造成的困扰，不管是个人还是企业，必须提高自身的安全意识。通过前面对勒索软件的传播途径和攻击流程的分析和研究，结合大量的勒索软件攻击案例的分析，笔者总结出一些针对勒索软件有效的安全防护及解决方案。

2.1 切断勒索软件的传播途径

勒索软件最好的解决方案是阻止它的发生。采取以下预防措施，可以以更好地保护电脑系统免受感染。

（1）正确设置反垃圾信息策略

大多数勒索软件的传播渠道是通过包含感染性附件的邮件。应付此类勒索木马，可以设置网页邮件服务器，阻止包含扩展名为.exe、.vbs、或者.scr附件的邮件，直接拦截带有勒索软件附件的垃圾邮件。

（2）不要打开可疑的附件

钓鱼邮件可能会伪装成来自快递公司、商业机构、执法机构或者银行的公告等，所以不要打开陌生人发的链接、也不要打开熟人发的看上去可疑的信息。一旦感染上这种病毒，网络罪犯会利用受害人的账户向更多的人提供危险链接。

（3）要经常性地对重要文件做备份

多渠道地给文件做备份，这样当任何一个单一点失败时不会导致数据不可逆的丢失。可以在网络存储应用服务中或者在其他离线的物理媒介，如移动硬盘中做备份。此外要提高数据存取的权限，只提供读/写权限，这样文件就不会被恶意修改或删除。

（4）禁用vssaexe.服务

Windows自带的系统卷影服务是一个简便工具，用来恢复以前版本的二进制文件。但是在快速对文件进行加密的恶意软件框架中，vssadmin.exe就变成了问题而不是一个好用的服务了。如果这个服务在电脑上被禁用，勒索软件就不能利用它消除影卷快照。这就意味着你可以事后用VSS去恢复被加密的文件。

（5）显示文件扩展名

去掉Windows自带的“隐藏已知文件类型的扩展名”选项，系统会提示什么类型的文件正在打开，这样就可以避开这些有潜在危害的文件。勒索软件制造者也会利用令人迷惑的技术使得一种文件可以被指定会几个扩展名。比如，一种可执行的文件看上去像一个图片文件，带有扩展名.gif。文件也会看上去想有两个扩展名，比如cute-dog.avi.exe、table.xlsx.scr，对于这种类型的文件要格外小心。一个单独的攻击向量可能是通过这种方式将恶意的宏嵌入到word文件中的。

（6）经常给软件或系统打补丁

一些勒索软件是基于软件的漏洞来感染系统的。经常给操作系统、防病毒软件、浏览器、多媒体程序播放器、Java和其他一些软件打补丁，用最新的插件更新操作系统和所有的软件来阻止对漏洞的利用。

安装并更新防病毒或者防勒索软件。一周对电脑系统至少做一次全面扫描，检测接受到的文件或者通过移动存储设备复制的文件。

（7）在浏览器中安装阻止广告或脚本植入的工具

勒索软件被安装是由于下载驱动导致的，当访问一种带有恶意脚本或广告的页面时，受害人的电脑将会受到感染。通过广告和脚本阻止工具可以有选择地阻止网页浏览器中的广告和脚本，只有用户同意才可以运行。

（8）加密敏感数据

一些勒索软件的变种只加密用户常用的文件类型，比如图片和文档。对这些常用的数据进行加密，可以阻止勒索软件的加密。对敏感或者关键数据进行加密可以防止丢失或泄露。

（9）有需要再启用微软办公软件宏

微软办公软件中宏的滥用会导致电脑感染勒索软件。以恶意的办公文档的形式诱惑受害人启用宏来访问它的内容。建议用户谨慎对待宏，只对信任的文档启用宏。

（10）应用控制

考虑到安装应用控制软件来提供应用或目录白名单。白名单会只允许已认证的程序运行而限制其他程序，是一种保护电脑系统的最安全实践措施。

2.2 切断勒索软件的攻击过程

一旦发现有可疑的进程被安装到计算机上，可以采用下列几个步骤来切断勒索软件对系统的攻击：

第一步：立即断开网络连接。在早期的网络攻击阶段，这是一种非常有效的方法，因为断网以后，勒索软件就不能用命令和控制服务器去建立连接，从而不会完成加密程序；

第二步：停止网盘同步和OneDrive同步服务。停止该服务后，计算机上的文件就不会被覆写了；禁用OneDrive同步云服务将阻止受感染的设备破坏存在云端的数据；

第三步：通过反病毒或反勒索软件应用对电脑进行扫描和杀毒。一些勒索软件会产生一些持久性对象感染电脑，如果移除不掉随后可能会重复加密数据。运行一个完整的扫描杀毒和移除ransomware(恶意)所有可能收到感染的设备。如果系统上没有安装杀毒软件或者杀毒软件不能检测，可以使用微软视窗防护或安全的必需品，还可以根据故障诊断指导运行 Windows后卫脱机工具。

2.3 恢复被感染的文件

对于已经或者正遭受勒索软件感染的用户，只有快速做出正确的反应才能避免损失，用正确的流程和技术来控制正在进行的攻击，才能最大限度地减少损失和附带损害。

直接支付勒索金这种方法风险非常大，可能会出现三种情况：勒索方拿到钱后不一定能够恢复被加密的文件；勒索方变本加厉的勒索；勒索的费用太高，得不偿失。

笔者推荐使用下面的步骤来恢复系统：

第一步：根据勒索界面上的信息判断勒索软件的种类。

找出好勒索界面上的关键信息：比特币支付地址和被加密的文件名称列表，根据勒索软件特征简单判断是何种勒索软件。可以参考下面的表格找出对应的勒索软件：

如果用户看不懂勒索信息，可以到勒索软件种类网站上：https://id-ransomware.malwarehunterteam.com/。

通过上传所收到的勒索软件的勒索提示信息或者简单的加密文件来辨别电脑所感染的勒索软件的类别。如果存在解密工具，就可以利用该工具进行解密恢复文件。

表1 勒索软件信息列表[4]

如果不存在解密工具，转到第二步；

第二步：查找被加密文件的任何可能的备份来确定数据丢失的程度。数据恢复或商业业务持续性计划有助于促进此工作。

第三步：从系统备份中恢复数据。如果之前对系统或硬盘做过备份，可以直接用备份还原工具进行恢复；建议做一次干净的安装确保勒索软件被清除干净。

2.4 求助于专业组织

受到勒索软件感染后，如果清除不掉病毒软件，并且文件或系统不可恢复，用户可以到拒绝勒索软件网站（www.nomoreran som.org）上寻求帮助。“No More Ransom”（拒绝勒索软件www.nomoreransom.org）是一个全新的在线门户网站，目的是为公众提供有关勒索软件的信息，帮助受害者在无需向网络罪犯支付赎金的前提下，恢复自己被加密的数据。

3 结束语

在丰厚勒索金的驱动下，网络罪犯正不断寻找新的技术[5]，推出新的勒索软件变种版本。勒索软件也正在向社交网络、移动设备、智能家居、智能汽车、物联网等领域渗透。勒索软件是每个互联网用户都要面临的问题，大到企业或云端的数据中心，小到消费者使用的智能设备。除了使用勒索软件解密工具之外，企业和用户必须提升安全意识，从源头上阻止勒索软件的入侵。要养成好的用网习惯，经常备份重要数据，及时更新电脑上的所有软件及补丁，删除可疑的电子邮件或图片，采取保护措施预防勒索软件的攻击。

[1]亚信安全智能防护网(SPN)以及亚信安全 TMES 监控中心(MOC). 中国地区2016年第3季度安全威胁报告.

[2]Singapore Computer Emergency Response Team (SingCERT).Ransomware.https://www.csa.gov.sg/singcert/news/a dvisories-alerts/ransomware.

[3]Microsoft Malware Protection Center. Ransomeware. https://www.microsoft.com/en-us/security/portal/mmpc/shared/ra nsomware.aspx.

[4]安天安全研究与应急处理中心(Antiy CERT). 揭开勒索软件的真面目 http://www.antiy.com/response/ ransomw are. html2015.

[5]郑辉.勒索软件2016强势来袭.信息安全，2016.