肆虐全球的勒索软件如何防御？

日前，360互联网安全中心发布了《2017勒索软件威胁形势分析报告》，报告指出，2017年勒索软件继续呈现出全球性蔓延态势，攻击手法和病毒变种也进一步多样化。特别是5月份全球爆发的永恒之蓝勒索蠕虫WannaCry和随后在乌克兰等地流行的Petya病毒，使人们对于勒索软件的关注达到了空前的高度。

如果说，挂马攻击是2016年勒索软件攻击的一大特点，那么2017年，勒索软件的攻击则呈现出以下六个明显的特点：无C2服务器加密技术流行、攻击目标转向政企机构、攻击目的开始多样化、勒索软件平台化运营、影响大的家族赎金相对少、境外攻击者多于境内攻击者。

攻 | 勒索软件的六大攻击特点

1、无C2服务器加密技术流行

报告发现，2017年黑客在对文件加密的过程中，一般不再使用C2服务器，而是采用了无C2服务器加密技术。这也就意味着不需要联网，勒索病毒也可以对终端完成加密，甚至是在隔离网环境下，依然可以对文件和数据进行加密。

2、攻击目标转向政企机构

2017年勒索软件的攻击进一步聚焦在高利润目标上，其中包括高净值个人、连接设备和企业服务器。特别是针对中小企业网络服务器的攻击急剧增长，已经成为2017年勒索软件攻击的一大鲜明特征。据不完全统计，2017年，约15%的勒索软件攻击是针对中小企业服务器发起的定向攻击，尤以Crysis、xtbl、wallet、arena、Cobra等家族为代表。

3、针对关键信息基础设施的攻击

以WannaCry、类Petya为代表的勒索软件，则是将关键信息基础设施作为了主要攻击目标，这在以往是从未出现过的严峻情况。关键基础设施为社会生产和居民生活提供公共服务，保证国家或地区社会经济活动正常进行，其一旦被攻击将严重影响人们的日常生活，危害巨大。

4、攻击目的开始多样化

在我们的认知中，勒索软件目的就是勒索钱财，但这种传统认知在2017年被打破，以进行网络及组织破坏为目的的勒索软件已经出现并开始流行，其中最为典型的代表就是类Petya，类Petya的代码不是为了向受害者勒索金钱，而是要摧毁一切。类Petya病毒的主要攻击目的就是为了破坏数据而不是获得金钱。此外，以Spora为代表的窃密型勒索软件在加密用户文档时，还会窃取用户账号密码和键盘输入等信息，属于功能复合型勒索软件。

5、勒索软件平台化运营

2017年勒索软件已经不再是黑客单打独斗的产物，而是做成平台化的上市服务，形成了一个完整的产业链条。在勒索软件服务平台上，勒索软件的核心技术已经直接打包封装好了，小黑客直接购买调用其服务，即可得到一个完整的勒索软件。这种勒索软件的生成模式我们称其为RaaS服务，而黑市中一般用“Satan Ransomware（撒旦勒索软件）”来指代由RaaS服务生成的勒索软件。

6、境外攻击者多于境内攻击者

2017年勒索软件的攻击源头以境外为主，绝大多数的勒索软件攻击者基本都是境外攻击者，国内攻击者较少，而且国内攻击者技术水平也相对较低，制作水平也不高。有些国内攻击者编写的勒索软件程序甚至存在很多漏洞，因此也比较容易被破解。比如：MCR勒索病毒，我们可以直接获取到密钥从而恢复文件。

防 | 勒索软件的新防御技术

在反勒索软件方面，以下技术最有可能成为主流趋势：文档自动备份隔离保护技术、智能诱捕技术、行为追踪技术、智能文件格式分析技术和数据流分析技术等。对于企业级用户来说，云端免疫技术、密码保护技术等也将起到至关重要的作用。

1、文档自动备份隔离保护

文档自动备份隔离技术是360独创的一种勒索软件防护技术。这一技术在未来一两年内可能会成为安全软件反勒索技术的标配。只要电脑里的文档出现被篡改的情况，它会第一时间把文档自动备份在隔离区保护起来，用户可以随时恢复文件。无论病毒如何变化，只要它有篡改用户文档的行为，就会触发文档自动备份隔离，从而使用户可以免遭勒索，不用支付赎金也能恢复文件。

2、综合性反勒索软件技术

与一般的病毒和木马相比，勒索软件的代码特征和攻击行为都有很大的不同。采用任何单一防范技术都是不可靠的。综合运用各种新型安全技术来防范勒索软件攻击，已经成为一种主流的技术趋势,相关技术主要包括：智能诱捕、行为追踪、智能文件格式分析、数据流分析等。

3、云端免疫技术

由云端直接下发免疫策略或补丁，帮助用户电脑做防护或打补丁；对于无法打补丁的电脑终端，免疫工具下发的免疫策略本身也具有较强的定向防护能力，可以阻止特定病毒的入侵；除此之外，云端还可以直接升级本地的免疫库或免疫工具，保护用户的电脑安全。但是，云端免疫技术只是一种折中方案，并不是万能或一劳永逸的，未打补丁系统的安全性仍然存在隐患，但就当前国内众多政企机构的实际网络环境而诺言，云端免疫不失为一种有效的解决方案。

4、密码保护技术

具体来看，加强密码保护主要从三个方面入手：一是采用弱密码检验技术，强制网络管理员使用复杂密码；二是采用反暴力破解技术，对于陌生IP的登陆位置和登陆次数进行严格控制；三是采用VPN或双因子认证技术，从而使攻击者即便盗取了管理员帐号和密码，也无法轻易的登陆企业服务器。