一、勒索病毒簡介與發(fā)展史

1、勒索病毒簡介

2、勒索病毒發(fā)展史

二、勒索病毒分析

1、勒索病毒爆發(fā)原因

2、勒索病毒傳播方式

三、勒索病毒趨勢分析

四、勒索病毒解決方案

1、勒索病毒入侵行為分析

2、結(jié)合勒索病毒行為特征的針對性防護思路

五、方案價值

一、勒索病毒簡介與發(fā)展史
1、勒索病毒簡介
勒索病毒是黑客通過鎖屏、加密等方式劫持用戶設(shè)備或文件，并以此敲詐用戶錢財?shù)膼阂廛浖?。黑客利用系統(tǒng)漏洞或通過網(wǎng)絡(luò)釣魚等方式，向受害電腦或服務(wù)器植入病毒，加密硬盤上的文檔乃至整個硬盤，然后向受害者索要數(shù)額不等的贖金后才予以解密，如果用戶未在指定時間繳納黑客要求的金額，被鎖文件將無法恢復(fù)。

 2、勒索病毒發(fā)展史
勒索病毒第一階段：不加密數(shù)據(jù)，提供贖金解鎖設(shè)備

      2008年以前，勒索病毒通常不加密用戶數(shù)據(jù)，只鎖住用戶設(shè)備，阻止用戶訪問，需提供贖金才能解鎖。期間以LockScreen 家族占主導(dǎo)地位。由于它不加密用戶數(shù)據(jù)，所以只要清除病毒就不會給用戶造成任何損失。由于這種病毒帶來的危害都能被很好地解決，所以該類型的勒索軟件只是曇花一現(xiàn)，很快便消失了。

勒索病毒第二階段：加密數(shù)據(jù)，提供贖金解鎖文件

2013年，以加密用戶數(shù)據(jù)為手段勒索贖金的勒索軟件逐漸出現(xiàn)，由于這類勒索軟件采用了一些高強度的對稱和非對稱的加密算法對用戶文件加密，在無法獲取私鑰的情況下要對文件進行解密，以目前的計算水平幾乎是不可能完成的事情。正是因為這一點，該類型的勒索軟件能夠帶來很大利潤，各種家族如雨后春筍般出現(xiàn)，比較著名的有CTB-Locker、TeslaCrypt、Cerber等。

勒索病毒第三階段：蠕蟲化傳播，攻擊網(wǎng)絡(luò)中其它機器

2017年，勒索病毒已經(jīng)不僅僅滿足于只加密單臺設(shè)備，而是通過漏洞或弱口令等方式攻擊網(wǎng)絡(luò)中的其它機器， WannaCry就屬于此類勒索軟件，短時間內(nèi)造成全球大量計算機被加密，其影響延續(xù)至今。另一個典型代表Satan勒索病毒，該病毒不僅使用了永恒之藍漏洞傳播，還內(nèi)置了多種web漏洞的攻擊功能，相比傳統(tǒng)的勒索病毒傳播速度更快。雖然已經(jīng)被解密，但是此病毒利用的傳播手法卻非常危險。

 二、勒索病毒分析

1、勒索病毒爆發(fā)原因
1.1.加密手段復(fù)雜，解密成本高

勒索軟件都采用成熟的密碼學(xué)算法，使用高強度的對稱和非對稱加密算法對文件進行加密。除非在實現(xiàn)上有漏洞或密鑰泄密，不然在沒有私鑰的情況下幾乎沒有可能解密。當受害者數(shù)據(jù)非常重要又沒有備份的情況下，除了支付贖金沒有什么別的方法去恢復(fù)數(shù)據(jù)，正是因為這點勒索者能源源不斷的獲取高額收益，推動了勒索軟件的爆發(fā)增長。

互聯(lián)網(wǎng)上也流傳有一些被勒索軟件加密后的修復(fù)軟件，但這些都是利用了勒索軟件實現(xiàn)上的漏洞或私鑰泄露才能夠完成的。如Petya和Cryptxxx家族恢復(fù)工具利用了開發(fā)者軟件實現(xiàn)上的漏洞，TeslaCrypt和CoinVault家族數(shù)據(jù)恢復(fù)工具是利用了key的泄露來實現(xiàn)的。

1.2.使用電子貨幣支付贖金，變現(xiàn)快追蹤難

幾乎所有勒索軟件支付贖金的手段都是采用比特幣來進行的。比特幣因為他的一些特點:匿名、變現(xiàn)快、追蹤困難，再加上比特幣名氣大，大眾比較熟知，支付起來困難不是很大而被攻擊者大量使用?？梢哉f比特幣很好的幫助了勒索軟件解決贖金的問題，進一步推動了勒索軟件的繁榮發(fā)展。

1.3.Ransomware-as-a-server（勒索服務(wù)化）的出現(xiàn)

勒索軟件服務(wù)化，開發(fā)者提供整套勒索軟件解決方案，從勒索軟件的開發(fā)、傳播到贖金收取都提供完整的服務(wù)。攻擊者不需要任何知識，只要支付少量的租金就可以開展勒索軟件的非法勾當，這大大降低了勒索軟件的門檻，推動了勒索軟件大規(guī)模爆發(fā)。

2、勒索病毒傳播方式
2.1．針對個人用戶常見的攻擊方式

  通過用戶瀏覽網(wǎng)頁下載勒索病毒，攻擊者將病毒偽裝為盜版軟件、外掛軟件、色情播放器等，誘導(dǎo)受害者下載運行病毒，運行后加密受害者機器。此外勒索病毒也會通過釣魚郵件和系統(tǒng)漏洞進行傳播。針對個人用戶的攻擊流程如下圖所示：

2.2．針對企業(yè)用戶常見的攻擊方式

勒索病毒針對企業(yè)用戶常見的攻擊方式包括系統(tǒng)漏洞攻擊、遠程訪問弱口令攻擊、釣魚郵件攻擊、web服務(wù)漏洞和弱口令攻擊、數(shù)據(jù)庫漏洞和弱口令攻擊等。其中，釣魚郵件攻擊包括通過漏洞下載運行病毒、通過office機制下載運行病毒、偽裝office、PDF圖標的exe程序等。

1）系統(tǒng)漏洞攻擊

系統(tǒng)漏洞是指操作系統(tǒng)在邏輯設(shè)計上的缺陷或錯誤，不法者通過網(wǎng)絡(luò)植入木馬、病毒等方式來攻擊或控制整個電腦，竊取電腦中的重要資料和信息，甚至破壞系統(tǒng)。同個人用戶一樣，企業(yè)用戶也會受到系統(tǒng)漏洞攻擊，由于企業(yè)局域網(wǎng)中機器眾多，更新補丁費時費力，有時還需要中斷業(yè)務(wù)，因此企業(yè)用戶不太及時更新補丁，給系統(tǒng)造成嚴重的威脅，攻擊者可以通過漏洞植入病毒，并迅速傳播。席卷全球的Wannacry勒索病毒就是利用了永恒之藍漏洞在網(wǎng)絡(luò)中迅速傳播。

  攻擊者利用系統(tǒng)漏洞主要有以下兩種方式，一種是通過系統(tǒng)漏洞掃描互聯(lián)網(wǎng)中的機器，發(fā)送漏洞攻擊數(shù)據(jù)包，入侵機器植入后門，然后上傳運行勒索病毒。

    另外一種是通過釣魚郵件、弱口令等其他方式，入侵連接了互聯(lián)網(wǎng)的一臺機器，然后再利用漏洞局域網(wǎng)橫向傳播。大部分企業(yè)的網(wǎng)絡(luò)無法做到絕對的隔離，一臺連接了外網(wǎng)的機器被入侵，內(nèi)網(wǎng)中存在漏洞的機器也將受到影響。
網(wǎng)上有大量的漏洞攻擊工具，尤其是武器級別的NSA方程式組織工具的泄露，給網(wǎng)絡(luò)安全造成了巨大的影響，被廣泛用于傳播勒索病毒、挖礦病毒、木馬等。有攻擊者將這些工具，封裝為圖形化一鍵自動攻擊工具，進一步降低了攻擊的門檻。

2）遠程訪問弱口令攻擊

由于企業(yè)機器很多需要遠程維護，所以很多機器都開啟了遠程訪問功能。如果密碼過于簡單，就會給攻擊者可乘之機。很多用戶存在僥幸心理，總覺得網(wǎng)絡(luò)上的機器這么多，自己被攻擊的概率很低，然而事實上，在全世界范圍內(nèi)，成千上萬的攻擊者不停的使用工具掃描網(wǎng)絡(luò)中存在弱口令的機器。有的機由于存在弱口令，被不同的攻擊者攻擊，植入了多種病毒。這個病毒還沒刪除，又中了新病毒，導(dǎo)致機器卡頓，文件被加密。

3）釣魚郵件攻擊

企業(yè)用戶也會受到釣魚郵件攻擊，相對個人用戶，由于企業(yè)用戶使用郵件頻率較高，業(yè)務(wù)需要不得不打開很多郵件，而一旦打開的附件中含有病毒，就會導(dǎo)致企業(yè)整個網(wǎng)絡(luò)遭受攻擊。釣魚郵件攻擊邏輯圖：

三、勒索病毒趨勢分析
1.利用漏洞和弱口令植入勒索增多

傳統(tǒng)的勒索病毒，一般通過垃圾郵件、釣魚郵件、水坑網(wǎng)站等方式傳播，受害者需要下載運行勒索病毒才會中毒。而通過漏洞和弱口令掃描互聯(lián)網(wǎng)中的計算機，直接植入病毒并運行，效率要高很多。GandCrab、Crysis、GlobeImposter等勒索病毒主要就是通過弱口令傳播，GandCrab內(nèi)部雖然不含漏洞攻擊的部分，但是有證據(jù)表明攻擊者已經(jīng)開始使用web漏洞植入此病毒，而Satan更是兇狠，不僅使用永恒之藍漏洞攻擊，還包含了web漏洞和數(shù)據(jù)庫漏洞，包括CVE-2017-10271 WebLogic WLS組件漏洞、CVE-2017-12149 JBOOS 反序列化漏洞、tomcat弱口令等，從而增加攻擊成功的概率。因此防御勒索病毒也從傳統(tǒng)的不下載可疑文件、不打開可疑附件，過渡到及時安裝系統(tǒng)和web服務(wù)的補丁，不使用弱口令密碼。

2.攻擊者入侵后人工投毒增多

攻擊者通過弱口令或者漏洞，入侵一臺可以訪問互聯(lián)網(wǎng)的計算機后，遠程操作這臺機器，攻擊局域網(wǎng)中的其它機器，這些機器雖然沒有連接互聯(lián)網(wǎng)，但是和被攻擊的機器相連，因此攻擊者可以通過這臺機器攻擊局域網(wǎng)的其它機器。所以內(nèi)外網(wǎng)隔離非常重要，否則再堅固的堡壘，一旦從內(nèi)部遭受到攻擊，就會損失慘重。

攻擊者一旦遠程登陸一臺機器，就會通過工具手工關(guān)閉殺軟，植入并運行勒索病毒，并繼續(xù)掃描攻擊局域網(wǎng)中的其它機器。此外由于局域網(wǎng)中大量機器使用弱口令和相同密碼，給攻擊者提供了便利，因此及時更新補丁非常重要。

3.勒索病毒持續(xù)更新迭代對抗查殺

GandCrab勒索（后綴GDCB、CRAB、GRAB、KRAB）、Satan勒索（后綴Satan、dbger、sicck）、Crysis勒索（后綴arena、bip）、GlobeImposter勒索（后綴reserver、Dragon444）等勒索持續(xù)更新，每隔一段時間就會出現(xiàn)一個新變種，有的修改加密算法，增加了加密速度，有的為了對抗查殺，做了免殺、反調(diào)試、反沙箱，并且后綴也會隨之改變。此外有的勒索病毒新版本開始使用隨機后綴，從而增加受害者查找所中勒索類型的難度，迫使受害者只能聯(lián)系攻擊者留下的郵箱來進行解密。

4.針對有價值目標發(fā)起定向攻擊逐漸增多

相對于廣撒網(wǎng)方式，定向攻擊植入勒索病毒的事件逐漸增多。攻擊者一般會選擇更有勒索價值的目標進行定向攻擊，包括醫(yī)院、學(xué)校、防護不足的中小企業(yè)等，這些企業(yè)通常防護不足，數(shù)據(jù)非常重要，如學(xué)生數(shù)據(jù)、患者醫(yī)療數(shù)據(jù)、公司業(yè)務(wù)文件等，一旦此類資料被加密，受害者支付贖金的可能性就會更高，所以攻擊者會有針對性的定向攻擊此類企業(yè)。

5.勒索病毒開發(fā)門檻進一步降低

一方面由于各種編程語言腳本都可以被用來編寫勒索軟件，大大降低了勒索軟件的開發(fā)門檻，有不少剛接觸計算機的未成年人也開始制作勒索軟件。從近期捕獲的勒索病毒樣本來看，有使用python編寫勒索軟件，偽裝為office文檔圖標的。有使用Autoit腳本編寫勒索軟件，偽裝為windows更新程序的。還有使用易語言編寫勒索軟件，通過設(shè)置開機密碼，或者鎖定MBR來勒索的。知名的勒索病毒有PyCrypt勒索、hc勒索、Halloware勒索、Xiaoba勒索等。

另一方面暗網(wǎng)和黑市上存在不少勒索病毒生成器，攻擊者輸入自己的郵箱和勒索信息，一鍵生成勒索軟件等業(yè)務(wù)，使不少盜號、DDOS、詐騙等其它犯罪領(lǐng)域的攻擊者，也投入到勒索領(lǐng)域，加劇了勒索病毒的泛濫。

6.勒索軟件在世界范圍內(nèi)造成的損失逐漸增大

很多公司為了及時恢復(fù)數(shù)據(jù)，平時就會存儲一定量的比特幣等虛擬貨幣，以防被勒索時支付贖金。但是更多的情況是，即使支付贖金，對業(yè)務(wù)也已經(jīng)造成了非常大的損失。永恒之藍WannaCry，攻擊世界最大的芯片代工廠“臺積電”，導(dǎo)致臺積電停工三天，損失十幾億元人民幣。Petya勒索病毒造成全球最大的集裝箱航運公司馬士基損失數(shù)億美元、全球最大語音識別公司Nuance 損失超過9,000萬美元，此外受到該勒索病毒攻擊的還有烏克蘭中央銀行、俄羅斯石油巨頭 Rosneft、廣告企業(yè) WPP、律師事務(wù)所 DLA Piper等。以上數(shù)據(jù)還僅僅是冰山一角，還有很多不知名的公司和個人，由于遭受勒索病毒攻擊，造成大量的經(jīng)濟損失，重要資料丟失。

四、勒索病毒解決方案
1、勒索病毒入侵行為分析
? 探測掃描：在攻擊前期，黑客會對用戶的互聯(lián)網(wǎng)出口及對外業(yè)務(wù)發(fā)起踩點掃描，尋求防護漏洞，以利用發(fā)起攻擊；

? 入侵突破：黑客發(fā)現(xiàn)可利用漏洞或風險后，發(fā)起針對性利用攻擊，突破邊界防護，并侵入主機終端，上傳勒索病毒；

? C&C通信：勒索病毒一般都存在遠程控制端，病毒需要與控制端進行遠程通信，實現(xiàn)黑客遠程控制的目的；

? 加密勒索：在拿到大量資產(chǎn)后，勒索病毒會集中式全面爆發(fā)，對系統(tǒng)目錄所有文件進行快速加密，開始勒索。

2、結(jié)合勒索病毒行為特征的針對性防護思路
? 預(yù)防：在攻擊發(fā)生前，需要整體梳理實時定位內(nèi)網(wǎng)風險，對風險進行針對解決，如風險端口、漏洞、授權(quán)、備份等；

? 防御：對掃描、風險利用攻擊、病毒、暴力破解等多種非法攻擊手段進行全面防護，阻止病毒進入內(nèi)網(wǎng)；

? 檢測：結(jié)合沙箱、人工智能病毒查殺引擎、流量行為分析等方式對.上傳文件、異常通信、文件非 法操作行為進行檢測；

? 響應(yīng)：一體化響應(yīng)模型，在各個流程一旦發(fā)現(xiàn)勒索病毒，能智能化的自動進行如告警、隔離、查殺等響應(yīng)動作；

?恢復(fù)：建立完善的數(shù)據(jù)備份恢復(fù)機制，采用增量備份的方式，可恢復(fù)至病毒爆發(fā)前一周任意時間點的數(shù)據(jù)。

網(wǎng)絡(luò)邊界安全防護：使用下一代防火墻（AF），構(gòu)建邊界L2一7的完整防御體系，提供各類漏洞檢測與防護，風險端口檢測、惡意軟件的過濾，僵尸網(wǎng)絡(luò)和DDOS攻擊檢測，為用戶網(wǎng)絡(luò) 邊界提供全面的安全防護。

終端的安全防護：終端檢測響應(yīng)平臺（EDR），可提供終端的病毒查殺、入侵防御、漏洞 管理、快速響應(yīng)等多種防護功能，平臺集成基因檢測、沙箱檢測、機器學(xué)習(xí)與預(yù)測等多種新型檢測引擎，實現(xiàn)勒索病毒的高檢出和準確率。

相比傳統(tǒng)殺毒引擎，SAVE引擎采用了人工智能無特征技術(shù)，對不在病毒庫里的未知病毒或變種，也能有效地鑒定。

創(chuàng)新微隔離技術(shù)，有效應(yīng)對高級威脅快速傳播，將病毒遏制在指定范圍之內(nèi)，使信息系統(tǒng)環(huán)境可控性大大提高。

全網(wǎng)安全運營：安全態(tài)勢感知平臺采用大數(shù)據(jù)分析架構(gòu)，通過采集全網(wǎng)安全流量、設(shè)備安全日志融合聯(lián)動分析，結(jié)合人工智能、機器學(xué)習(xí)、UEBA分析技術(shù)，對全網(wǎng)安全態(tài)勢集中分析 展示，輔助用戶定位安全風險、安全事件、失陷主機及反向溯源，構(gòu)建集團和分支單位全網(wǎng)安全運營中心，讓勒索病毒無處遁形。

      安全感知平臺定位為客戶的安全大腦，是一個檢測、預(yù)警、響應(yīng)處置的大數(shù)據(jù)安全分析平臺。其以全流量分析為核心，結(jié)合威脅情報、行為分析建模、UEBA、失陷主機檢測、圖關(guān)聯(lián)分析、機器學(xué)習(xí)、大數(shù)據(jù)關(guān)聯(lián)分析、可視化等技術(shù)，對全網(wǎng)流量實現(xiàn)全網(wǎng)業(yè)務(wù)可視化、威脅可視化、攻擊與可疑流量可視化等，幫助客戶在高級威脅入侵之后，損失發(fā)生之前及時發(fā)現(xiàn)威脅。

聯(lián)動響應(yīng)防護體系：態(tài)勢感知除了采集全網(wǎng)流量日志做集中運營分析，在發(fā)現(xiàn)問題后，還可智能聯(lián)動如防火墻、行為管理、EDR等安全設(shè)備進行自動化安全事件處置及阻斷、隔離等， 真正實現(xiàn)安全智能免疫體系。

終端誘餌與全網(wǎng)肅殺： EDR針對勒索病毒，特意開發(fā)了針對性的解決功能，通過在內(nèi)網(wǎng)資 產(chǎn)操作系統(tǒng)的文件目錄中插入誘餌文件，捕獲勒索病毒加密行為，一旦發(fā)現(xiàn)誘餌文件被加密，立即終止所有文件操作，反向定位勒索病毒，并進行全網(wǎng)針對性查殺，是勒索病毒防護的最后 一道防護屏障，可保障業(yè)務(wù)系統(tǒng)數(shù)據(jù)不被加密。

CDP持續(xù)數(shù)據(jù)保護：全面支持主流操作系統(tǒng)、數(shù)據(jù)庫級應(yīng)用系統(tǒng)，可提供文件、數(shù)據(jù)庫、操作系統(tǒng)、虛擬機、卷等數(shù)據(jù)備份與應(yīng)用容災(zāi)，提供數(shù)據(jù)零丟失（RPO等于0），True CDP能夠持續(xù)監(jiān)控并記錄所有生產(chǎn)業(yè)務(wù)數(shù)據(jù)變化，確保病毒發(fā)生時數(shù)據(jù)零丟失，同時可以實現(xiàn)任意時間點數(shù)據(jù)回退，從而能夠有效應(yīng)對軟件故障、病毒入侵（列如WannaCry勒索病毒）、認為操作（誤操作、惡意破壞）等邏輯故障。

快速回退到中勒索病毒前一秒狀態(tài)告別勒索風險

五、方案價值
（一）全面封鎖勒索病毒、黑客攻擊的傳播渠道、系統(tǒng)漏洞。

（二）能能夠檢測出病毒和黑客攻擊全過程，形成全攻擊鏈檢出能力。

（三）可發(fā)現(xiàn)ATP攻擊行為、勒索軟件行為、僵尸網(wǎng)絡(luò)等異常的網(wǎng)絡(luò)行為。

（四）構(gòu)建“邊界+流量+端點+CDP”的立體聯(lián)動防護與恢復(fù)能力，提升響應(yīng)速度與風險應(yīng)對能力。

（五）可檢測自助終端的安全合規(guī)態(tài)勢，并可以對仿冒接入等異常行為和APT攻擊等惡意行為進行預(yù)警和控制，從原來的被動防御轉(zhuǎn)為主動防御

（六）等保合規(guī)，符合國家對等保建設(shè)的需求。

（七）確保重要數(shù)據(jù)在被加密鎖定的情況下最大限度的恢復(fù)受攻擊前1秒狀態(tài)。