携手创作，共同成长！这是我参与「掘金日新计划 · 8 月更文挑战」的第15天，点击查看活动详情

勒索软件

什么是勒索软件攻击？

勒索软件是一种恶意软件攻击，攻击者锁定并加密受害者的数据，重要文件，然后要求付款以解锁和解密数据。

这种类型的攻击利用人为、系统、网络和软件漏洞来感染受害者的设备，这些设备可以是计算机、打印机、智能手机、可穿戴设备、销售点（POS）终端或其他端点。

勒索软件攻击示例

有成千上万的勒索软件恶意软件。下面我们列出了一些恶意软件示例，这些示例具有全球影响并造成了广泛的损害。

WannaCry

塞伯

Cerber是勒索软件即服务（RaaS），可供网络犯罪分子使用，他们进行攻击并与恶意软件开发人员一起传播战利品。Cerber 在加密文件时以静默方式运行，并可能尝试阻止防病毒和 Windows 安全功能运行，以防止用户还原系统。当它成功加密计算机上的文件时，它会在桌面壁纸上显示赎金记录。

洛基

Locky能够加密160种文件类型，主要是设计师，工程师和测试人员使用的文件。它于2016年首次发布。它主要通过漏洞利用工具包或网络钓鱼分发 - 攻击者发送电子邮件，鼓励用户打开带有恶意宏的Microsoft Office Word或Excel文件，或者在提取时安装恶意软件的ZIP文件。

Cryptolocker

Cryptolocker于2017年发布，影响了超过50万台计算机。它通常通过电子邮件、文件共享站点和未受保护的下载来感染计算机。它不仅可以加密本地计算机上的文件，还可以扫描映射的网络驱动器，并加密它有权写入的文件。Crypolocker的新变体能够避开传统的防病毒软件和防火墙。

诺特佩蒂亚和佩蒂亚

Petya是勒索软件，通过访问主文件表（MFT）来感染计算机并加密整个硬盘驱动器。这使得整个磁盘无法访问，尽管实际文件未加密。Petya于2016年首次出现，主要通过虚假的工作申请消息传播，该消息链接到存储在Dropbox中的受感染文件。它只影响了Windows计算机。

Petya 要求用户同意授予其进行管理员级别更改的权限。用户同意后，它会重新启动计算机，显示虚假的系统崩溃屏幕，同时开始在幕后加密磁盘。然后，它会显示赎金通知。

最初的Petya病毒并不成功，但卡巴斯基实验室名为NotPetya的新变种被证明更危险。NotPetya配备了传播机制，能够在没有人为干预的情况下传播。

NotPetya最初使用后门在乌克兰广泛使用的会计软件中传播，后来使用EternalBlue和EternalRomance，这是Windows SMB协议中的漏洞。NotPetya不仅加密MFT，还加密硬盘驱动器上的其他文件。在加密数据时，它会以无法恢复的方式损坏数据。支付赎金的用户实际上无法取回他们的数据。

琉球

一旦攻击者在尽可能多的计算机上安装了特洛伊木马，他们就会激活锁定勒索软件并加密文件。在基于Ryuk的攻击活动中，勒索软件方面只是攻击的最后阶段，在攻击者已经造成破坏并窃取了他们需要的文件之后。

大螃蟹

GrandCrab于2018年发布。它加密用户计算机上的文件并要求赎金，并用于发起基于勒索软件的勒索攻击，攻击者威胁要暴露受害者的色情观看习惯。有几个版本，所有版本都针对Windows计算机。免费解密器今天可用于大多数版本的GrandCrab。

勒索软件分发技术

当受害者单击链接，访问网页或安装包含旨在秘密下载和安装勒索软件的恶意代码的文件，应用程序或程序时，设备就会受到感染。这可以通过多种方式发生：

分发技术	描述
网络钓鱼电子邮件	单击电子邮件中嵌入的链接，该链接会重定向到恶意网页。
电子邮件附件	打开电子邮件附件并启用恶意宏;或下载嵌入有远程访问特洛伊木马（RAT）的文档;或下载包含恶意 JavaScript 或 Windows 脚本主机（WSH）文件的 ZIP 文件。
社交媒体	点击Facebook，Twitter，社交媒体帖子，即时通讯聊天等上的恶意链接。
恶意广告	点击植入恶意代码的合法广告网站。
受感染的程序	安装包含恶意代码的应用程序或程序。
偷渡式感染	访问不安全、可疑或虚假的网页;或打开或关闭弹出窗口。注意：如果将恶意 JavaScript 代码注入到网页内容中，则合法网页可能会受到损害。
交通分配系统	单击合法网关网页上的链接，该链接根据用户的地理位置、浏览器、操作系统或其他筛选器将用户重定向到恶意站点。
自传播	通过网络和 USB 驱动器将恶意代码传播到其他设备。

勒索软件如何工作？

在设备暴露于恶意代码后，勒索软件攻击将按如下方式进行。勒索软件可以在设备上保持休眠状态，直到设备最容易受到攻击，然后才执行攻击。

勒索软件七阶段攻击

感染 - 勒索软件被秘密下载并安装在设备上。
执行 - 勒索软件扫描并映射目标文件类型的位置，包括本地存储的文件以及映射和未映射的网络可访问系统。某些勒索软件攻击还会删除或加密任何备份文件和文件夹。
加密 - 勒索软件与命令和控制服务器执行密钥交换，使用加密密钥对执行步骤中发现的所有文件进行加密。它还锁定了对数据的访问。（请参阅图 2。
用户通知 - 勒索软件添加详细说明解密付费过程的指令文件，然后使用这些文件向用户显示赎金记录。
清理 - 勒索软件通常会自行终止和删除，仅留下付款指令文件。
付款 - 受害者单击付款说明中的链接，该链接会将受害者带到一个网页，其中包含有关如何支付所需赎金的其他信息。隐藏的TOR服务通常用于封装和混淆这些通信，以避免被网络流量监控检测到。
解密 - 受害者支付赎金后，通常通过攻击者的比特币地址，受害者可能会收到解密密钥。但是，无法保证解密密钥将按承诺交付。

一个受感染的用户可能导致所有用户的数据锁定

勒索软件防护

以下是几种可以帮助您预防和防范组织中勒索软件感染的最佳实践：

端点保护

防病毒显然是勒索软件保护的第一步，但传统的防病毒工具只能抵御某些勒索软件变体。

现代端点保护平台提供下一代防病毒（NGAV），可抵御规避或混淆勒索软件、WannaCry 等无文件攻击，或恶意软件数据库中尚未找到签名的零日恶意软件。它们还提供设备防火墙和端点检测和响应（EDR）功能，可帮助安全团队实时检测和阻止端点上发生的攻击。

数据备份

使用版本控制和 3-2-1 规则（在两个不同的媒体上创建三个备份副本，一个备份存储在单独的位置）定期将数据备份到外部硬盘驱动器。如果可能，请断开硬盘驱动器与设备的连接，以防止对备份数据进行加密。

补丁管理

使设备的操作系统和已安装的应用程序保持最新，并安装安全补丁。运行漏洞扫描以识别已知漏洞并快速修复它们。

应用程序白名单和控制

建立设备控制，允许您将设备上安装的应用程序限制在集中控制的白名单中。增加浏览器安全设置，禁用 Adobe Flash 和其他易受攻击的浏览器插件，并使用 Web 过滤来防止用户访问恶意站点。禁用文字处理和其他易受攻击的应用程序上的宏。

电子邮件保护

培训员工识别社交工程电子邮件，并进行演习以测试员工是否能够识别和避免网络钓鱼。使用垃圾邮件防护和端点保护技术自动阻止可疑电子邮件，并在用户最终点击恶意链接时阻止它们。

网络防御

使用防火墙或 Web 应用程序防火墙（WAF）、入侵防御/入侵检测系统（IPS/IDS）和其他控件来防止勒索软件与命令和控制中心通信。

勒索软件检测

使用实时警报和阻止来自动识别特定于勒索软件的读/写行为，然后阻止用户和端点进一步访问数据。

使用基于欺骗的检测，战略性地将隐藏文件植入文件存储系统，以便在最早的攻击阶段识别勒索软件加密行为。对隐藏文件的任何写入/重命名操作都会自动触发受感染用户或端点的阻止，同时继续允许未受感染的用户和设备进行访问。

使用精细报告和分析，为用户访问文件的人员、内容、时间、地点和方式的取证调查提供详细的审计跟踪支持。

基于欺骗的检测措施可确保仅阻止受感染的用户访问数据

勒索软件删除：如何缓解活动勒索软件感染

如果您在网络中检测到勒索软件感染，则应立即采取以下措施来缓解勒索软件威胁：

隔离 – 识别受感染的计算机，断开与网络的连接并锁定共享驱动器以防止加密。
调查 – 查看哪些备份可用于加密数据。检查您受到的勒索软件的压力，以及是否有可用的解密器。了解支付赎金是否是一个可行的选择。
恢复 - 如果没有可用的解密器工具，请从备份中恢复数据。在大多数国家，当局不建议支付赎金，但在某些极端情况下，这可能是一个可行的选择。使用标准做法删除勒索软件或擦除和重新映像受影响的系统。
强化 – 运行经验教训会议，了解内部系统如何被感染以及如何防止再次发生。识别允许攻击者进入的关键漏洞或缺乏安全措施，并对其进行修复。
评估 - 一旦危机过去，重要的是要评估发生的事情和吸取的教训。勒索软件是如何成功执行的？哪些漏洞使渗透成为可能？为什么防病毒或电子邮件过滤失败？感染传播了多远？是否可以擦除并重新安装受感染的计算机，并且是否能够从备份成功还原？解决安全态势中的薄弱环节，为下一次攻击做好更充分的准备。