勒索病毒“漫談”（上篇）

勒索病毒（Ransomware），又稱勒索軟件，是一種特殊的惡意軟件，又被人歸類為“阻斷訪問式攻擊”（denial-of-access attack）。其作為一種新型電腦病毒，主要以郵件、程序木馬、網頁掛馬的形式進行傳播，通過恐嚇、綁架用戶文件或破壞用戶計算機等方式，向用戶勒索錢財。

勒索病毒與其他病毒最大的區別在于攻擊手法和中毒方式。部分勒索病毒僅是單純地將受害者的電腦鎖起來，而也有部分勒索病毒會系統性地加密受害者硬盤上的文件。所有的勒索病毒都會要求受害者繳納贖金以取回對電腦、硬盤的控制權，或是取回受害者根本無法自行獲取的解密密鑰。由此可見，該病毒性質惡劣、危害極大，一旦感染將給用戶帶來無法估量的損失。

背后巨大利益驅動

2017年4月中旬，“永恒之藍”攻擊工具在網絡盛傳，5月不法分子通過改造此工具制作了WannaCry勒索病毒，一時間全球眾多醫院、高校、企業、政府及個人PC接連不斷中招，受害者被要求支付高額贖金才可解密恢復文件，這是勒索病毒第一次以如此“大規?！钡姆绞綕B透進各類網絡。2017年12月13日，“勒索病毒”入選國家語言資源監測與研究中心發布的“2017年度中國媒體十大新詞語”。由于近些年來數字加密幣的流行，勒索病毒感染正處于愈演愈烈的態勢。

2018年3月，國家互聯網應急中心通過自主監測和樣本交換形式共發現23個鎖屏勒索類惡意程序變種。該類病毒通過對用戶手機鎖屏，勒索用戶付費解鎖，對用戶財產和手機安全均造成嚴重威脅。從2018年初到9月中旬，勒索病毒總計對超過200萬臺終端發起過攻擊，攻擊次數高達1700萬余次，且整體呈上升趨勢。

事實上，WannaCry不是第一個在國內出現的勒索病毒。早期的勒索病毒通常是通過釣魚郵件、社工等方式傳播，通常傳播規模量比較小，隨著2017年NSA方程式工具泄露，“永恒之藍”工具被大量利用，勒索病毒開始爆發式增長。

據不完全統計，2020年，全球因勒索病毒造成的總損失高達25萬億美元，高額的收益讓更多的犯罪者趨之若鶩，而以往諸如GandCrab勒索病毒，不僅高調宣布僅僅一年就獲得超過20億美元的贖金，并且已成功兌現。諸如此類事件的推波助瀾，加劇了勒索事件的爆發。

根據《2022年年中網絡威脅報告》顯示，僅2022年1-6月全球就記錄了2.361億次勒索軟件攻擊，還有報告稱，80%的網絡安全領導者認為勒索軟件是對公共安全的重大威脅，并預測勒索軟件損害將從2015年的3.25億美元增長至2031年的2650億美元。

如何防御勒索病毒

面對勒索病毒攻擊，我們首先想到使用勒索病毒防御系統，對已發生過勒索攻擊的網絡進行識別、定位感染源，并預防勒索病毒攻擊的再次發生。這樣的方式當然是十分有效的，尤其是使用國聯易安自主研發的——勒索病毒防御系統防御效果尤為明顯。

不過，除此之外，我們還可以通過另一種技術對勒索病毒攻擊進行間接防御，那就是能夠掃描識別漏洞，進而打補丁或調整策略修補漏洞，從根源上解決勒索病毒侵害——統一脆弱性管理平臺。其平臺主要功能：

多租戶管理。不同租戶間能設置符合各租戶自身特點的漏洞掃描策略，并只能查看當前租戶的漏洞分別情況；平臺管理員能進行全局統一系統脆弱性管理和監控。

網絡空間資產探測。遍歷資產空間實現全網資產發現，識別網絡環境中的存活主機、網絡設備、數據庫等相關設備及屬性，自動生成網絡拓撲，支持資產導出、導入以及資產數據的人工修正。

漏洞掃描。系統涵蓋了空間資產探測、系統漏洞掃描、虛擬機漏洞掃描、Web漏洞掃描、數據庫安全掃描、安全基線核查、工控漏洞掃描、WiFi安全檢測、App安全掃描、大數據平臺漏洞掃描、等保合規關聯等漏洞掃描功能。

Windows安全加固。支持針對Windows操作系統的配置、網絡、接入、日志、防護等方面的自動和手動安全加固。加固內容包括：配置管理（主機配置、用戶策略、身份鑒別、補丁管理、軟件管理），網絡管理（服務端口、防火墻管理），接入管理（外設管理、自動播放、遠程登錄、無線網卡），日志審計，惡意代碼防范（數據保護、防病毒軟件）等。

報表關聯。系統采用報表和圖形的形式對掃描結果進行分析，可以預定義、自定義和多角度多層次的分析掃描結果。提供完善的漏洞風險級別、漏洞類別、漏洞描述、漏洞類型、漏洞解決辦法。

分布式漏洞管理。全網分布式管理功能，系統支持分布式管理功能，系統能夠向下級引擎下達掃描任務，接收下級引擎上傳的掃描結果，進行統一分析，生成整體掃描報告。

一鍵升級。利用程序內置的產品升級模塊，可以通過網絡或者本地數據包，對漏洞庫、軟件進行在線升級、本地升級、定時升級。

魔高一尺，道高一丈

隨著網絡技術的快速發展和我們對所面臨問題理解程度的日益加深，網絡和信息安全已是當今眾多互聯網領域的突出問題之一。在眾多網絡和信息安全風險中，居首位者當屬網絡攻擊。無論是個人還是組織機構，都隨時可能成為網絡攻擊的對象，而每年網絡犯罪所帶來的經濟損失也與日俱增。綜合以往，我們從攻擊對象和利益最大化的角度來看，影響最大也最惡劣的當屬勒索病毒攻擊。

國聯易安統一系統脆弱性管理平臺是由國聯易安安全研究團隊自主研發設計的新一代漏洞掃描管理系統，涵蓋了網絡空間資產探測、系統漏洞掃描、虛擬機漏洞掃描、Web漏洞掃描、網站安全監測、數據庫安全掃描、安全基線核查、工控漏洞掃描、WiFi安全檢測、App安全掃描、大數據平臺漏洞掃描、Windows安全加固、等保合規關聯、分布式管理等功能。能全面、精準地檢測信息系統中存在的各種脆弱性問題，提供專業、有效的漏洞分析和修補建議。并結合可信的漏洞管理流程對漏洞進行預警、掃描、修復、審計。

“勒索病毒攻擊愈演愈烈。無論是個人還是組織機構都隨時有可能淪為下一個受害者。同時，隨著政企數字化轉型的推進，供應鏈安全風險日益嚴峻，勒索攻擊手法持續進化，多重勒索成為常態，勒索攻擊安全威脅將有恃無恐、有增無減?！眹撘装部偨浝黹T嘉平博士表示。

關于國聯易安

北京國聯易安信息技術有限公司(原北京智恒聯盟科技有限公司)簡稱“國聯易安”，成立于2006年，擁有“國聯易安”和“智恒聯盟”兩個品牌，是國內專注于保密與非密領域的分級保護、等級保護、業務連續性安全和大數據安全產品解決方案與相關技術研究開發的領軍企業。公司多項安全技術補了國內技術空白，并且在政府、金融、保密、電信運營商、軍隊軍工、大中型企業、能源、教育、醫療電商等領域得到廣泛應用。

國聯易安除研發生產專業安全產品外，還為客戶提供全面的檢測與防護方案專家咨詢、源代碼安全評估、安全運維值守、智能終端安全評估、安全滲透測試、專業安全培訓等專業安全服務。

審核編輯 黃宇