近年勒索軟件威脅分析及防范策略綜述

近年來，各類網絡安全事件頻出，其中，勒索軟件快速發展為網絡安全威脅最嚴重的惡意軟件，成為網絡犯罪的主要形式之一。從政府網絡到關鍵信息基礎設施，從個人到企業，從電腦設備到移動設備和服務器，勒索軟件攻擊無差別地影響著全球各個行業和領域、各類網絡用戶以及各種設備類型，給社會帶來嚴重的不利影響。本文主要探討分析了當前勒索軟件的威脅形勢、泛濫原因和攻擊特點，并提出一些應對勒索攻擊的防范策略。

一、勒索軟件威脅形勢日趨嚴重

勒索軟件是惡意軟件的一種類型，能夠通過鎖定設備或加密文件來阻止受害者對系統或數據的正常訪問，并以此向用戶勒索錢財，主要通過釣魚郵件、網頁掛馬、服務器入侵、系統漏洞、網絡共享文件和移動存儲介質等方式進行傳播。勒索軟件并非新生事物，從第一個已知的勒索軟件出現至今，已有近30年的歷史，但近幾年勒索軟件發展迅猛，破壞性和影響力前所未有，引起全世界的廣泛關注。

（一）數量和攻擊頻次呈爆發式增長

勒索軟件出現以后一直在不斷變化演進過程中，數量和質量都在逐漸上升。2016年，勒索軟件在全球范圍內呈爆發式增長。趨勢科技的安全報告顯示，2016年勒索軟件家族的數量從2015年的29個增長至247個，上漲幅度752%。美國聯邦調查局2017年1月調查數據顯示，勒索軟件的贖金總額由2015年的2400萬美元躍升至2016年的10億美元。隨后的2017年堪稱勒索軟件史上最臭名昭著的一年，據權威機構和知名安全企業稱，每天發生的勒索攻擊事件多達4000起，全年攻擊事件數量較上一年翻了一倍，新型勒索軟件變種增長46%。賽門鐵克2017年度在全球范圍內攔截的WannaCry勒索攻擊多達54億次。2018 年，勒索軟件依舊肆虐，盡管整體數量增長有所放緩，但包括WannaCry、GandCrab、GlobeImposter、Satan、Crysis等在內的勒索軟件變種層出不窮。其中，GandCrab自2018年1月被首次發現后，半年時間就連續出現了V1.0、V2.0、V2.1、V3.0、V4.0、V5.0.3等多個變種。在勒索軟件的迅猛攻勢下，中國也淪為重災區，成為亞太地區受影響最嚴重的國家之一。其中，國家互聯網應急中心2017年捕獲新增勒索軟件近4萬個。360互聯網安全中心發現2017年5月至2018年 4月全國約有463.5萬臺電腦遭到勒索攻擊，且勒索軟件的質量和數量還將不斷攀升。瑞星“云安全”系統2018年上半年共截獲勒索軟件樣本31.44萬個，感染共計456萬次。

（二）危害程度日益嚴重

勒索軟件不僅數量增幅快，而且危害日益嚴重，特別是針對關鍵基礎設施和重要信息系統的勒索攻擊，影響更為廣泛。值得一提的是，勒索攻擊的危害遠不止贖金造成的經濟損失，更嚴重的是會給企業和組織機構帶來額外的復雜性，造成數據損毀或遺失、生產力破壞、正常業務中斷、企業聲譽損害等多方面的損失。以WannaCry和NotPetya勒索軟件為例，2017年5月12日，黑客利用網上泄露的美國國家安全局武器庫中的“永恒之藍”攻擊工具，改造成為WannaCry系列勒索軟件，通過微軟系統漏洞瘋狂復制、大肆傳播，對受害主機文件實施加密勒索，其擴散速度之快、影響范圍之廣、危害程度之大史無前例。全球超過150個國家，金融、能源、醫療、教育等多個行業受到影響，英國國家醫療體系轄下五分之一的醫療機構被迫取消所有急診接診和手術安排，受到影響的病人數以千計。德國、法國、俄羅斯等國機場、地鐵調度系統不同程度受到影響。我國教育、公安系統網絡成為重災區，全國多地加油站無法進行網絡支付。6月27日，依舊利用“永恒之藍”漏洞傳播的NotPetya勒索軟件再度在歐洲大規模爆發，致使烏克蘭等多國的機場、銀行和大型企業網絡遭到破壞，甚至陷入癱瘓。據歐洲刑警組織2018年版的“互聯網有組織犯罪威脅評估（IOCTA）”顯示，在大多數歐盟成員國中，勒索軟件仍位列惡意軟件威脅之首，而加密挾持也變得日益普遍。2018年3月，美國亞特蘭大市政系統的服務器成為勒索軟件攻擊的目標，攻擊事件影響了多個部門，并導致處理付款和傳遞法院信息的政府網站癱瘓。亞特蘭大市政府雖并未支付黑客索取的5.1萬美元贖金，但此次攻擊給該市帶來了至少270萬美元的直接經濟損失，主要是作為應急成本，修復攻擊事件帶來的不利影響。6月，亞特蘭大市又追加950萬美元預算用以恢復受沖擊的關鍵系統和服務。8月，全球最大的半導體代工制造商臺積電生產工廠和營運總部電腦遭勒索病毒入侵，導致竹科、中科、南科等幾大廠區生產線停擺，造成臺積電1.7億美元（約合人民幣11.5億元）左右的經濟損失。9月，英國布里斯托爾機場航班信息顯示系統遭遇勒索軟件攻擊，導致機場的航班顯示屏兩天無法正常顯示信息。

二、勒索軟件全球泛濫事出有因

勒索軟件伴隨著網絡犯罪技術的發展而發展，它快速迭代并迅速傳播，目前網絡勒索已成為對攻擊者而言“錢景可觀”的優選獲利途徑，它在全球呈現高發態勢和大規模泛濫絕非偶然。

（一）攻擊低成本高回報助長勒索軟件盛行

勒索軟件的制作成本較低，多數情況下不需要增加投入就可進行持續攻擊，而被加密的往往是對企業機構、政府部門和個人具有重要作用的系統和數據，有些關鍵敏感數據甚至是企業的經濟命脈，一旦泄露或損毀，將造成無法挽回的損失，支付贖金往往成為一種無奈的選擇。幾十美元甚至幾美元的制作成本有時可獲得數萬美元乃至更多的贖金。低犯罪成本和高回報率讓錢財勒索這一網絡犯罪行為在大數據時代具有極大的誘惑力，吸引越來越多的攻擊者參與其中。

（二）安全防護不足為勒索攻擊打開方便之門

勒索軟件雖然來勢迅猛，但并非不可防范，真正讓其屢屢得手的主因是用戶網絡安全意識普遍比較淡薄，缺乏必要防護策略，如重要文件的備份、病毒查殺、補丁更新、老舊設備淘汰換新等。360安全中心2017年接到的2000多位勒索軟件受害者求助中，絕大多數受害者都沒有正常使用安全軟件進行防護，甚至有不少受害者電腦沒有安裝任何安全軟件，導致勒索軟件能夠輕易入侵感染。一些政企機構員工的安全意識也明顯不強，內部安全管理存在紕漏，安全措施缺位，導致整體安全防御能力薄弱。另外，安全監控軟件的病毒檢測能力也存在問題，對付大量新型勒索軟件略顯乏力。在NotPetya來襲時，研究人員測試的60款安全軟件中，只有2款軟件在第一時間檢測到了這種勒索病毒，這種情況間接給不法分子的攻擊行動提供了可乘之機。

（三）網絡技術快速進步促使勒索能力不斷升級

勒索軟件技術的發展使其在加密方式、傳播手段、躲避檢測等方面不斷更新。當前最流行的加密勒索軟件早已拋棄可被破解的對稱加密算法，普遍采用非對稱的強加密算法，除了付費獲得密鑰，別無其他解密方法。勒索軟件新變種層出不窮，每個變種都添加一些新技術，擁有加強的新功能，越來越多利用組合模式的傳播手段和多種高級技術躲避查殺，致使破解難度越來越大，而且破解速度遠遠跟不上新病毒或變種的推出速度。新技術的更迭讓勒索軟件“如虎添翼”，得以跨越安全防線，達到感染用戶的目的。

（四）比特幣和匿名網絡間接充當非法活動“保護傘”

勒索攻擊活動之所以如此猖獗，一部分原因是以比特幣為代表的匿名支付手段和匿名通信網絡被攻擊者惡意利用。比特幣是一種去中心化的虛擬數字貨幣，不受央行和任何金融機構的控制，可有效隱藏攻擊者的身份，可以說，比特幣的出現為網絡勒索提供了低風險、易操作、便捷性強的贖金交易和變現方式，成為網絡犯罪活動的主要支付形式。攻擊者對比特幣的青睞促使比特幣價格暴漲，引發了更多利用勒索軟件向用戶勒索比特幣的攻擊事件。除支付手段外，允許匿名通信的洋蔥網絡也協助掩蓋了攻擊的來源。病毒制作者常將勒索服務器搭建在暗網，通過洋蔥網絡與受害者進行通信。這些手段先進實用，又唾手可得，將網絡勒索的非法活動保護在“匿名”的羽翼之下，讓追蹤溯源變得異常困難。

（五）勒索服務市場繁榮為黑客斂財提供了便利

勒索軟件的利益誘惑讓無數網絡罪犯看到了迅速斂財的機會，也催生了勒索服務市場商業模式的興起，出現大量以售賣勒索軟件為主要營生的勒索軟件即服務（RaaS）暗網平臺，并逐漸形成完整成熟的產業鏈。這些平臺為缺乏技能、資源和時間的黑客提供很多現成的解決方案和勒索服務，從勒索軟件的開發、技術支持、分銷、質保到售后，甚至包括專門的勒索咨詢服務和惡意產品定制服務。不具備任何專業技術知識的攻擊者也可以毫不費力地發起網絡敲詐活動，從勒索產業中分一杯羹。

三、勒索軟件攻擊特點顯著

勒索軟件給網絡安全帶來的威脅清晰可見，但它并未隨著防御手段的升級和完善而偃旗息鼓，相反，病毒在與安全防御技術的對抗過程中不斷優化自身，復雜性和多樣性持續增長，更新迭代速度明顯加快，試圖以更隱蔽的形式發動更猛烈的攻勢，來獲取更大的利益。勒索軟件在發展演變過程中呈現出以下特點。

（一）攻擊目標多樣化

一是從電腦端到移動端。勒索軟件大多以電腦設備為攻擊目標，其中Windows操作系統是重災區。數據表明，當前電腦端的勒索軟件數量仍在上升，盡管增速有所放緩。但隨著移動互聯網的普及，勒索軟件的戰場開始從電腦端蔓延至移動端，并且有愈演愈烈的趨勢。俄羅斯卡巴斯基實驗室檢測發現，2017年有161個國家的11萬多個用戶遭到移動勒索軟件的攻擊，移動勒索軟件安全包多達54.4萬個，是2016年的2倍，比2015年則增長了17倍。而我國移動平臺的感染情況更為嚴峻，360烽火實驗室2017年前9個月捕獲的惡意勒索軟件就達到50余萬個，平均每月5.5萬個。目前，移動端勒索軟件已形成超千萬的產業規模，威脅程度不容小覷。

二是從個人用戶到企業設備。個人設備在勒索軟件攻擊目標中一直占據較高比例。但隨著傳統勒索軟件盈利能力的持續下降，對更高利潤索取的期待驅使黑客將攻擊重點進一步聚焦在企業的關鍵業務系統和服務器上。比如勒索軟件Rrebus就通過加密153臺Linux 服務器，輕松從韓國Web托管公司Nayana收取了高達100萬美元的贖金。在被針對的企業目標中，中小企業因安全架構單一，更容易被攻破。震驚全球的WannaCry攻擊事件中，中小企業就是主要受害者。據不完全統計，2017年約15%的勒索軟件攻擊是針對中小企業服務器發起的定向攻擊。

（二）攻擊目的復雜化

一是以勒索軟件為掩護，實施網絡破壞或間諜行動。從傳統角度來看，勒索攻擊不外乎是要達到向受害者索要金錢的經濟目的。但實際案例顯示，日益猖獗的勒索軟件正在成為其他網絡攻擊者的利用手段，一些勒索軟件徒有“勒索”之名，本質上只是充當了網絡破壞行動或間諜行動的掩護，以掩蓋攻擊者的真實目的。最典型的案例莫過于NotPetya事件，該軟件作者精心設計制作了傳播、破壞的功能模塊，通過竊取憑證讓病毒大肆傳播，而勒索贖金模塊卻制作粗糙、漏洞百出，受害者甚至根本無法成功支付贖金。另外，攻擊者還通過改寫硬盤的主引導記錄，導致對用戶數據的編碼不可逆。這款惡意軟件的代碼和其他證據表明，NotPetya很可能是一次精心策劃的以勒索軟件攻擊作為偽裝的故意破壞性攻擊事件。除破壞目的，攻擊者也可能借勒索之名實施網絡間諜活動，使事件響應人員將工作重點放在文件解密上，而非集中精力調查真實的被攻擊緣由。

二是以勒索軟件為手段，實現多重牟利目的。盡管目前大多數勒索軟件只是對文件進行加密，發送加密密鑰從而進行解密，并從受害者那兒獲得贖金。但隨著勒索軟件攻擊手段的花樣翻新，勒索軟件樣本也可能會在加密數據前采取較多惡意行動，如進行滲透操作，竊取企業服務器中的關鍵敏感數據。一方面對受害企業施加壓力，迫使其支付贖金恢復數據所有權；另一方面還可以在地下暗網上出售這些敏感數據，從而獲得更多潛在利益。這種邊勒索、邊竊取、邊倒賣敏感資料的攻擊行為越來越受到黑客青睞。

（三）攻擊范圍擴大化

一是從地理區域看，攻擊范圍擴展至全球。WannaCry勒索軟件攻擊潮爆發之前，攻擊者普遍傾向于攻擊信息化程度較高、網絡設施發達的國家和地區，因為這些國家和地區對網絡的依賴程度基本決定了攻擊者更容易獲取到錢財利益。而攻擊也多是小范圍內發生的事件，影響程度有限。但WannaCry打破了攻擊行為的針對性和本地化特征，是歷史上第一次全球范圍爆發的大規模惡意程序攻擊。隨后的NotPetya、“壞兔子”等其他勒索軟件繼續延續了WannaCry的全球影響威力。種種攻擊事件表明，“不甘寂寞”的勒索軟件已從小規模感染轉變為大范圍傳播，甚至擴展到了許多信息化水平不高的國家和地區，這些地區的用戶在應對勒索軟件方面經驗不足，且勒索軟件攻擊者在這些地區的競爭不激烈，牟利反而容易得多。

二是從行業領域看，攻擊范圍拓展至全領域。在勒索軟件的迅猛攻勢下，金融、醫療、交通、能源、通信、制造、教育等諸多關鍵基礎設施和重要行業領域無一幸免。全球多家金融機構、波音飛機制造公司、美國科羅拉多交通部、亞特蘭大市政府網絡、北卡羅來納州政府服務器、印第安納州漢考克地區醫院系統、烏克蘭能源和煤炭工業部等均成為勒索軟件的受害者。更令人擔憂的是，醫院遭到惡意軟件勒索的概率正在上升，而醫院受到攻擊造成的影響會遠比大多數其他機構更為可怕，甚至危及病人的生命安全。伴隨著物聯網、云計算等新技術熱度的持續升高，勒索軟件還將逐步向大數據、云服務、物聯網等新興領域擴散，其中包括智能家居、智能汽車等多個方面，都會成為勒索活動的新戰場。以智能家居為例，在物聯網上建立起來的智能家居網絡將是物聯網領域最具潛力的市場載體，面臨勒索軟件的攻擊危險更大。2016年召開的全球頂級安全會議Def Con上，兩名白帽黑客就曾演示了勒索軟件如何成功入侵智能恒溫器。

（四）攻擊方式專業化

一是傳播加密手段更加多元。為感染更多設備，并在內部日益激烈的競爭中脫穎而出，許多勒索軟件開始創新傳播手段。首先，借助更多的漏洞、更隱蔽的方式進行初始傳播，并越來越多地利用社交媒體作為傳播方式，如通過在臉書、推特、微博等網站上分享的惡意內容誘惑受害者點擊惡意鏈接。其次，部分勒索軟件吸收了蠕蟲病毒的特點，自我復制能力越來越強，比如WannaCry、NotPetya等就以感染的設備為跳板，然后利用漏洞或“管理員共享”功能在網絡中自動滲透，攻擊局域網內的其他電腦，形成“一臺中招，一片遭殃”的情況。再次，針對各企業對于軟件供應鏈的管理弱點，通過行業供應鏈攻擊傳播勒索軟件的案例也時有發生。花樣翻新的手段已讓用戶防不勝防，同時加密能力也在升級，比如2018年10月被發現擴散到國內的Satan勒索軟件最新變種V4.2就升級了加密算法，促使殺毒軟件原有的解密方案隨病毒升級而失效。該病毒利用服務器組件的漏洞進行攻擊傳播，會對硬盤中的重要數據文件進行全部加密。Satan依靠差異化攻擊手段，不僅使企業用戶損失慘重，而且個人用戶亦被波及。

二是偽裝躲避技能更加高超。與其他惡意軟件相比，勒索軟件的偽裝躲避技能毫不遜色，網絡犯罪分子越來越傾向于以不留痕跡的方式利用勒索軟件，讓防御人員措手不及。一方面是勒索軟件的靜默期會不斷延長。截至2018年3月，360烽火實驗室捕獲的超20萬個代刷軟件中，有超半數是經過了偽裝的惡意勒索軟件。這類軟件在首次啟動后會自動進入“隱藏模式”，使得用戶日常無法感知和卸載，以此達到長期潛伏、持續作惡的目的。另一方面是采用更高級的免殺技術。例如，2017年12月研究人員剛提出Process Doppelg?nging新型代碼注入技術，這種技術可繞過Windows系統上所有反病毒安全機制，2018年5月，研究人員就發現該技術被SynAck勒索軟件新變種所利用。

（五）勒索服務產業化

勒索軟件不斷擴大的市場機遇催生了新的盈利模式——勒索軟件即服務（RaaS）。在這種模式下，勒索軟件正式進入到類似于商業軟件的產業化發展階段，在暗網市場中進行著勒索軟件整套體系服務的交易，任何想非法獲利的人士都可能利用RaaS平臺提供的現成解決方案。根據反病毒服務提供商Carbon Black 2017年10月發布的調查報告，全球有超過6300個暗網平臺提供勒索軟件交易，勒索軟件的銷售總額從2016年的25萬美元達到2017年的620萬美元，增長了約25倍（21個全球頂級暗網平臺監測結果推算得出）。勒索軟件的開發人員也獲得了不少收益，一些開發者年收入能超過10萬美元，而在合法商業軟件領域，程序員的收入大約為7萬美元。團體運作模式大大提升了專業化程度，助長了易用、定制工具的出現，開發人員不需要獨立研發整套工具包，只專注其中某一環節和某一項技術，即可執行有針對性的攻擊和勒索，且成功概率更大，影響更嚴重。黑產市場的繁榮進一步助推勒索軟件以更猛的勢頭向更廣的范圍持續蔓延。

四、應對勒索軟件攻擊刻不容緩

網絡世界的攻防一直是惡意攻擊者與防御者之間此消彼長的博弈過程。目前，勒索軟件的危害還在持續擴大，如果不能強化應對措施，在巨額利潤的驅使下，勒索軟件將有可能進一步爆發，造成更大的危害。當然，防范勒索軟件攻擊是個系統化工程，需要綜合施策、系統治理、多方聯合，形成預防與打擊勒索軟件的包圍圈，清除生存土壤，讓勒索軟件無處藏身。

（一）宣傳教育，提高安全意識

多數情況下，勒索攻擊屢試不爽的原因不是病毒本身有多強大，而是抓住了用戶安全意識淡薄的軟肋，得以趁虛而入。因此，提高安全防范意識，不給勒索軟件提供可乘之機，才是應對勒索攻擊的首要抓手。針對普通用戶，可借助媒體、網站平臺等手段加強有關勒索軟件危害的知識傳播和安全防范宣傳教育，增強用戶的安全意識。針對企事業單位，可通過勒索軟件案例對員工進行培訓，提供最佳實踐，教育員工如何識別網絡釣魚，開展模擬演練，增強員工安全防范意識，始終保持高度警惕，降低人為引入網絡威脅的概率。

（二）立法先行，完善法律保障

要解決勒索軟件肆虐橫行的問題，法律法規的重要性不言而喻。實踐中，盡管許多網絡安全公司監測到了大量的勒索軟件攻擊行為，但進入執法環節的極為罕見。這其中既涵蓋了受害者法律意識的不足，也包括了法律本身的缺位。立法打擊勒索軟件是正確的一步。美國加利福尼亞州2016年9月就推出了關于反勒索軟件的法律，對檢察機關起訴和定罪勒索罪犯做出了清晰規定，以打擊使用惡意軟件對重要數據進行加密并要求支付贖金的網絡攻擊者。我國現行法律沒有針對勒索軟件的專門性規定，但在《中華人民共和國網絡安全法》等多項法律文件中定義了一般性的網絡犯罪活動。為了更有效地打擊勒索軟件，包括其產生源頭的暗網交易市場，需要建立更為完善有針對性的法律法規，重拳治理網絡勒索犯罪活動。

（三）系統治理，構建多層防御

很多勒索軟件結合了復雜的高級網絡攻擊，單一防護手段和防護力量無法抵御，需要充分發揮政府、企業、用戶多主體作用，構建網絡安全綜合治理體系，搭建多層防御系統，編織出一張嚴密的勒索攻擊防御之網。一是政府應制定勒索攻擊恢復指南并建立專門的應急響應小組，可以在勒索攻擊發生時協助企業應對并恢復網絡、數據，同時將病毒樣本、處理方法及防范措施整理歸檔，便于日后不斷完善監控、檢測方案。如美國國家標準技術研究院（NIST）2017年9月發布了幫助遭受勒索軟件攻擊的企業制定數據恢復計劃的專門指南，提供了包括高級架構、實現案例、安全特性分析等正確處理勒索軟件攻擊的方法建議。二是企業應建立事前預防、事中監控、事后響應三位一體的綜合性防護策略。這不僅應包括定期修補漏洞、備份數據，還應包括高級威脅防護、網關防病毒、入侵防御等多個重疊和相互支持的防御系統，以防止任何特定技術或保護措施中的單點失效，同時組建專業的事件響應團隊。三是建立起行業部門間有效的勒索軟件威脅信息共享機制，提升彼此的網絡風險防控能力。

（四）注重技術，加大研發力度

針對勒索軟件攻擊技術創新快、應對難度大等問題，應加大反勒索軟件的技術研發力度，充分利用各類新技術，包括人工智能技術、區塊鏈技術、智能誘捕技術、SONAR行為檢測技術、智能文件格式分析技術、文檔自動備份隔離保護技術、智能威脅云、密碼保護技術。特別是人工智能機器學習技術會在勒索軟件識別檢測方面發揮重要作用，先進的機器學習技術可以找出勒索軟件中可能出現的因素，并隨時根據新勒索軟件特征進行調整，以尋找多個惡意行為的組合方式正確辨識出勒索軟件與合法軟件，提升應對能力。

（五）聯合打擊，各國共同行動

勒索軟件是廣泛存在的網絡安全問題，在網絡高度互聯互通的時代無差別地影響著世界各個國家。打擊這種網絡犯罪也并非一己之力可為，需要全球聯合行動。2016年7月，卡巴斯基實驗室、荷蘭國家警察、歐洲刑警組織和英特爾安全公司率先聯合啟動了“拒絕勒索軟件”項目，為執法機關和私營企業聯合對抗勒索軟件開啟了新的合作模式。目前，該項目的合作伙伴數量已達120多家，提供50多款免費解密工具，為35000多名用戶免費找回了丟失的文件，免交了約1000萬歐元的勒索費用。該項目的成功說明面對勒索軟件這一全球性問題，需要各國主動聯合行動，同時也需要探索和建立更多有效的國際合作模式，共同應對網絡威脅。

（原載于《保密科學技術》雜志2018年12月刊）