2016年7月14日，亞信安全發(fā)布了最新的勒索軟件風(fēng)險(xiǎn)研究報(bào)告，分析了2015年9月-2016年6月的勒索軟件增長(zhǎng)以及防治態(tài)勢(shì)。報(bào)告指出，在監(jiān)測(cè)的十個(gè)月內(nèi)，全球傳播的勒索軟件數(shù)量增長(zhǎng)了15倍，中國(guó)勒索軟件數(shù)量增長(zhǎng)更是突破了67倍，這凸顯了勒索軟件日益嚴(yán)峻的威脅形態(tài)。安全專(zhuān)家提醒企業(yè)用戶，要將勒索軟件治理策略擺在更重要的位置，并在電子郵件與網(wǎng)頁(yè)、終端、網(wǎng)絡(luò)、服務(wù)器等多個(gè)層面搭建完整的多層防護(hù)機(jī)制，以保護(hù)企業(yè)信息資產(chǎn)的安全不受侵犯。

勒索軟件出現(xiàn)爆發(fā)式增長(zhǎng) 中國(guó)成為重災(zāi)區(qū)

報(bào)告顯示，在2015年9月~2016年6月期間，勒索軟件出現(xiàn)了爆發(fā)式增長(zhǎng)，亞信安全在全球范圍內(nèi)監(jiān)測(cè)到的勒索軟件數(shù)量從不足100萬(wàn)增長(zhǎng)到如今的1500萬(wàn)。對(duì)于國(guó)內(nèi)用戶來(lái)說(shuō)，此報(bào)告還透露了一個(gè)尤為危險(xiǎn)的信號(hào)：在中國(guó)傳播的勒索軟件已經(jīng)從過(guò)去的可以忽略不計(jì)，增長(zhǎng)到如今的數(shù)以萬(wàn)記，通過(guò)網(wǎng)頁(yè)鏈接(URL)檢測(cè)的勒索軟件數(shù)量從283個(gè)增長(zhǎng)到18990個(gè)，增長(zhǎng)超過(guò)67倍，并成為勒索軟件感染最嚴(yán)重的10大國(guó)家之一。

【勒索軟件在全球范圍內(nèi)的發(fā)展態(tài)勢(shì)】

【中國(guó)區(qū)勒索軟件的增長(zhǎng)情況(URL檢測(cè))】

而且，勒索軟件威脅有很大的可能在未來(lái)幾個(gè)月繼續(xù)蔓延，亞信安全技術(shù)總經(jīng)理蔡昇欽指出：“與其它網(wǎng)絡(luò)安全威脅一樣，勒索軟件在發(fā)展初期主要集中在歐美國(guó)家，但是隨著中國(guó)互聯(lián)網(wǎng)經(jīng)濟(jì)的繁榮，以及更多本地化勒索軟件攻擊套件的發(fā)布，會(huì)有更多的中國(guó)用戶成為勒索軟件的受害者。因此，國(guó)內(nèi)企業(yè)用戶需要密切關(guān)注網(wǎng)絡(luò)威脅的發(fā)展動(dòng)向，并提早部署安全有效的防御措施。”

電子郵件與URL成為“最受歡迎”的傳播方式

從報(bào)告中還可以發(fā)現(xiàn)，在過(guò)去十個(gè)月中，勒索軟件主要是通過(guò)電子郵件、URL、文件這三種方式進(jìn)行傳播。其中，通過(guò)電子郵件傳播的勒索軟件數(shù)量出現(xiàn)了較為顯著的增長(zhǎng)，占比從不足5%增長(zhǎng)到46%，僅次于通過(guò)URL傳播的比例(52%)。

據(jù)亞信安全病毒監(jiān)測(cè)實(shí)驗(yàn)室分析：電子郵件與URL是勒索軟件傳播者尤為喜歡的兩種傳播途徑，主要是因?yàn)檫@兩種方式簡(jiǎn)單有效，通過(guò)大規(guī)模群發(fā)的方式，不僅能夠降低傳播成本，還便于利用社交工程攻擊的方式來(lái)吸引更多人點(diǎn)擊。而且，這兩種方式要比很多人想象中的更有效果，因?yàn)楹诳蜁?huì)利用漏洞攻擊套件(Exploit Kit)攻擊操作系統(tǒng)及應(yīng)用程序的漏洞，若用戶電腦沒(méi)有更新補(bǔ)丁，只是瀏覽一般網(wǎng)頁(yè)就可能會(huì)被勒索軟件感染。

防范勒索軟件威脅 多層防護(hù)機(jī)制是關(guān)鍵

由于勒索軟件可以通過(guò)多種途徑來(lái)傳播，因此基于單一層面的防護(hù)機(jī)制都無(wú)法有效防范勒索軟件。亞信安全發(fā)布的勒索軟件風(fēng)險(xiǎn)研究報(bào)告同樣顯示，在綜合部署電子郵件、URL、文件等多層防護(hù)機(jī)制之后，在防護(hù)邊界對(duì)于勒索軟件的檢測(cè)率可以達(dá)到99%。

【多層防護(hù)機(jī)制可檢測(cè)出99%的勒索軟件】

蔡昇欽指出：“勒索軟件作者會(huì)不斷改變程序代碼來(lái)繞過(guò)過(guò)濾程序，并且嘗試通過(guò)電子郵件、URL鏈接、文件等多種方式來(lái)入侵網(wǎng)絡(luò)。同樣，黑客也開(kāi)始將惡意軟件目標(biāo)放到服務(wù)器基礎(chǔ)設(shè)施上，與最近攻擊醫(yī)療行業(yè)的‘SAMSAM’雷同，它們無(wú)需與 C&C 服務(wù)器聯(lián)系也能加密檔案。簡(jiǎn)言之，并沒(méi)有萬(wàn)靈丹來(lái)防止這類(lèi)網(wǎng)絡(luò)威脅，企業(yè)用戶需要盡可能地降低風(fēng)險(xiǎn)，并通過(guò)多層防護(hù)機(jī)制來(lái)進(jìn)行檢查和攔截。”

亞信安全建議用戶從以下幾個(gè)維度入手，構(gòu)建深層次的防御體系：

文件：企業(yè)最好采取3-2-1規(guī)則對(duì)重要文件進(jìn)行備份，即至少做三個(gè)副本，用兩種不同格式保存，并將副本放在異地存儲(chǔ)。此外，亞信安全還推出了針對(duì)勒索軟件加密文件的解密工具，可以有效應(yīng)對(duì)CryptXXX、TeslaCrypt、SNSLocker、AutoLocky等流行的勒索軟件及其變種的加密行為。

電子郵件和網(wǎng)頁(yè)：部署涵蓋惡意軟件掃描和文件風(fēng)險(xiǎn)評(píng)估、沙箱惡意軟件分析技術(shù)、文件漏洞攻擊碼偵測(cè)、網(wǎng)頁(yè)信譽(yù)評(píng)估技術(shù)在內(nèi)的防護(hù)技術(shù)，偵測(cè)并封堵通過(guò)電子郵件和網(wǎng)頁(yè)進(jìn)行攻擊的勒索軟件。

終端：少部分勒索軟件可能會(huì)繞過(guò)網(wǎng)絡(luò)/電子郵件防護(hù)，這也是為什么終端安全防護(hù)十分重要的原因，終端防毒系統(tǒng)可以監(jiān)視可疑行為、配置應(yīng)用程序白名單和使用弱點(diǎn)防護(hù)來(lái)防止未經(jīng)修補(bǔ)的漏洞被勒索軟件利用。亞信安全防毒墻網(wǎng)絡(luò)版(OfficeScan)的Aegis行為檢測(cè)功能可以檢測(cè)部分的勒索軟件加密行為，并能夠?qū)ξ粗账鬈浖姆烙鸬椒e極作用。

網(wǎng)絡(luò)：勒索軟件也可能通過(guò)其他網(wǎng)絡(luò)協(xié)議進(jìn)入企業(yè)網(wǎng)絡(luò)進(jìn)行散播，因此，企業(yè)最好部署能夠?qū)λ芯W(wǎng)絡(luò)流量、端口和協(xié)議進(jìn)行高級(jí)偵測(cè)的網(wǎng)絡(luò)安全防護(hù)系統(tǒng)，來(lái)阻止其滲透和蔓延。

服務(wù)器：通過(guò)虛擬補(bǔ)丁防護(hù)方案，來(lái)確保任何尚未修補(bǔ)漏洞的服務(wù)器，有效防范“零日攻擊”。

網(wǎng)關(guān)：在網(wǎng)關(guān)層面進(jìn)行有效攔截，是企業(yè)最經(jīng)濟(jì)型的防御體系。亞信安全深度威脅安全網(wǎng)關(guān)Deep Edge具有極其簡(jiǎn)潔的部署和管理方式，但卻包含了最重要的勒索軟件攻擊抑制能力。其擁有專(zhuān)門(mén)針對(duì)加密勒索軟件、C&C違規(guī)外聯(lián)及可疑高級(jí)惡意程序的監(jiān)控窗口，還改進(jìn)了和亞信安全深度威脅發(fā)現(xiàn)設(shè)備(TDA)及亞信安全深度威脅分析設(shè)備(DDAN)的產(chǎn)品聯(lián)動(dòng)，能夠通偵測(cè)、分析和攔截功能的融合，建立針對(duì)加密勒索軟件攻擊路徑的有效“抑制點(diǎn)”。