上面是虛擬出來的《勒索軟件宣言》，但事實(shí)情況也的確這樣。

[[178583]]

開啟勒索軟件“事業(yè)”的小成本和簡單性，意味著近乎任何人，包括幾乎沒有IT經(jīng)驗(yàn)的那些，都可以成為成功的網(wǎng)絡(luò)罪犯。勒索軟件即服務(wù)(RaaS)的興起——惡意軟件作者招募“分發(fā)者”擴(kuò)散感染再抽成的一種商業(yè)模式，讓上面的文字描述堪比電視購物銷售專家。

趨勢科技在最近的一篇博客帖子中更為正式地描述稱，“潛在分發(fā)者不需要太多資金或技術(shù)專業(yè)知識就能啟動;甚至毫無編程經(jīng)驗(yàn)的人也能發(fā)起勒索軟件攻擊活動。”事實(shí)上，某些勒索軟件包的價(jià)格還不足 $100。

換句話說，任何人都能干這事兒。

研究公司Osterman的一份白皮書揭示，勒索軟件處于“流行病”級別，去年近50%的美國公司都經(jīng)歷過勒索軟件攻擊。而趨勢科技8月發(fā)布的一份報(bào)告發(fā)現(xiàn)了約80種新勒索軟件“家族”，比2016年上半年發(fā)現(xiàn)的增長了172%。在2015年，僅CryptoWall系列的1個(gè)老版本就攫取到約3.25億美元。

趨勢科技的報(bào)告發(fā)布之后，情況甚至更為糟糕了。9月底，增長率達(dá)到了400%。2015年，29個(gè)惡意軟件家族被發(fā)現(xiàn)，而今年9月，趨勢科技發(fā)現(xiàn)并封鎖了145個(gè)。鑒于此類威脅的動態(tài)本質(zhì)，及時(shí)獲取和共享可行性情報(bào)是最大的挑戰(zhàn)。

DDoS攻擊能得到更多的媒體曝光——因?yàn)槟钞a(chǎn)品或服務(wù)的所有用戶都會受到影響，關(guān)于其影響的新聞便會以典型網(wǎng)絡(luò)新聞的速度擴(kuò)散。相反，勒索軟件往往除了公司內(nèi)部的人之外無人得知，除非被勒索的公司、攻擊者或者受影響客戶公開消息。很多公司都不報(bào)告勒索軟件攻擊，而DDoS攻擊則是從設(shè)計(jì)上就盡可能地為人所知。

支付贖金絕對是迫不得已情況下的最后選擇。但不得不承認(rèn)，勒索軟件是個(gè)正在發(fā)展中的產(chǎn)業(yè)，遠(yuǎn)未達(dá)到巔峰，還僅僅在起步階段。大量公司的賬戶要么支付贖金，要么拉倒重來。賽門鐵克安全情報(bào)投放主管則認(rèn)為，不僅僅攻擊數(shù)量有上升，贖金索要額度也在上漲。

2016年見證了贖金新記錄，名為7ev3n-HONE$T (Trojan.Cryptolocker.AD)的威脅索要每臺電腦13比特幣的贖金，換算成事發(fā)當(dāng)時(shí)2016年1月的匯率，價(jià)值 $5,083。這種爆發(fā)式增長的原因之一可能是，即便有持續(xù)不斷的警告，大多數(shù)個(gè)人和公司依然不幸地漏洞滿身。即使有防護(hù)措施可用，他們也總是無視掉了。

最近對舊金山交通局的攻擊就是個(gè)例子。安全博主布萊恩·克雷布斯在其最近的一篇博文中指出，攻擊者實(shí)際上建議其受害者“閱讀此郵件并在重新接入互聯(lián)網(wǎng)前安裝安全補(bǔ)丁”，隨附據(jù)稱是Oracle發(fā)布的 WebLogic Server 漏洞補(bǔ)丁鏈接。但Oracle發(fā)布該補(bǔ)丁的時(shí)間是2015年11月10日——1年多前。

勒索軟件成功的另一原因，是安全研究人員需要時(shí)間來解密文件。以便提供封鎖它們的解決方案。該項(xiàng)工作正在進(jìn)行。一旦研究人員破解了勒索軟件，他們就能創(chuàng)建特征碼或攻擊指標(biāo)。

安全廠商飛塔、英特爾安全、Palo Alto Networks和賽門鐵克，成立了網(wǎng)絡(luò)威脅聯(lián)盟(CTA)，采用共享威脅情報(bào)的方式來追蹤和分析惡意軟件。他們的一次聯(lián)合行動中就鎖定分析了CryptoWall家族。

據(jù)該聯(lián)盟稱，此項(xiàng)工作增強(qiáng)了每個(gè)成員的產(chǎn)品對該類威脅的防護(hù)能力，并通過其報(bào)告建立起了公眾意識。其他專家也歡迎共享威脅數(shù)據(jù)，但指出其仍是反應(yīng)式的——更新、補(bǔ)丁和其他封鎖工具只有在威脅已經(jīng)引發(fā)了損害之后才會出來。反病毒和反惡意軟件產(chǎn)品對易得手的東西防護(hù)給力，但威脅發(fā)展太快，任何工具都無法提供100%防護(hù)。

雖然CTA的目標(biāo)值得鼓掌，這卻只是個(gè)會員制的俱樂部。為加入該俱樂部，你必須至少每天提供1000個(gè)與VirusTotal不重合的惡意軟件可執(zhí)行文件。這一高門檻，意味著即便目標(biāo)是好的，其包容性的不足卻幫不了那些受影響的人。更好的解決方案應(yīng)是敞開大門，讓經(jīng)過審查的公司和研究人員貢獻(xiàn)和研究那些樣本。

威脅信息的共享對與所有網(wǎng)絡(luò)威脅的作戰(zhàn)非常重要。但現(xiàn)實(shí)是，鑒于此類威脅的動態(tài)本質(zhì)，及時(shí)獲取和共享可行性情報(bào)是最大的挑戰(zhàn)。沒有什么萬靈藥可以封鎖住所有威脅。但一個(gè)保護(hù)終端、網(wǎng)絡(luò)和云基礎(chǔ)設(shè)施的層次化聯(lián)網(wǎng)威脅防御，至少能讓公司管理應(yīng)對勒索軟件威脅。

然而，最好的解決方案，是那些預(yù)防性的，包括：

• 及時(shí)安裝軟件更新和補(bǔ)丁

• 變得夠精明，不被網(wǎng)絡(luò)釣魚郵件欺騙。留心非預(yù)期的電子郵件，尤其是里面包含有鏈接或附件的情況。用戶應(yīng)特別小心任何要求啟用宏以查看內(nèi)容的微軟Office附件。除非你完全確定這是來自可信源的真實(shí)郵件，否則不要啟用宏。

• 經(jīng)常備份，確保備份有額外的防護(hù)措施或離線存儲。

公司企業(yè)可以從限制對最重要數(shù)據(jù)的訪問開始，然后嚴(yán)格監(jiān)視網(wǎng)絡(luò)異常。只要發(fā)現(xiàn)異常，可以自動在安全的位置創(chuàng)建文件備份。測試備份恢復(fù)也是很重要的。發(fā)生安全事件時(shí)，你最不想看到的，就是備份沒法恢復(fù)……

最后，專家對是否支付贖金問題看法各異。

有人認(rèn)為“絕對不能支付贖金”。很多時(shí)候，即便支付了贖金，文件還是不能解鎖。看起來似乎只要贖金被支付了，犯罪分子就知道了這生意很好做，然后繼續(xù)進(jìn)行這種類型的攻擊。

文件是否被解鎖是沒有保證的，而且之后再被攻擊的可能性還會上升。而且，即便攻擊者提供了解密密鑰，他也有可能已經(jīng)滲漏了數(shù)據(jù)，然后在深網(wǎng)上售賣。

其他人也同意支付贖金是個(gè)不怎么樣的主意，但同時(shí)也認(rèn)為，有時(shí)候乖乖交錢是唯一可行的辦法了。支付贖金絕對是迫不得已情況下的最后選擇。

從安全角度考慮，受害者絕對不應(yīng)該支付，因?yàn)檫@只會鼓勵(lì)下一次索要更大額贖金的攻擊。但是，從公司角度考慮，如果不支付贖金業(yè)務(wù)就不能繼續(xù)運(yùn)營，那么公司只能面對現(xiàn)實(shí)。