2021年6月，巴西肉類加工巨頭JBS SA美國子公司JBS USA Holdings遭受勒索軟件攻擊，導(dǎo)致公司負(fù)責(zé)加工全美近五分之一肉類供應(yīng)量的多家工廠被關(guān)閉，該公司隨后向犯罪分子支付了價值1100萬美元的比特幣贖金，以解決被攻擊事件。

[[416487]]

近年來，勒索軟件攻擊事件頻發(fā)，計算機(jī)被劫持除了會對個人造成損失還可能會破壞能源、電力等領(lǐng)域的關(guān)鍵基礎(chǔ)設(shè)施，危及社會公共安全。

據(jù)2020年虛擬貨幣犯罪統(tǒng)計顯示，2020年勒索攻擊案件超140起，案件數(shù)量對比2019年增長了近兩倍，向勒索軟件支付的虛擬貨幣贖金超過4.16億美元。

勒索軟件的前世今生

勒索軟件，又稱勒索病毒，是一種特殊的惡意軟件，與其他病毒最大的不同在于攻擊手法和中毒方式，部分勒索軟件僅是單純地將受害者的電腦鎖起來，而也有部分勒索軟件會系統(tǒng)性地加密受害者硬盤上的文件，所有的勒索軟件都會要求受害者繳納贖金以取回對電腦的控制權(quán)，或是取回受害者根本無從自行獲取的解密密鑰以解密文件。

1、起源

1989年，世界上出現(xiàn)了首例勒索軟件，名為“艾滋病信息木馬”，其開發(fā)者是1989年獲得哈佛大學(xué)博士學(xué)位名為約瑟夫·波普的生物學(xué)家，他向世界衛(wèi)生組織艾滋病會議的參加者分發(fā)了20,000張受到感染的磁盤，并且以"艾滋病信息-入門軟盤”命名，當(dāng)軟盤被插入電腦，就會顯示以下消息:

勒索信息要求用戶必須在巴拿馬的郵政郵箱向 PC Cyborg Corporation 發(fā)送189美元，以解鎖訪問權(quán)限，歷史上第一款勒索病毒就此誕生。

2006年，國內(nèi)出現(xiàn)了首款勒索軟件——Redplus勒索木馬，該木馬會隱藏用戶文檔，然后彈出窗口勒索贖金，金額從70-200元不等，但實際上用戶的文件并未丟失，只是被移動到一個具有隱藏屬性的文件夾中。

2、發(fā)展

隨著08年比特幣的誕生，勒索軟件攻擊邁入新的發(fā)展階段——比特幣贖金階段，2013年下半年，出現(xiàn)了一種名為CryptoLocker的特洛伊木馬，是以勒索軟件的形式出現(xiàn)的惡意軟件，以 Windows操作系統(tǒng)為主要攻擊目標(biāo)。

通常通過郵件附件傳播，附件執(zhí)行后會對特定類型的文件進(jìn)行加密，之后彈出付款消息窗口。

勒索信息表示如果在規(guī)定的期限內(nèi)支付比特幣贖金，就能夠解密這些文件，否則私人密鑰將會被銷毀，再也不能打開這些文件。

該惡意軟件還會提供一個由惡意軟件控制的線上服務(wù)提供解密，但要付出高額的比特幣。也就是從這款惡意軟件開始，黑客開始使用比特幣支付贖金。據(jù)消息稱，此惡意軟件為黑客組織帶來了近41000枚比特幣的收入。

3、爆發(fā)

2017年4月14日晚，黑客組織Shadow Brokers(影子經(jīng)紀(jì)人)公布一大批網(wǎng)絡(luò)攻擊工具，其中包含“永恒之藍(lán)”工具，“永恒之藍(lán)”利用Windows系統(tǒng)的SMB漏洞可以獲取系統(tǒng)最高權(quán)限。

5月12日，不法分子通過改造“永恒之藍(lán)”制作了WannaCry勒索病毒，在全球范圍感染電腦和服務(wù)器。五小時內(nèi)，英國、俄羅斯、烏克蘭、西班牙、法國整個歐洲都遭遇攻擊，包括政府、銀行、電力系統(tǒng)、通訊系統(tǒng)、能源企業(yè)、機(jī)場等重要基礎(chǔ)設(shè)施都被波及，國內(nèi)也有部分高校校內(nèi)網(wǎng)、大型企業(yè)內(nèi)網(wǎng)和政府機(jī)構(gòu)專網(wǎng)中招，被勒索支付高額贖金才能解密恢復(fù)文件，造成嚴(yán)重?fù)p失。

4、平臺化

2015年，一款名為Tox的勒索軟件開發(fā)包在年中發(fā)布，通過注冊服務(wù)，任何人都可創(chuàng)建勒索軟件，管理面板會顯示感染數(shù)量、支付贖金人數(shù)以及總體收益，Tox的創(chuàng)始人收取贖金的20%，一些黑客將勒索軟件開源，任何人都可以操作和修改勒索軟件，其支付工具有比特幣，還有更難追蹤匿名幣(如門羅幣等)。

5、多元化

近年來，一些酒店、企業(yè)或者醫(yī)院等“拖庫”事件頻發(fā)，黑客組織除了勒索遭受攻擊的企業(yè)外，一方面在暗網(wǎng)黑市上售賣竊取來的用戶隱私數(shù)據(jù)，以此來獲利;另一方面也勒索被泄露隱私的用戶，稱會大范圍傳播用戶的隱私，以此來恐嚇用戶獲取贖金。

勒索軟件的幾種形式

勒索軟件的攻擊形式多樣，主要可以分為：加密數(shù)據(jù)、鎖定系統(tǒng)、數(shù)據(jù)泄露、恐嚇用戶。

加密數(shù)據(jù)：這種形式最為多見，因為這種形式是受害群體數(shù)量最多、社會影響最廣的攻擊形式，攻擊者通常使用非對稱加密算法(理論上幾乎無法破解)對被攻擊者系統(tǒng)內(nèi)重要的數(shù)據(jù)、資料文檔等進(jìn)行加密，如果沒有攻擊者的私鑰，無法解密被鎖定的文件。然后通知用戶想要打開資料數(shù)據(jù)，則必須通過支付虛擬貨幣來完成解密。

鎖定系統(tǒng)：鎖定系統(tǒng)之后連系統(tǒng)都無法登錄，比如：篡改系統(tǒng)開機(jī)密碼，被攻擊者在沒有特定數(shù)字密鑰的情況下無法訪問服務(wù)器，攻擊者以此為要挾對用戶進(jìn)行勒索。

2019年5月初，黑客就入侵并控制了美國馬里蘭州巴爾的摩市大約1萬臺政府電腦，并索要13個比特幣(價值10萬美元)，不過該市政府拒絕交付這一筆贖金，結(jié)果就是使得政府部門在沒有特定數(shù)字密鑰的情況下無法訪問服務(wù)器，政府公務(wù)員無法訪問他們的電子郵件帳戶，普通市民無法使用基本市政服務(wù)，包括交水費、財產(chǎn)稅和停車票等等。

數(shù)據(jù)泄漏：此類形式主要是針對酒店、企業(yè)、醫(yī)院等實施，黑客通過入侵系統(tǒng)竊取到企業(yè)內(nèi)相關(guān)機(jī)密數(shù)據(jù)(用戶隱私信息、秘密文件等)，要求企業(yè)支付一定的金額進(jìn)行數(shù)據(jù)贖回，否則會在某一時間公開這批數(shù)據(jù)。

恐嚇用戶：主要通過對用戶的隱私進(jìn)行攻擊，勒索者通過大量群發(fā)勒索郵件，利用社會工程學(xué)，攻擊人性弱點，聲稱自己已經(jīng)入侵并控制了收件人的電腦，發(fā)現(xiàn)了不可告人的隱私秘密，如果不交付贖金就把你的秘密發(fā)到網(wǎng)上或者群發(fā)給你的好友，從而達(dá)到勒索錢財目的。

勒索軟件的傳播

勒索軟件正在快速地演變，融合了很多惡意軟件的傳播特性，新的勒索病毒能夠在企業(yè)中快速地傳播和感染整個網(wǎng)絡(luò)，對能夠訪問的各種數(shù)據(jù)進(jìn)行加密，甚至很多企業(yè)因此造成了業(yè)務(wù)的中斷，這對企業(yè)的安全防御帶來了巨大的挑戰(zhàn)。

電子郵件

攻擊者通過發(fā)送電子郵件的形式傳播勒索軟件，這種電子郵件看起來與某些知名的機(jī)構(gòu)、品牌或者社交網(wǎng)站的界面極度相似，減輕被攻擊者的戒備，攻擊者將惡意鏈接直接放在郵件中或者放在電子郵件的附件中，只要被攻擊者點擊了這個鏈接或打開了這個附件，包含勒索軟件的文件就會被自動下載、觸發(fā)。

案例：2019年3月11日起，境外某黑客組織對我國有關(guān)政府部門開展勒索病毒郵件攻擊。郵件內(nèi)容為“你必須在3月11日下午3點向警察局報到!”，附件名為“03-11-19.rar”。

研究發(fā)現(xiàn)，該勒索病毒版本號為GANDCRAB V5.2，是國內(nèi)最活躍的勒索病毒之一，郵件傳播是他們最廣泛使用的傳播方式，而且由于使用了RSA+Salsa20的加密方式，受害用戶無法拿到病毒作者手中私鑰，無法解密。該病毒運(yùn)行后將對用戶主機(jī)硬盤數(shù)據(jù)全盤加密，要求受害用戶繳納贖金。

網(wǎng)站和下載

用戶瀏覽受感染的網(wǎng)站并下載軟件，讓用戶誤以為這是一個真正的軟件，但它實際上是包含勒索病毒的勒索軟件。

案例：2016年，首個針對蘋果操作系統(tǒng)的勒索軟件KeRanger被發(fā)布，它通過已經(jīng)遭受感染的Transmission BitTorrent客戶端的安裝程序進(jìn)行迅速傳播。在2016年3月4日和5日下載Transmission的Mac OS X的用戶都有可能面臨該惡意軟件的威脅。

用戶一旦安裝該勒索軟件，KeRanger將會搜索大約300個不同的文件類型，并對其發(fā)現(xiàn)的任意文件進(jìn)行加密。隨后，該勒索軟件會彈出要求受害者支付1比特幣贖金的勒索通知單，并要求被攻擊者通過暗網(wǎng)完成贖金支付。

利用漏洞傳播

攻擊者抓住很多人認(rèn)為打補(bǔ)丁沒用還會拖慢系統(tǒng)的錯誤認(rèn)識，從而利用剛修復(fù)不久或大家重視程度不高的漏洞進(jìn)行傳播。

如果用戶未及時更新系統(tǒng)或安裝補(bǔ)丁，那么即便用戶未進(jìn)行任何不當(dāng)操作，也有可能在完全沒有預(yù)兆的情況下中勒索病毒。此類勒索軟件在破壞功能上與傳統(tǒng)勒索軟件無異，但因為傳播方式不同，導(dǎo)致更加難以防范，需要用戶自身提高安全意識，盡快更新有漏洞的軟件或安裝對應(yīng)的安全補(bǔ)丁。

案例：WannaCry是一種“蠕蟲式”的勒索病毒軟件，大小3.3MB，由不法分子利用NSA(National Security Agency，美國國家安全局)泄露的危險漏洞“EternalBlue”(永恒之藍(lán))進(jìn)行傳播。

該病毒感染計算機(jī)后，會導(dǎo)致電腦大量文件被加密。受害者電腦被黑客鎖定后，病毒會提示支付當(dāng)時價值約300美元的比特幣才可解鎖。

虛擬貨幣作為贖金

從技術(shù)層面上來看，我們不得不承認(rèn)，勒索病毒和虛擬貨幣二者的結(jié)合非常完美，在虛擬貨幣被廣泛使用之前，病毒的制造者想通過勒索病毒直接獲利并不是太容易的事情，他們除了要挾持受害者的計算機(jī)設(shè)備或文件，還得讓受害者支付現(xiàn)金或銀行轉(zhuǎn)帳才能獲得收益，這種方式太容易被警方抓獲。

所以在過去的幾十年中，雖然勒索病毒很早就存在，但并沒有大規(guī)模的爆發(fā)，造成巨大影響。而虛擬貨幣的出現(xiàn)打破了這一平衡，受害人通過虛擬貨幣的形式支付，虛擬貨幣的匿名性和全球流通性不僅可以極為快捷地跨境交易，更可以一定程度的躲避監(jiān)管。

被勒索軟件攻擊的企業(yè)會收到勒索贖金通知單，通知單中要求被攻擊者使用虛擬貨幣支付贖金，通常還包括如何從交易所購買虛擬貨幣的指南。

虛擬貨幣雖然給黑客組織帶來了“新通道”，但是目前能夠使用虛擬貨幣直接支付的場景非常少，所以攻擊者得到虛擬貨幣贖金之后必然將其兌現(xiàn)為法幣，那么通過分析資金流向就可能追蹤到犯罪分子的蹤跡。

止損和預(yù)防措施

當(dāng)我們已經(jīng)確認(rèn)被勒索軟件攻擊后，應(yīng)當(dāng)及時采取必要的止損措施，避免損失的進(jìn)一步擴(kuò)大。

當(dāng)確認(rèn)服務(wù)器已經(jīng)被感染勒索病毒后，應(yīng)立即隔離被感染主機(jī)。一方面是為了防止感染主機(jī)自動通過連接的網(wǎng)絡(luò)繼續(xù)感染其他服務(wù)器;另一方面是為了防止黑客通過感染主機(jī)繼續(xù)操控其他服務(wù)器。

隔離常用的操作方法是斷網(wǎng)和關(guān)機(jī)。斷網(wǎng)主要操作步驟包括：拔掉網(wǎng)線、禁用網(wǎng)卡，如果是筆記本電腦還需關(guān)閉無線網(wǎng)絡(luò)。

在已經(jīng)隔離被感染主機(jī)后，應(yīng)對局域網(wǎng)內(nèi)的其他機(jī)器進(jìn)行排查，檢查核心業(yè)務(wù)系統(tǒng)是否受到影響，生產(chǎn)線是否受到影響，并檢查備份系統(tǒng)是否被加密等，以確定感染的范圍。

另外，備份系統(tǒng)如果是安全的，就可以避免支付贖金，順利地恢復(fù)文件。

所以，當(dāng)確認(rèn)服務(wù)器已經(jīng)被感染勒索病毒后，并確認(rèn)已經(jīng)隔離被感染主機(jī)的情況下，應(yīng)立即對核心業(yè)務(wù)系統(tǒng)和備份系統(tǒng)進(jìn)行排查。

基于勒索軟件可防可控不可治的特點，知帆科技安全專家提醒大家：

• 企業(yè)用戶：構(gòu)建網(wǎng)絡(luò)安全防護(hù)體系，加強(qiáng)數(shù)據(jù)安全保護(hù)，設(shè)置防火墻，及時更新病毒庫，廣泛獲取威脅情報，建立企業(yè)病毒預(yù)警機(jī)制。
• 個人用戶：提高網(wǎng)絡(luò)安全意識，定期給操作系統(tǒng)打補(bǔ)丁，不要點擊來源不明的郵件、鏈接和軟件，重要的數(shù)據(jù)和文檔及時備份。