定義

勒索軟件是一種惡意軟件，通常通過加密來威脅發(fā)布或阻止對數(shù)據(jù)或計算機(jī)系統(tǒng)的訪問，直到受害者向攻擊者支付贖金。在許多情況下，贖金要求都有最后期限。如果受害者沒有及時付款，數(shù)據(jù)就會永遠(yuǎn)消失，或者贖金會增加。

勒索軟件攻擊已經(jīng)變得非常普遍。北美和歐洲的大公司都成為了受害者。網(wǎng)絡(luò)犯罪分子攻擊任何行業(yè)的任何消費(fèi)者或企業(yè)。

包括美國聯(lián)邦調(diào)查局 (FBI) 在內(nèi)的多個政府機(jī)構(gòu)建議不要支付贖金，以免鼓勵勒索軟件循環(huán)，“不再勒索項(xiàng)目”也是如此。此外，支付贖金的受害者中有一半可能會遭受重復(fù)的勒索軟件攻擊，特別是如果它沒有從系統(tǒng)中清除的話。

勒索軟件攻擊的歷史

勒索軟件可以追溯到 1989 年，當(dāng)時“艾滋病病毒”被用來向勒索軟件接收者勒索資金。該攻擊的付款被郵寄到巴拿馬，此時解密密鑰被發(fā)送回用戶。

1996 年，哥倫比亞大學(xué)的 Moti Yung 和 Adam Young 推出了被稱為“加密病毒勒索”的勒索軟件。這個誕生于學(xué)術(shù)界的想法闡釋了現(xiàn)代密碼工具的進(jìn)步、力量和創(chuàng)造。Young 和 Yung 在 1996 年 IEEE 安全和隱私會議上提出了首次加密病毒學(xué)攻擊。他們的病毒包含攻擊者的公鑰并加密了受害者的文件。然后，惡意軟件提示受害者向攻擊者發(fā)送非對稱密文，以解密并返回解密密鑰（需付費(fèi)）。

多年來，攻擊者越來越有創(chuàng)意，要求支付幾乎無法追蹤的費(fèi)用，這有助于網(wǎng)絡(luò)犯罪分子保持匿名。例如，臭名昭著的移動勒索軟件 Fusob 要求受害者使用 Apple iTunes 禮品卡而不是美元等標(biāo)準(zhǔn)貨幣進(jìn)行支付。

隨著比特幣等加密貨幣的增長，勒索軟件攻擊開始流行起來。加密貨幣是一種數(shù)字貨幣，它使用加密技術(shù)來驗(yàn)證和保護(hù)交易并控制新單位的創(chuàng)建。除了比特幣之外，攻擊者還提示受害者使用其他流行的加密貨幣，例如以太坊、萊特幣和瑞波幣。

勒索軟件攻擊了幾乎所有垂直領(lǐng)域的組織，其中最著名的病毒之一是對長老會紀(jì)念醫(yī)院的攻擊。這次攻擊感染了實(shí)驗(yàn)室、藥房和急診室，凸顯了勒索軟件的潛在損害和風(fēng)險。

隨著時間的推移，社會工程攻擊者變得更具創(chuàng)新性。英國《衛(wèi)報》報道了一種情況，新的勒索軟件受害者被要求讓另外兩名用戶安裝該鏈接并支付贖金來解密他們的文件。

勒索軟件的類型

勒索軟件的日益流行帶來了日益復(fù)雜的勒索軟件攻擊。

• 恐嚇軟件：這種常見類型的勒索軟件通過顯示虛假警告消息來欺騙用戶，聲稱已在受害者的計算機(jī)上檢測到惡意軟件。這些攻擊通常偽裝成防病毒解決方案，要求付費(fèi)才能刪除不存在的惡意軟件。
• 屏幕鎖：這些程序旨在將受害者鎖定在計算機(jī)之外，阻止他們訪問任何文件或數(shù)據(jù)。通常會顯示一條消息，要求付款才能解鎖。
• 加密勒索軟件：也稱為“加密勒索軟件”，這種常見的勒索軟件會對受害者的文件進(jìn)行加密，并要求付款以換取解密密鑰。
• DDoS 勒索：分布式拒絕服務(wù)勒索威脅會對受害者的網(wǎng)站或網(wǎng)絡(luò)發(fā)起 DDoS 攻擊，除非支付贖金。
• 移動勒索軟件：顧名思義，移動勒索軟件針對智能手機(jī)和平板電腦等設(shè)備，并要求付費(fèi)才能解鎖設(shè)備或解密數(shù)據(jù)。
• Doxware：雖然不太常見，但這種復(fù)雜類型的勒索軟件可能會發(fā)布受害者計算機(jī)上的敏感、明確或機(jī)密信息，除非支付贖金。
• 勒索軟件即服務(wù) (RaaS)：網(wǎng)絡(luò)犯罪分子向其他黑客或網(wǎng)絡(luò)攻擊者提供勒索軟件程序，這些黑客或網(wǎng)絡(luò)攻擊者使用此類程序來瞄準(zhǔn)受害者。

這些只是一些最常見的勒索軟件類型。隨著網(wǎng)絡(luò)犯罪分子適應(yīng)網(wǎng)絡(luò)安全策略，他們轉(zhuǎn)向利用新的創(chuàng)新方法來利用漏洞和破壞計算機(jī)系統(tǒng)。

勒索軟件示例

通過了解下面的主要勒索軟件攻擊，組織將獲得其策略、漏洞和特征的堅(jiān)實(shí)基礎(chǔ)。雖然勒索軟件代碼、目標(biāo)和功能不斷變化，但攻擊創(chuàng)新通常是漸進(jìn)的。

• WannaCry：利用強(qiáng)大的 Microsoft 漏洞創(chuàng)建了一種全球性的勒索軟件蠕蟲，該蠕蟲感染了超過 250,000 個系統(tǒng)，然后啟動了終止開關(guān)以阻止其傳播。Proofpoint 參與識別用于查找終止開關(guān)的樣本并解構(gòu)勒索軟件。了解有關(guān)Proofpoint 參與阻止 WannaCry 的更多信息。
• CryptoLocker：這是當(dāng)前一代早期的勒索軟件，需要加密貨幣（比特幣）進(jìn)行支付，并對用戶的硬盤驅(qū)動器和連接的網(wǎng)絡(luò)驅(qū)動器進(jìn)行加密。CryptoLocker通過一封帶有聲稱是 FedEx 和 UPS 跟蹤通知的附件的電子郵件進(jìn)行傳播。2014 年為此發(fā)布了解密工具。但各種報告表明 CryptoLocker 勒索了超過 2700 萬美元。
• NotPetya： NotPetya 被認(rèn)為是最具破壞性的勒索軟件攻擊之一，它利用了同名的Petya策略，例如感染和加密基于 Microsoft Windows 的系統(tǒng)的主引導(dǎo)記錄。NotPetya 針對與 WannaCry 相同的漏洞，快速傳播比特幣支付需求以撤消更改。有些人將其歸類為擦除器，因?yàn)?NotPetya 無法撤消其對主引導(dǎo)記錄的更改，并使目標(biāo)系統(tǒng)無法恢復(fù)。
• Bad Rabbit：Bad Rabbit被認(rèn)為是 NotPetya 的近親，使用類似的代碼和漏洞進(jìn)行傳播，是一種明顯的勒索軟件，似乎針對俄羅斯和烏克蘭媒體公司。與 NotPetya 不同的是，如果支付了贖金，Bad Rabbit 確實(shí)允許解密。大多數(shù)案例表明，它是通過虛假的 Flash 播放器更新傳播的，該更新通過路過式攻擊影響用戶。
• REvil： REvil 是由一群出于經(jīng)濟(jì)動機(jī)的攻擊者編寫的。它會在加密之前泄露數(shù)據(jù)，以勒索目標(biāo)受害者，如果他們選擇不發(fā)送贖金，則必須付費(fèi)。此次攻擊源于用于修補(bǔ) Windows 和 Mac 基礎(chǔ)設(shè)施的 IT 管理軟件遭到破壞。攻擊者破壞了用于將 REvil 勒索軟件注入企業(yè)系統(tǒng)的 Kaseya 軟件。
• Ryuk： Ryuk 是一種手動分發(fā)的勒索軟件應(yīng)用程序，主要用于魚叉式網(wǎng)絡(luò)釣魚。通過偵察仔細(xì)選擇目標(biāo)。電子郵件會發(fā)送給選定的受害者，然后受感染系統(tǒng)上托管的所有文件都會被加密。

勒索軟件統(tǒng)計

盡管勒索軟件攻擊的數(shù)量多年來一直在波動，但這些類型的網(wǎng)絡(luò)攻擊仍然是對組織最常見且代價最高的攻擊之一。勒索軟件攻擊統(tǒng)計數(shù)據(jù)令人震驚，呼吁組織采取行動加強(qiáng)網(wǎng)絡(luò)安全措施和安全意識培訓(xùn)。

• 根據(jù) Sophos 的《2022 年勒索軟件狀況》報告，2021 年勒索軟件攻擊影響了 66% 的組織，與 2020 年相比同比大幅增長 78%。
• Proofpoint 的 2023 年網(wǎng)絡(luò)釣魚狀況報告發(fā)現(xiàn)，64% 的受訪組織表示他們在 2022 年受到勒索軟件的影響，其中超過三分之二的組織報告了多起事件。反過來，專家推測去年的實(shí)際事故數(shù)量和相關(guān)損失遠(yuǎn)高于報道的數(shù)量。
• 醫(yī)療保健行業(yè)仍然是勒索軟件的最大目標(biāo)，贖金支付率為 85%。然而，根據(jù) BlackFog 的 2022 年勒索軟件報告，教育機(jī)構(gòu)的勒索軟件攻擊增幅最大（2021 年為 28%）。
• 根據(jù) Google 的 VirusTotal 服務(wù)，Windows 系統(tǒng)代表了絕大多數(shù)受影響的系統(tǒng)，占勒索軟件惡意軟件攻擊的 95%。
• 據(jù) Cybersecurity Ventures 稱，到 2031 年，勒索軟件攻擊預(yù)計每年會給受害者造成超過 2650 億美元的損失。

勒索軟件趨勢

根據(jù)最新統(tǒng)計數(shù)據(jù)，勒索軟件趨勢不斷發(fā)展。一些值得注意的最引人注目的趨勢包括：

• 全球化威脅增加
• 更有針對性和復(fù)雜的攻擊
• 多級勒索技術(shù)的增長
• 勒索軟件泄露的頻率更高
• 隨著安全態(tài)勢的加強(qiáng)，贖金價格趨于穩(wěn)定

政府干預(yù)是另一個可能改變勒索軟件攻擊處理方式的主要趨勢。Gartner 預(yù)測，到 2025 年，全球 30% 的政府可能會頒布勒索軟件支付立法。

勒索軟件付款的平均折扣似乎也在增加。根據(jù)最新的勒索軟件趨勢，受害者的贖金支付可享受 20% 至 25% 的折扣，有些人的折扣甚至高達(dá) 60%。

勒索軟件如何運(yùn)作

勒索軟件是一種惡意軟件，旨在向受害者勒索金錢，受害者被阻止或阻止訪問其系統(tǒng)上的數(shù)據(jù)。最流行的兩種勒索軟件是“加密器”和“屏幕鎖”。顧名思義，加密器對系統(tǒng)上的數(shù)據(jù)進(jìn)行加密，如果沒有解密密鑰，內(nèi)容將毫無用處。另一方面，屏幕儲物柜只是通過“鎖定”屏幕阻止對系統(tǒng)的訪問，斷言系統(tǒng)已加密。

圖 1：勒索軟件如何試圖誘騙受害者安裝它

受害者通常會在鎖定屏幕（加密器和屏幕儲物柜都很常見）上收到通知，要求他們購買加密貨幣（例如比特幣）來支付贖金。支付贖金后，客戶會收到解密密鑰并可以嘗試解密文件。無法保證解密，因?yàn)槎鄠€來源報告稱在支付贖金后解密取得了不同程度的成功。有時受害者永遠(yuǎn)不會收到鑰匙。即使支付了贖金并發(fā)布了數(shù)據(jù)，某些攻擊也會在計算機(jī)系統(tǒng)上安裝惡意軟件。

雖然加密勒索軟件最初專注于個人計算機(jī)，但現(xiàn)在越來越多地針對企業(yè)用戶，因?yàn)槠髽I(yè)通常比個人支付更多費(fèi)用來解鎖關(guān)鍵系統(tǒng)并恢復(fù)日常運(yùn)營。

企業(yè)勒索軟件感染或病毒通常始于惡意電子郵件。毫無戒心的用戶打開附件或單擊惡意或受感染的 URL。

此時，勒索軟件代理將被安裝并加密受害者電腦上的關(guān)鍵文件和任何附加的文件共享。加密數(shù)據(jù)后，勒索軟件會在受感染的設(shè)備上顯示一條消息，解釋發(fā)生了什么以及如何向攻擊者付款。如果受害者付款，勒索軟件承諾他們將獲得解鎖數(shù)據(jù)的代碼。

誰面臨風(fēng)險？

任何連接到互聯(lián)網(wǎng)的設(shè)備都有可能成為下一個勒索軟件受害者。勒索軟件會掃描本地設(shè)備和任何連接網(wǎng)絡(luò)的存儲，這意味著易受攻擊的設(shè)備會使本地網(wǎng)絡(luò)成為潛在的受害者。如果本地網(wǎng)絡(luò)是一家企業(yè)，勒索軟件可能會對重要文檔和系統(tǒng)文件進(jìn)行加密，從而導(dǎo)致服務(wù)和生產(chǎn)力停止。

如果設(shè)備連接到互聯(lián)網(wǎng)，則應(yīng)使用最新的軟件安全補(bǔ)丁進(jìn)行更新，并且應(yīng)安裝用于檢測和阻止勒索軟件的反惡意軟件。不再維護(hù)的過時操作系統(tǒng)（例如 Windows XP）面臨的風(fēng)險要高得多。

勒索軟件對業(yè)務(wù)的影響

成為勒索軟件受害者的企業(yè)可能會損失數(shù)千美元的生產(chǎn)力和數(shù)據(jù)丟失。有權(quán)訪問數(shù)據(jù)的攻擊者通過威脅釋放數(shù)據(jù)并揭露數(shù)據(jù)泄露事件來勒索受害者支付贖金。支付速度不夠快的組織可能會遇到額外的副作用，例如品牌損害和訴訟。

由于勒索軟件會影響生產(chǎn)力，因此第一步就是遏制。遏制后，組織可以從備份中恢復(fù)或支付贖金。執(zhí)法部門參與調(diào)查，但追蹤勒索軟件作者需要研究時間，這會延遲恢復(fù)。根本原因分析可以識別漏洞，但任何恢復(fù)延遲都會影響生產(chǎn)力和業(yè)務(wù)收入。

勒索軟件為何蔓延？

隨著越來越多的人在家工作，威脅行為者越來越多地使用網(wǎng)絡(luò)釣魚。網(wǎng)絡(luò)釣魚是勒索軟件感染的主要起點(diǎn)。網(wǎng)絡(luò)釣魚電子郵件針對員工，包括低權(quán)限和高權(quán)限用戶。電子郵件價格便宜且易于使用，使攻擊者可以方便地傳播勒索軟件。

文檔通常通過電子郵件傳遞，因此用戶認(rèn)為打開電子郵件附件中的文件沒什么意義。惡意宏運(yùn)行，將勒索軟件下載到本地設(shè)備，然后傳遞其有效負(fù)載。通過電子郵件傳播勒索軟件很容易，這就是它成為常見惡意軟件攻擊的原因。

惡意軟件工具包的出現(xiàn)也導(dǎo)致了廣泛的勒索軟件攻擊。這些漏洞利用工具包會掃描設(shè)備中的軟件漏洞，并部署其他惡意軟件以進(jìn)一步感染設(shè)備，從而按需生成惡意軟件樣本。惡意軟件即服務(wù)趨勢推動了這些工具包的流行。

誰是惡意角色？

復(fù)雜的攻擊可能會使用勒索軟件，作者也構(gòu)建了自己的版本。變體使用現(xiàn)有勒索軟件版本的代碼庫，并改變足夠的功能來改變有效負(fù)載和攻擊方法。勒索軟件作者可以自定義其惡意軟件以執(zhí)行任何操作并使用首選加密密碼。

攻擊者并不總是作者。一些勒索軟件作者將其軟件出售給其他人或出租使用。勒索軟件可以作為惡意軟件即服務(wù) (MaaS) 進(jìn)行租賃，客戶可以通過儀表板進(jìn)行身份驗(yàn)證并啟動自己的活動。因此，攻擊者并不總是程序員和惡意軟件專家。他們也是向作者付費(fèi)以出租勒索軟件的個人。

為什么你不應(yīng)該支付勒索軟件費(fèi)用

勒索軟件加密文件后，會向用戶顯示一個屏幕，宣布文件已加密以及勒索金額。通常，受害者會在特定期限內(nèi)支付贖金或增加贖金。攻擊者還威脅要揭露企業(yè)并公開宣布他們是勒索軟件的受害者。

支付贖金的最大風(fēng)險是永遠(yuǎn)不會收到解密數(shù)據(jù)的密鑰。大多數(shù)專家建議不要支付贖金，以阻止攻擊者永久獲得金錢利益，但許多組織別無選擇。勒索軟件作者需要加密貨幣付款，因此資金轉(zhuǎn)移無法逆轉(zhuǎn)。

響應(yīng)攻擊的步驟

勒索軟件的有效負(fù)載是立即的。該惡意軟件向用戶顯示一條消息，其中包含付款說明以及有關(guān)文件發(fā)生情況的信息。管理員必須迅速做出反應(yīng)，因?yàn)槔账鬈浖赡軙鞑サ綊呙杵渌W(wǎng)絡(luò)位置以查找關(guān)鍵文件。您可以采取一些基本步驟來正確應(yīng)對勒索軟件，但請注意，根本原因分析、清理和調(diào)查通常需要專家干預(yù)。

• 確定哪些系統(tǒng)受到影響。您必須隔離系統(tǒng)，以便它們不會影響環(huán)境的其他部分。此步驟是遏制措施的一部分，旨在最大限度地減少對環(huán)境的損害。
• 如有必要，請斷開系統(tǒng)并關(guān)閉電源。勒索軟件在網(wǎng)絡(luò)上迅速傳播，因此必須通過禁用網(wǎng)絡(luò)訪問或關(guān)閉系統(tǒng)來斷開所有系統(tǒng)的連接。
• 優(yōu)先恢復(fù)系統(tǒng)。這可以確保最關(guān)鍵的部分首先恢復(fù)正常。通常，優(yōu)先級基于生產(chǎn)力和收入影響。
• 消除網(wǎng)絡(luò)威脅。攻擊者可能會使用后門，因此必須由值得信賴的專家來消除。專家需要訪問日志來執(zhí)行根本原因分析，以識別漏洞和所有受影響的系統(tǒng)。
• 請專業(yè)人員檢查環(huán)境是否存在潛在的安全升級。勒索軟件受害者成為第二次攻擊的目標(biāo)是很常見的。未檢測到的漏洞可以再次被利用。

新的勒索軟件威脅

作者不斷地將代碼更改為新的變體以避免被發(fā)現(xiàn)。管理員和反惡意軟件開發(fā)人員必須跟上這些新方法，以便在威脅通過網(wǎng)絡(luò)傳播之前快速檢測到威脅。以下是一些新的威脅：

• DLL 端加載。惡意軟件試圖通過使用看似合法函數(shù)的 DLL 和服務(wù)來避免檢測。
• Web 服務(wù)器作為目標(biāo)。共享托管環(huán)境中的惡意軟件可能會影響服務(wù)器上托管的所有站點(diǎn)。勒索軟件（例如 Ryuk）以托管網(wǎng)站為目標(biāo)，主要使用網(wǎng)絡(luò)釣魚電子郵件。
• 魚叉式網(wǎng)絡(luò)釣魚優(yōu)于標(biāo)準(zhǔn)網(wǎng)絡(luò)釣魚。攻擊者不是向數(shù)千個目標(biāo)發(fā)送惡意軟件，而是對潛在目標(biāo)進(jìn)行偵察，以獲取高權(quán)限網(wǎng)絡(luò)訪問權(quán)限。
• 勒索軟件即服務(wù) (RaaS) 允許用戶在沒有任何網(wǎng)絡(luò)安全知識的情況下發(fā)起攻擊。RaaS 的引入導(dǎo)致勒索軟件攻擊增加。

使用勒索軟件的威脅增加的主要原因是遠(yuǎn)程工作。這場大流行帶來了一種新的全球工作方式。在家工作的員工更容易受到威脅。家庭用戶沒有必要的企業(yè)級網(wǎng)絡(luò)安全來防范復(fù)雜的攻擊，而且其中許多用戶將個人設(shè)備與工作設(shè)備混合在一起。由于勒索軟件會掃描網(wǎng)絡(luò)中是否存在易受攻擊的設(shè)備，因此感染惡意軟件的個人計算機(jī)也可能會感染網(wǎng)絡(luò)連接的商用機(jī)器。

勒索軟件預(yù)防和檢測

預(yù)防勒索軟件攻擊通常涉及設(shè)置和測試備份以及在安全工具中應(yīng)用勒索軟件防護(hù)。電子郵件保護(hù)網(wǎng)關(guān)等安全工具是第一道防線，而端點(diǎn)是第二道防線。入侵檢測系統(tǒng) (IDS) 可以檢測勒索軟件命令和控制，以針對調(diào)用控制服務(wù)器的勒索軟件系統(tǒng)發(fā)出警報。雖然用戶培訓(xùn)至關(guān)重要，但這只是防范勒索軟件的多層防御之一。它通常在通過電子郵件網(wǎng)絡(luò)釣魚發(fā)送勒索軟件后發(fā)揮作用。

如果其他勒索軟件預(yù)防性防御失敗，后備措施是儲存比特幣。當(dāng)直接損害可能影響受影響組織的客戶或用戶時，這種情況更為普遍。醫(yī)院和酒店業(yè)尤其面臨勒索軟件的風(fēng)險，因?yàn)榛颊叩纳羁赡軙艿接绊?，或者人們可能被鎖在或鎖在設(shè)施外。

之前/之后

如何防止勒索軟件攻擊

• 保護(hù)電子郵件免受勒索軟件的侵害：電子郵件網(wǎng)絡(luò)釣魚和垃圾郵件是勒索軟件攻擊的主要傳播方式。具有針對性攻擊保護(hù)的安全電子郵件網(wǎng)關(guān)對于檢測和阻止傳播勒索軟件的惡意電子郵件至關(guān)重要。這些解決方案可防止發(fā)送到用戶計算機(jī)的電子郵件中的惡意附件、惡意文檔和 URL。
• 保護(hù)移動設(shè)備免受勒索軟件的侵害：與移動設(shè)備管理 (MDM) 工具結(jié)合使用時，移動攻擊防護(hù)產(chǎn)品可以分析用戶設(shè)備上的應(yīng)用程序，并立即向用戶和 IT 人員發(fā)出可能危害環(huán)境的任何應(yīng)用程序的警報。
• 保護(hù)網(wǎng)絡(luò)沖浪免受勒索軟件的侵害：安全網(wǎng)絡(luò)網(wǎng)關(guān)可以掃描用戶的網(wǎng)絡(luò)沖浪流量，以識別可能導(dǎo)致勒索軟件的惡意網(wǎng)絡(luò)廣告。
• 監(jiān)控服務(wù)器和網(wǎng)絡(luò)并備份關(guān)鍵系統(tǒng)：監(jiān)控工具可以及時檢測異常文件訪問活動、病毒、網(wǎng)絡(luò) C&C 流量和 CPU 負(fù)載，以阻止勒索軟件激活。保留關(guān)鍵系統(tǒng)的完整映像副本可以降低機(jī)器崩潰或加密導(dǎo)致關(guān)鍵操作瓶頸的風(fēng)險。

如何刪除勒索軟件

致電聯(lián)邦和地方執(zhí)法部門：就像有人會致電聯(lián)邦機(jī)構(gòu)處理綁架事件一樣，組織也必須聯(lián)系同一機(jī)構(gòu)來處理勒索軟件問題。他們的取證技術(shù)人員可以確保系統(tǒng)不會以其他方式受到損害，收集信息以更好地保護(hù)組織的未來，并嘗試找到攻擊者。

勒索軟件恢復(fù)

• 了解反勒索軟件資源： No More Ransom 門戶和 Bleeping Computer 提供針對選定勒索軟件攻擊的提示、建議，甚至解密器。
• 恢復(fù)數(shù)據(jù)：如果組織遵循最佳實(shí)踐并保留系統(tǒng)備份，則可以恢復(fù)系統(tǒng)并恢復(fù)正常運(yùn)營。