近日，有众多网友表示由于某友软件漏洞而遭到勒索，此外，还有企业反馈被勒索，需支付比特币方能解密。

这是继不久前网络巨头思科遭“阎罗王”数据勒索后的又一起知名勒索事件。尽管勒索事件年年有，但还是因为不断中招年年愁。面对勒索病毒的频繁发生，很多企业禁不住发问：已经上了各种安全设备，为什么还是中招了？

一、揭开勒索病毒的庐山真面目

勒索病毒主要以邮件、程序木马、网页挂马的形式进行传播，利用各种非对称加密算法对文件进行加密，被感染者一般无法解密，必须拿到解密的私钥才有可能破解。勒索病毒性质恶劣、危害极大，一旦感染将给用户带来无法估量的损失。

1. 主要有哪些类型勒索病毒？

勒索病毒在攻击方式和复杂性方面不断演进。由于受害者没有选择余地，只能选择付款，因此，攻击者会进行大量的创新，包括双重勒索或三重敲诈勒索软件和勒索软件即服务。勒索病毒大致可分为两种类型：一种是限制用户访问系统（锁屏勒索软件），另一种是加密数据和文件，使用户无法访问（加密勒索软件）。下面是勒索病毒更为详细的分类。

● 锁屏类勒索病毒：大多数时候，感染这类勒索病毒后，用户只能查看锁屏，或者处理与支付赎金相关的要求。为了便于让用户向攻击者付款，鼠标和键盘的部分功能可以使用。锁屏类勒索病毒通常不会破坏数据，只是阻止用户访问数据。通常，用户屏幕上会有一个计时器，展示最后付款期限，督促受害者付款。

● 文件加密类勒索病毒：这类勒索病毒最为常见，它们会对受害者设备上的数据、信息或文件进行加密。受害者通常能够看到数据，甚至能够使用系统。但由于加密原因，他们无法访问数据。中招后，系统还会提示受害者进行支付。如果用户错过了最后期限，所有加密的数据将被永久删除。

● 数据窃取类勒索病毒：攻击者使用这类勒索病毒的目的不是销毁数据，而是威胁要将数据公开。通常，其攻击目标是处理机密或敏感数据的银行和国家机构等组织。

● 系统加密类勒索病毒：这类勒索病毒会对系统磁盘主引导记录、卷引导记录等进行加密，阻止用户访问磁盘，影响用户设备的正常启动和使用，并在屏幕上显示支付赎金的要求。

2. 勒索病毒是如何传播的？

在我们接触到的案例中，勒索病毒的主要传播途径有以下6种：

● 利用安全漏洞传播：利用各类系统或软件漏洞组合，或通过黑色产业链中的漏洞利用套件（如ExploitKit）来传播勒索软件。

● 利用钓鱼邮件传播：通过钓鱼邮件诱使用户打开邮件正文中的恶意链接或运行内嵌了勒索软件的附件，从而触发勒索软件的自动下载和运行。

● 利用网站挂马传播：向网页代理投放含有跳转链接的广告，诱导用户点击跳转含恶意代码的网站。进而触发下载勒索软件并执行;或仿造制作与知名站点相似的包含恶总代码的“高仿网站”，以此来诱骗用户点击,进而触发下载勒索软件并执行。

● 利用移动介质传播：通过隐藏U盘、移动硬盘等移动存储介质中的原有文件,创建与移动存储介质盘符、图标等相同的快捷方式并植入病毒。—旦用广点击就会运行勒索软件，或运行木马程序,便于未来实施针对性勒索攻击。

● 利用软件供应链传播：利用软件供应商与最终用户之间的信任，在合法软件生产、传播、安装或升级过程中,对合法软件进行劫持或篡改,从而绕过传统安全产品检查达到传播侵入的攻击类型。

● 利用远程桌面入侵传播：由于部分服务器会使用弱口令远程登录,攻击者便利用这一弱点实施暴力破解，实现远程登录并手动下载运行勒索软件。

勒索病毒团伙在利用这些传播手段入侵目标系统后，会先判断对应主机是否有防勒索或者杀毒软件，如果有会将对应相关软件关闭，再利用工具将失陷网络的机密数据上传到服务器，然后实施勒索。

3. 为什么上了很多安全设备还是中招了？

从入侵的技术手段来看，勒索病毒与网络入侵方式相比，并没有特殊之处，但是从影响的后果来看，其简单粗暴的入侵方式（即加密文件）让受害者无法从以“检测和响应”为基础的传统网络安全架构中找到合适的方式应对，尤其是大多数受害者目前主要还是以“人工响应”为主，事前检测不到、事中响应速度慢、事后无法彻底杜绝等问题，让现有的机制纰漏无所遁形。

对此，通常有三种选择可以有效应对：

● 减少恶意软件到达目标的机会，即减少目标接触；

● 在勒索病毒启动破坏动作（加密）时，立即阻止其行为；

● 破坏后，通过已有备份进行数据恢复，以辅助业务恢复正常。

二、勒索攻击主要发展趋势

通过深入分析全球数据勒索攻击新特点，研究国外应对勒索攻击的最新举措，我们发现勒索攻击呈现出以下新发展趋势：

● 从攻击对象来看，勒索软件组织针对基础设施发起攻击：几乎日常生活的方方面面都受到勒索软件的威胁，例如医院、警局、自来水厂、燃料管道、食品生产商和学校。比如，Colonial Pipeline勒索事件、世界最大肉类生产商JBS Foods遭REvil勒索攻击事件等等。

● 从攻击向量来看，RDP和钓鱼依旧是最常见的攻击方式：远程登录和钓鱼邮件是攻击者获得初始立足点的最常用方式，而且这两个攻击向量也是攻击者最便宜且最有利可图的方法。

● 从攻击目的来看，从单一加密勒索转向多重勒索：最初，攻击者从组织窃取和加密敏感数据，威胁受害者付款，否则就要公开发布这些数据。现在，攻击者现在还针对组织的客户和/或合作伙伴索要赎金。某些攻击者还会利用勒索病毒发起DDoS攻击。

● 从攻击模式来看，勒索软件即服务（RaaS）商业模式发展壮大：目前，在攻击中使用勒索软件即服务 (RaaS) 平台已成为常态。这种类型的服务为其他威胁行为者、攻击组织和个人提供了一个平台，并且实行的是联属营销模式。RaaS平台涵盖了勒索软件攻击所需的所有功能，从文件加密和存储到支付。

三、青藤勒索病毒治理方案

青藤通过深入分析勒索病毒威胁的规律,旨在强调注重严密性、可落地性，按照“风险梳理、入侵检测、内网隔离、威胁溯源”四条原则，在勒索攻击的事前、事中和事后设计部署防御勒索病毒攻击的解决方案。

1. 梳理风险，防患未然

在事件发生前，企业要做好安全防范。青藤万相·主机自适应安全平台能够进行细粒度的资产清点，并能够在此基础之上主动、持续性地监控所有主机上的软件漏洞、弱密码、应用风险、资产暴露性风险等，结合资产的重要程度准确定位最急需处理的风险，帮助企业快速有效解决潜在威胁，将勒索攻击团伙拒之门外。

2. 多锚点检测，确认失陷情况

勒索攻击从触达主机到造成业务破坏或窃取数据的目的需要进行持续渗透操作，这个过程往往需要数日甚至数月。青藤万相可实现多锚点入侵检测，及时发现绕过边界的未知威胁和有效攻击，有效判断黑客所使用的攻击手段及当前攻击阶段，清晰是否真实失陷。

3. 内网隔离，快速响应

在确认遭受勒索病毒攻击后，第一时间隔离感染设备、排查感染范围，做好勒索病毒攻击应急响应。青藤零域·微隔离安全平台是解决当代数据中心内部流量不可视且无法管控的难题，有效减缓攻击者在进入数据中心后横向渗透，快速便捷隔离失陷主机，为内网东西向流量管理提供新手段，应对勒索防护，减少安全人员投入的最佳手段。

4. 溯源取证，封堵源头

在事件发生后，我们会通过分析内网细粒度数据，建立入侵行为分析与狩猎机制，后续可以快速了解勒索病毒是如何感染的，内网中是否还有没有处理掉的病毒存在。之后，会根据溯源情况，采取加固措施，从源头解决入侵问题。

四、最后

勒索事件频繁发生再次向我们证明，勒索软件事件会严重影响业务流程，并让组织无法获得运营和交付关键任务服务所需的数据，或者将敏感数据公之于众，给组织带来重大的经济损失和声誉损害。从最初遭到入侵到最终恢复正常运行，对企业来说存在很大的挑战性。在此，我们再次提示，要提高安全意识，增强安全防范，防患于未然。