勒索病毒的攻擊原理與防范措施探究

姜彬 居曉琴 施志剛

摘要：互聯(lián)網(wǎng)的普及在給人們帶來各種便利的同時(shí)也給人們的經(jīng)濟(jì)、生產(chǎn)和生活等帶來了一定的負(fù)面影響。互聯(lián)網(wǎng)面臨的各種安全威脅層出不窮，其中尤以勒索病毒帶來的危害最甚，勒索病毒正成為全球網(wǎng)絡(luò)安全研究的熱點(diǎn)問題。文章從勒索病毒的概念、背景、類型、攻擊原理等方面對勒索病毒相關(guān)問題進(jìn)行了闡述，分析了勒索病毒的攻擊過程并對其防范給出了具體的措施，以期對進(jìn)一步研究和探索勒索病毒提供一定的應(yīng)用參考。

關(guān)鍵詞：勒索病毒；攻擊原理；防范措施

中圖分類號：TP393? ? ? ? 文獻(xiàn)標(biāo)識碼：A

文章編號：1009-3044（2023）31-0095-03

開放科學(xué)（資源服務(wù)）標(biāo)識碼（OSID）

0 引言

勒索病毒，也被稱為勒索蠕蟲，是一種惡意軟件，它通過加密用戶文件、設(shè)備鎖屏，以通過為受害者提供文件解密密鑰或設(shè)備屏幕解鎖密鑰來獲取用戶支付的贖金，或者通過售出由竊取的網(wǎng)絡(luò)算力挖出的加密貨幣進(jìn)行勒索獲利。通常，勒索信息會(huì)以彈窗或文本文檔的形式出現(xiàn)在用戶屏幕上。

當(dāng)前，勒索病毒正日益成為全球頭號安全威脅。數(shù)據(jù)表明，超過三分之二的企業(yè)在過去一年中至少經(jīng)歷過一次勒索攻擊。根據(jù)SonicWall發(fā)布的2022年年中網(wǎng)絡(luò)威脅報(bào)告，2022年1—6月，全球共記錄了2.361億次勒索病毒攻擊[1]。此外，根據(jù)Resecurity報(bào)告，到2031年，全球勒索病毒勒索活動(dòng)將達(dá)到2650億美元，對全球企業(yè)造成的潛在總損失或達(dá)到10.5萬億美元 [2]。勒索病毒的危害整體呈現(xiàn)范圍廣、次數(shù)多、經(jīng)濟(jì)損失大的特點(diǎn)。在此形勢下，如何應(yīng)對勒索病毒攻擊成為全球網(wǎng)絡(luò)安全的難題。本文擬在勒索病毒相關(guān)概念、攻擊原理等理論基礎(chǔ)上，探究勒索病毒攻擊過程并對其提出具體的防范措施。

1 勒索病毒的類型

勒索病毒攻擊有多種攻擊目標(biāo)（有的是針對系統(tǒng)中特定文件，有的是針對系統(tǒng)本身，有的是針對網(wǎng)絡(luò)資源等）。勒索病毒根據(jù)攻擊針對目標(biāo)的不同可以分為加密型、鎖屏型和挖礦型三種類型的勒索病毒。從目標(biāo)導(dǎo)向來看，勒索病毒又可分為傳統(tǒng)的非定向型勒索攻擊和定向勒索攻擊兩種類型。

1.1 加密型

文件加密勒索病毒是最常見的一種勒索病毒（感染文件加密勒索病毒后的癥狀如圖1所示），它旨在加密計(jì)算機(jī)或網(wǎng)絡(luò)上的文件并阻止用戶訪問這些文件，攻擊者會(huì)給受害者發(fā)送一條消息，要求其繳納一定數(shù)量的贖金，以便獲得解密密鑰，進(jìn)而解鎖文件。文件加密勒索病毒能夠快速傳播，因?yàn)樗梢酝ㄟ^電子郵件發(fā)送、嵌入惡意網(wǎng)站或通過受感染的網(wǎng)絡(luò)傳送。

1.2 鎖屏型

鎖屏型勒索病毒是一種旨在將用戶鎖定在他們的設(shè)備之外的攻擊行為（感染鎖屏勒索病毒后的癥狀如圖2所示）。此類勒索病毒通常會(huì)在用戶屏幕上顯示一條消息，要求用戶支付贖金以解鎖設(shè)備。其中，移動(dòng)勒索病毒是一種專門針對移動(dòng)設(shè)備設(shè)計(jì)的鎖屏型勒索病毒。它通常由應(yīng)用程序提供，可用于將用戶鎖定在他們的設(shè)備之外或竊取個(gè)人信息。

1.3 挖礦型

挖礦型勒索病毒是一種與加密貨幣相關(guān)的勒索攻擊軟件，旨在從計(jì)算機(jī)或網(wǎng)絡(luò)中竊取計(jì)算能力以挖掘加密貨幣，攻擊者通過由竊取算力所挖掘出的加密貨幣進(jìn)行出售以獲利。

1.4 非定向勒索攻擊

非定向勒索攻擊采用“非定向大規(guī)模傳播→加密數(shù)據(jù)→收取贖金→解密數(shù)據(jù)”單線作業(yè)模式。早期的非定向攻擊者會(huì)采用傳統(tǒng)的擴(kuò)散蠕蟲或釣魚投放等方式進(jìn)行發(fā)散式的傳播，且不會(huì)預(yù)先對目標(biāo)進(jìn)行偵查、評估與篩選，對于攻擊的收益也沒有精確預(yù)估。隨后對中了勒索病毒的設(shè)備關(guān)鍵數(shù)據(jù)進(jìn)行加密，發(fā)布以解密操作為酬勞并收取贖金進(jìn)行解密的攻擊模式。當(dāng)前，非定向勒索攻擊者大多會(huì)選用RaaS（勒索即服務(wù)）平臺(tái)或僵尸網(wǎng)絡(luò)渠道，采取“廣撒網(wǎng)”的方式對勒索病毒進(jìn)行傳播侵入，威脅攻擊對象主要為中小企業(yè)與政府機(jī)構(gòu)等單位。

1.5 定向勒索攻擊

定向勒索攻擊是一種針對有價(jià)值的攻擊目標(biāo)進(jìn)行定向勒索，采用“定向攻擊→數(shù)據(jù)竊取→加密數(shù)據(jù)→收取贖金解密”“定向攻擊→數(shù)據(jù)竊取→加密數(shù)據(jù)→不交贖金→曝光數(shù)據(jù)”的新型作業(yè)模式。定向勒索攻擊的特征是事先有非常明確的攻擊目標(biāo)，再“有組織、有預(yù)謀、有步驟”地發(fā)動(dòng)威脅攻擊，以牟取巨額收益。

2 勒索病毒的攻擊原理

勒索病毒可以通過多種方式感染系統(tǒng)，通過但不限于：社會(huì)工程學(xué)、惡意軟件、網(wǎng)絡(luò)釣魚、系統(tǒng)漏洞以及爆破攻擊等多種技術(shù)方式來獲得對受害者系統(tǒng)的訪問權(quán)限，讓受害者感染上勒索病毒[3-4]。

2.1 社會(huì)工程學(xué)

社會(huì)工程學(xué)是操縱人們提供機(jī)密信息或采取有利于攻擊者行動(dòng)的過程，一般是通過電子郵件或電話詐騙來完成，攻擊者偽裝成合法組織以獲取對個(gè)人信息或密碼的訪問權(quán)限，如冒充公安局、檢察院、法院等有關(guān)權(quán)威部門套取個(gè)人敏感信息數(shù)據(jù)。

2.2 惡意軟件

惡意軟件旨在利用系統(tǒng)中的安全漏洞，通常用于在計(jì)算機(jī)或網(wǎng)絡(luò)上下載和執(zhí)行勒索病毒。惡意軟件可以通過電子郵件、惡意網(wǎng)站或移動(dòng)存儲(chǔ)設(shè)備等方式傳播。

2.3 網(wǎng)絡(luò)釣魚

網(wǎng)絡(luò)釣魚是一種通過發(fā)送看似來自合法組織的消息來獲取機(jī)密信息的技術(shù)，這些消息通常包含惡意鏈接或附件，點(diǎn)擊后會(huì)下載勒索病毒并在用戶設(shè)備上執(zhí)行。

2.4 漏洞利用

勒索病毒會(huì)利用系統(tǒng)中的漏洞來感染系統(tǒng)，這些漏洞可能是未修復(fù)的安全漏洞或者是用戶使用的弱密碼等情況。

2.5 爆破攻擊

爆破攻擊是利用爆破技術(shù)（如爆破RDP、SMB、MySQL、VNC等）對受害人設(shè)備實(shí)施爆破行為獲取設(shè)備系統(tǒng)訪問權(quán)限的一種軟件攻擊技術(shù)[5]。

一旦勒索病毒成功感染了系統(tǒng)，它會(huì)加密用戶的文件。通常，勒索病毒會(huì)加密用戶的文檔、照片、音樂和視頻等常見的文件類型。勒索病毒使用強(qiáng)加密算法對文件進(jìn)行加密，使得文件無法被用戶訪問。新型的勒索病毒在加密用戶文件之后，勒索病毒會(huì)向用戶發(fā)送勒索信息，要求用戶支付贖金以獲得解密密鑰。通常，這些勒索信息會(huì)以彈窗或文本文檔的形式出現(xiàn)在用戶的屏幕上。

3 勒索病毒攻擊過程

勒索病毒的攻擊過程一般分為五個(gè)階段，具體攻擊過程如圖3所示。

第一階段：初始訪問階段。通過存在漏洞的邊緣設(shè)備，如虛擬化設(shè)備、VPN和服務(wù)器等媒介，依據(jù)初始訪問向量，通過特定工具下載到設(shè)備上，建立交互式訪問。

第二階段：掃描、獲取憑證階段。此階段，攻擊者首先對攻擊的設(shè)備進(jìn)行系統(tǒng)掃描以更好地了解設(shè)備和網(wǎng)絡(luò)，然后攻擊者確定雙重勒索或三重勒索攻擊的目標(biāo)文件。

第三階段：部署攻擊資源階段。攻擊者從網(wǎng)絡(luò)攻擊突破口、部署網(wǎng)絡(luò)攻擊資源、部署遠(yuǎn)程訪問工具并滲透入侵組織內(nèi)部網(wǎng)絡(luò)。

第四階段：勒索病毒運(yùn)行階段。此階段勒索病毒啟動(dòng)運(yùn)行，對文件識別和加密，禁用系統(tǒng)恢復(fù)功能，竊取備份數(shù)據(jù)，同時(shí)攻擊者保留文件解密的私鑰。

第五階段：實(shí)施勒索階段。攻擊者向目標(biāo)主機(jī)發(fā)出感染警告，釋放勒索信，說明如何支付贖金（一般是加密貨幣），同時(shí)攻擊者在此階段對有價(jià)值的文件進(jìn)行加密和威脅進(jìn)行多重勒索，結(jié)束勒索攻擊過程。

4 勒索病毒的防范措施

勒索病毒的攻擊手段日益復(fù)雜，因此需要多種措施來保護(hù)自己不受勒索病毒的攻擊，以下是一些常見的防范措施。

4.1 增強(qiáng)入口防護(hù)能力

增強(qiáng)入口防護(hù)能力主要是指從避免爆破攻擊、漏洞利用、橫向滲透、社工釣魚以及漏洞熱補(bǔ)丁免疫等多個(gè)方面，強(qiáng)化系統(tǒng)免受勒索病毒攻擊的能力。

4.1.1 爆破攻擊防護(hù)

爆破攻擊防護(hù)是要構(gòu)筑起能精準(zhǔn)識別爆破RDP、SMB、MySQL、VNC等爆破行為并能自動(dòng)封禁攻擊IP訪問的一套軟件行為防護(hù)能力。

爆破攻擊防護(hù)建議從以下方面實(shí)施具體防護(hù)：1） 限制登錄嘗試次數(shù)。可以采用限制登錄嘗試次數(shù)的方法，對用戶的登錄嘗試次數(shù)進(jìn)行限制，一旦超過一定次數(shù)，就會(huì)被系統(tǒng)自動(dòng)屏蔽，以防止暴力破解。2） 登錄驗(yàn)證碼。可以采用登錄驗(yàn)證碼的方法，在用戶登錄時(shí)，要求用戶輸入一個(gè)登錄驗(yàn)證碼，以防止暴力破解。3） 定期更換密碼。可以要求用戶定期更換密碼，以增加系統(tǒng)安全性，防止暴力破解。4） IP地址限制。可以采用 IP地址限制的方法，只允許特定的 IP 地址登錄系統(tǒng)，以防止暴力破解。5） 雙因素認(rèn)證。建議采用雙因素認(rèn)證的方法，在用戶登錄時(shí)，除了輸入用戶名和密碼之外，還要求用戶輸入一個(gè)動(dòng)態(tài)的認(rèn)證碼，以防止暴力破解。

4.1.2 漏洞利用防護(hù)

漏洞利用防護(hù)主要是能夠支持對多種熱門高危漏洞利用攻擊的防御，從網(wǎng)絡(luò)側(cè)對攻擊行為進(jìn)行阻斷。

漏洞利用防護(hù)可從以下五方面實(shí)施防護(hù)：1） 采取全面的網(wǎng)絡(luò)安全措施，其中包括安裝、配置和維護(hù)安全軟件、安全設(shè)備、安全策略和安全管理系統(tǒng)，以遏制漏洞利用防護(hù)勒索病毒的攻擊。2） 定期進(jìn)行系統(tǒng)和應(yīng)用程序的更新，以保護(hù)網(wǎng)絡(luò)免受漏洞利用防護(hù)勒索病毒的攻擊。3） 配置完整的安全審計(jì)系統(tǒng)及實(shí)施監(jiān)控和及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)安全事件的措施，以有效防范漏洞利用防護(hù)勒索病毒的攻擊。4） 建立嚴(yán)格的訪問控制機(jī)制及限制訪問外部設(shè)備的策略，限制可能發(fā)起攻擊的用戶的訪問權(quán)限。5） 定期培訓(xùn)員工，以增強(qiáng)其網(wǎng)絡(luò)安全知識，及時(shí)發(fā)現(xiàn)和處理可能發(fā)起攻擊的可疑行為。

4.1.3 橫向滲透防護(hù)

橫向滲透防護(hù)主要是能防止內(nèi)網(wǎng)機(jī)器對其他機(jī)器通過遠(yuǎn)程執(zhí)行風(fēng)險(xiǎn)操作、修改共享目錄等方式橫移的技術(shù)防護(hù)能力。

橫向滲透防護(hù)建議可從以下幾方面具體防護(hù)：1） 采用多層防護(hù)：在網(wǎng)絡(luò)層面阻止勒索病毒的攻擊，可以采取一些常見的措施，如安裝防火墻、配置安全策略、定期更新安全補(bǔ)丁等，以防止未知的攻擊行為。2） 進(jìn)行安全審計(jì)：定期對網(wǎng)絡(luò)系統(tǒng)進(jìn)行安全審計(jì)，檢查是否存在安全漏洞，檢查服務(wù)器和網(wǎng)絡(luò)設(shè)備的安全配置，及時(shí)發(fā)現(xiàn)和修復(fù)安全漏洞。3） 實(shí)施雙重身份驗(yàn)證：采用雙重身份驗(yàn)證機(jī)制可有效防止勒索病毒的攻擊，這一機(jī)制要求用戶在登錄系統(tǒng)時(shí)，除了輸入用戶名和密碼外，還需要通過其他方式，如短信驗(yàn)證碼，令牌等來完成雙重身份驗(yàn)證。4） 對遠(yuǎn)程登錄和共享進(jìn)行限制：禁止不必要的遠(yuǎn)程登錄和共享，限制服務(wù)器和網(wǎng)絡(luò)設(shè)備的遠(yuǎn)程登錄，限制無須共享的文件、文件夾等資源。5） 建立完善的報(bào)警機(jī)制：設(shè)置網(wǎng)絡(luò)報(bào)警系統(tǒng)，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)異常情況，如賬號被盜取，有病毒入侵等，及時(shí)采取措施，防止勒索病毒的攻擊。

4.1.4 社工釣魚防護(hù)

社工釣魚防護(hù)能力主要指建立對特定渠道新入樣本進(jìn)行監(jiān)控并能基于樣本來源和行為鏈進(jìn)行風(fēng)險(xiǎn)識別的一套軟件防護(hù)技術(shù)能力。

社工釣魚防護(hù)可從以下幾方面防護(hù)：1） 安裝防火墻，阻止社會(huì)工程學(xué)和網(wǎng)絡(luò)釣魚等攻擊。防火墻可以攔截未經(jīng)授權(quán)的網(wǎng)絡(luò)流量，從而保護(hù)網(wǎng)絡(luò)安全。2） 安裝殺毒軟件，以便及時(shí)查找出病毒、木馬或其他惡意程序。3） 使用高強(qiáng)度密碼，確保登錄信息的安全。4） 定期備份，以備突發(fā)事件時(shí)協(xié)助恢復(fù)數(shù)據(jù)。5） 使用可信的訪問控制機(jī)制，確保只有授權(quán)用戶才可以訪問數(shù)據(jù)。6） 通過對網(wǎng)絡(luò)中的設(shè)備進(jìn)行管理，實(shí)時(shí)監(jiān)測網(wǎng)絡(luò)設(shè)備狀態(tài)，及時(shí)發(fā)現(xiàn)潛在的安全威脅。

4.1.5 漏洞熱補(bǔ)丁免疫

漏洞熱補(bǔ)丁通常被認(rèn)為是保護(hù)系統(tǒng)免受惡意攻擊的好方法，它通過安裝系統(tǒng)漏洞補(bǔ)丁，在不影響系統(tǒng)正常運(yùn)行的情況下，快速、有效地修復(fù)系統(tǒng)中發(fā)現(xiàn)的安全漏洞，從而阻止勒索病毒的攻擊。漏洞熱補(bǔ)丁免疫是對如Win7等停服系統(tǒng)缺乏漏洞補(bǔ)丁或不適合安裝補(bǔ)丁時(shí)，提供使用免疫無損的保護(hù)終端能力。其熱補(bǔ)丁應(yīng)用方法可以采取以下三種：1） 安裝安全補(bǔ)丁。安全補(bǔ)丁可以修復(fù)系統(tǒng)中的安全漏洞，并使其不易受到勒索病毒攻擊。2） 實(shí)施網(wǎng)絡(luò)安全策略。實(shí)施網(wǎng)絡(luò)安全策略可以有效防止勒索病毒的攻擊，這些策略包括限制對網(wǎng)絡(luò)的訪問權(quán)限、屏蔽不可信IP地址、阻止未經(jīng)許可的網(wǎng)絡(luò)流量等。3） 實(shí)施基本安全措施。實(shí)施基本的安全措施也能防止勒索病毒攻擊，基本安全措施主要包括定期備份數(shù)據(jù)、禁用不必要的服務(wù)、及時(shí)安裝安全補(bǔ)丁等。

4.2 備份和恢復(fù)

備份和恢復(fù)是防范勒索病毒攻擊的最佳措施之一。定期備份重要數(shù)據(jù)可以幫助受害者恢復(fù)其數(shù)據(jù)，而無須支付贖金。建議備份數(shù)據(jù)的最佳方式是將數(shù)據(jù)備份到外部存儲(chǔ)設(shè)備或云存儲(chǔ)中，確保備份數(shù)據(jù)與受攻擊系統(tǒng)隔離開來。

4.3 安裝安全軟件

安裝殺毒軟件、反間諜軟件和防火墻可以提高系統(tǒng)的安全性。這些安全軟件可以檢測和清除惡意軟件，或者阻止惡意軟件的安裝。

4.4 確保操作系統(tǒng)和軟件程序的安全性

勒索病毒常常利用操作系統(tǒng)和軟件程序中的漏洞來感染系統(tǒng)。因此，定期更新操作系統(tǒng)和軟件程序非常重要，以確保它們能夠及時(shí)修復(fù)漏洞。

4.5 用戶培訓(xùn)

鑒于勒索病毒攻擊的普遍性和嚴(yán)重性，實(shí)施對用戶的相關(guān)培訓(xùn)、采取措施降低攻擊風(fēng)險(xiǎn)變得非常重要。通過用戶培訓(xùn)以識別勒索病毒攻擊的跡象，是防范勒索病毒攻擊的另一個(gè)重要措施。用戶培訓(xùn)時(shí)，建議培訓(xùn)內(nèi)容包括但不限于使用戶了解勒索病毒的危害，學(xué)會(huì)識別勒索病毒的攻擊途徑，例如電子郵件、郵件附件、鏈接和未知來源的下載以及避免使用弱口令等內(nèi)容。

4.6 使用加密和備份工具

使用加密和備份工具可以有效地保護(hù)數(shù)據(jù)。加密可以防止勒索病毒攻擊者訪問敏感數(shù)據(jù)，備份工具可以確保數(shù)據(jù)備份，以便在數(shù)據(jù)丟失或損壞時(shí)進(jìn)行恢復(fù)。

4.7 建立應(yīng)急響應(yīng)計(jì)劃

建立應(yīng)急響應(yīng)計(jì)劃可以幫助組織在遭受勒索病毒攻擊時(shí)迅速采取行動(dòng)。這個(gè)計(jì)劃包括：1） 安排備份和恢復(fù)的程序；2） 確定通知誰以及何時(shí)通知；3） 確定如何處理勒索病毒攻擊；4） 建立聯(lián)系信息，以便在緊急情況下快速聯(lián)系專業(yè)人員；5） 檢測和清除勒索病毒。

如果發(fā)現(xiàn)自己的系統(tǒng)已經(jīng)感染勒索病毒，可以嘗試使用殺毒軟件或其他恢復(fù)工具來清除惡意軟件。但是，如果文件已經(jīng)被加密，那么恢復(fù)數(shù)據(jù)可能會(huì)非常困難，甚至無法恢復(fù)。因此，我們應(yīng)該采取預(yù)防措施，而不是等到受到攻擊后再采取相關(guān)防護(hù)措施。

5 結(jié)論

勒索病毒攻擊是一種嚴(yán)重的網(wǎng)絡(luò)安全威脅，可以對個(gè)人用戶、企業(yè)等造成嚴(yán)重的經(jīng)濟(jì)損失。本文從勒索病毒的概念、危害、類型、攻擊原理等方面闡述了勒索病毒的相關(guān)理論，分析了勒索病毒的攻擊過程，探究了勒索病毒的防范措施，并給出了相關(guān)具體防護(hù)建議。我們應(yīng)該采取多種防范措施相結(jié)合的方法，最大程度地減少勒索病毒攻擊的危害，防范風(fēng)險(xiǎn)，保護(hù)敏感數(shù)據(jù)和業(yè)務(wù)的連續(xù)性。

參考文獻(xiàn)：

[1] ADEBAYO O.Cybersecurity for Ransomware Attack： Principles and Practices[M].Advances in Cybersecurity. IGI Global，2022：1-15.

[2] SARKAR S， SHARMA P. Preventing Ransomware Attacks： Countermeasures and Best Practices[M].Advances in Cybersecurity. IGI Global， 2022： 32-45.

[3] 馮淑華.勒索病毒攻擊原理及防范措施[J].安全技術(shù)， 2021（4）： 83-86.

[4] 郭瑞芳，張玉鵬，蘇俊.勒索病毒攻擊及其防御技術(shù)研究[J].計(jì)算機(jī)科學(xué)， 2021（3）： 84-86.

[5] KUMAR V， GUPTA M， SINGH S. A review on ransomware attacks， detection and prevention techniques[J].Computer Science Review， 2020，37：100303.

【通聯(lián)編輯：代影】