勒索軟件的成長史：從理想主義到利益至上

無論從哪個角度來看，第一個勒索軟件的誕生都充滿了一定的理想主義，其并沒有被大規(guī)模分發(fā)，而是僅針對艾滋病大會進(jìn)行定向傳播，目的更像是宣傳自己的政治與學(xué)術(shù)態(tài)度，或只是簡單的惡作劇。而且，由于其只使用了簡單的對稱密碼，因此很快就被解密工具輕松恢復(fù)。

在此后的十七年間，由于沒有更好的加密方法，勒索軟件基本上“銷聲匿跡”——直到2006年“Archievus”的出現(xiàn)。Archiveus是第一個使用非對稱加密的勒索軟件，它主要采用RSA加密方法，會對“我的文檔”目錄里面的所有內(nèi)容進(jìn)行加密。更值得關(guān)注的是，這個勒索軟件開始把魔爪伸向受害者的錢包了，他會要求用戶從特定網(wǎng)站來購買以獲取解密文件的密碼，而這個方式至今是勒索軟件的主流獲利方式。

勒索軟件發(fā)展的另一個標(biāo)志性事件則是以數(shù)字貨幣為代表的匿名支付方式的出現(xiàn)，銀行轉(zhuǎn)賬等傳統(tǒng)的支付方式讓網(wǎng)絡(luò)勒索者很容易暴露在執(zhí)法機關(guān)的打擊力量之下，而通過匿名支付方式，網(wǎng)絡(luò)勒索者將可以更好地隱藏自己、“安全”的獲得高額收益。在利益的驅(qū)動下，勒索軟件開始在地下網(wǎng)絡(luò)市場中逐漸的流行起來，開始成為用戶必須要正視的威脅。

2013年9月，網(wǎng)絡(luò)不法分子找到了適用于勒索軟件的新型加密方法，即采用AES-256lai加密特定擴展名的文件，并利用2048位RSA密鑰來加密AES-256位密鑰，這讓被加密文件的恢復(fù)變得極度困難，束手無策的受害者往往只能選擇向不法分子支付贖金。而大名鼎鼎的“WannaCry”勒索蠕蟲采用的也正是這種加密方式，該勒索蠕蟲在2017年肆虐，至少150個國家、30萬名用戶中招，造成損失達(dá)80億美元，影響極為深遠(yuǎn)。

如今，勒索軟件已經(jīng)成長為主流的安全威脅之一。亞信安全安全分析報告顯示，勒索軟件病毒已經(jīng)在全球范圍內(nèi)呈現(xiàn)爆發(fā)態(tài)勢，美國、日本、中國、歐洲都成為勒索軟件肆虐的“重災(zāi)區(qū)”。網(wǎng)絡(luò)不法分子還針對每個地區(qū)的語言及經(jīng)濟文化特點，對勒索軟件進(jìn)行了本地化，以提升索要贖金的成功率。

勒索軟件持續(xù)演進(jìn)：商品化趨勢日漸明顯

由于具備一旦加密就極難被破解，以及可以獲得直接巨額收益的特點，勒索軟件的威脅在可預(yù)見的未來還將持續(xù)擴展。為了躲避網(wǎng)絡(luò)安全防護(hù)系統(tǒng)的查殺，勒索軟件新變種正在不斷產(chǎn)生，這使得傳統(tǒng)基于特征碼的防護(hù)方式效用大減，不法分子可以通過魚叉式釣魚郵件、漏洞利用傳播、軟件捆綁安裝等方式進(jìn)行廣泛傳播。

圍繞著勒索軟件新變種的開發(fā)、傳播，以及感染渠道與工具的交易，已經(jīng)形成了一個組織嚴(yán)密、規(guī)模龐大的勒索軟件地下灰色交易市場。安全研究人員發(fā)現(xiàn)，目前地下黑市非常流行的一種勒索軟件交易鏈條是：黑客負(fù)責(zé)勒索軟件最新變種的開發(fā)，并可以將其轉(zhuǎn)讓給任何用戶，前提是他們必須支付一定比例的收益贖金。除了核心的勒索軟件產(chǎn)品外，地下黑色市場還提供與勒索行為相關(guān)的額外功能與服務(wù)，包括對于多平臺的支持、針對特定產(chǎn)品的漏洞進(jìn)行定制化等。

對此，亞信安全提醒用戶，勒索軟件的商品化使得組織與個人面臨的勒索軟件風(fēng)險大幅增加，而隨著地下黑產(chǎn)市場的進(jìn)一步演進(jìn)，勒索軟件的產(chǎn)業(yè)鏈將進(jìn)更加細(xì)化、專業(yè)化，即使是毫無攻擊經(jīng)驗的新手，也能夠通過購買這些產(chǎn)品和服務(wù)，快速地發(fā)動攻擊。此外，商品化也使得勒索軟件攻擊的方式更加靈活，對于安全防護(hù)提出了更高的要求。

防范勒索軟件：以精密編排能力建立聯(lián)動防護(hù)機制

在如今的勒索軟件攻擊中，網(wǎng)絡(luò)不法分子更擅長利用社交工程(social engineering )誘餌，以及簡歷、訂單和護(hù)照等作為郵件主題，發(fā)動垃圾郵件或定向式攻擊，一旦受害者收到這些郵件并點擊鏈接或是下載附件，就有可能導(dǎo)致感染勒索軟件。因此，要更好地防范勒索軟件的攻擊，需要從建立精密編排的聯(lián)動安全體制，以及“人”兩方面同時著手。

首先，企業(yè)需要從安全編排(Security Orchestration)、自動化(Automation)和響應(yīng)(Response)的角度建立應(yīng)對勒索軟件的安全防線。這與亞信安全最新發(fā)布的XDR方案“不謀而合”，即利用精密編排的聯(lián)動安全解決方案，將安全產(chǎn)品以及安全流程連接整合起來，這其中涵蓋了“準(zhǔn)備、發(fā)現(xiàn)、分析、遏制、消除、恢復(fù)、優(yōu)化”7個階段，并針對勒索軟件的威脅制定攻擊標(biāo)準(zhǔn)預(yù)案，以建立多層次、立體化的防御體系。

在具體實施中，通過終端、網(wǎng)絡(luò)端發(fā)現(xiàn)勒索軟件攻擊的跡象后，亞信安全可以將數(shù)據(jù)集中到本地威脅情報和云端威脅情報進(jìn)行分析，利用機器學(xué)習(xí)和專家團(tuán)隊，將勒索軟件的特征提取出來，繼而聯(lián)動所有終端協(xié)同處理，以遏制、清除勒索軟件的各種變種，并對其造成的破壞進(jìn)行恢復(fù)和優(yōu)化。

在產(chǎn)品層面，首先，企業(yè)用戶可通過部署亞信安全防毒墻網(wǎng)絡(luò)版OfficeScan、亞信安全深度威脅安全網(wǎng)關(guān)Deep Edge，以及服務(wù)器深度安全防護(hù)系統(tǒng)Deep Security等產(chǎn)品，在云、管、端建立封堵勒索軟件的第一道防線。其中OfficeScan具有勒索病毒防御功能(AEGIS)，可以有效阻攔勒索病毒對用戶文件加密;Deep Edge則兼具偵測、分析和攔截的功能，針對加密勒索軟件攻擊路徑，建立有效的“抑制點”，再加持深度威脅郵件網(wǎng)關(guān)DDEI，更有效地阻止了勒索郵件的攻擊。其次，用戶可以通過沙箱類產(chǎn)品，以及調(diào)查取證設(shè)備等產(chǎn)品對勒索軟件的攻擊進(jìn)行分析、驗傷及取證，實現(xiàn)事件溯源，為后續(xù)的恢復(fù)和優(yōu)化打下基礎(chǔ)。

從“人”的角度來看，企業(yè)需要加強對于員工的網(wǎng)絡(luò)安全培訓(xùn)，讓員工正確認(rèn)識勒索軟件存在的巨大威脅，在接收郵件時保持充分的警惕心，以防范利用社交工程誘餌傳播的勒索軟件。另外，員工還應(yīng)該養(yǎng)成良好的文件保存習(xí)慣，重要文件應(yīng)該同時在本地與云端保存多副本，避免文件被加密之后無法恢復(fù)。