建構多層防禦應對勒索軟體威脅

　　受到勒索軟體攻擊的國家分布

近日,一些linux 的 web 伺服器被一種名為 fairware 的勒索軟體攻擊了。通常攻擊者會将伺服器上 web 伺服器的内容删除并留下如下消息：“hi, please view here: http://pastebin.com/raw/jtsjmjzs for information on how to obtain your files!”這個 pastebin 的連結内有更多的勒索内容和說明，要求使用者為其指定的比特币錢包轉賬 2 比特币，并提供了聯系的郵件位址。新的勒索軟體已經開始向開源系統滲透。

面對勒索軟體威脅，普通使用者對它的攻擊方式和破壞力不了解，是以無法進行系統有效且全面的防護。很多人中招後茫然無措，最後隻能老老實實地傳遞贖金或者任由自身資料或财産損失。這種勒索軟體威脅現象從上世紀80年代末就已經出現，隻是波及範圍較小，沒有引起大衆足夠的關注和警覺。

此前，勒索軟體侵害的對象主要是一些有充裕資金的企業，但近期形勢發生了一些變化，中小企業、個人也都成為受災群體。随着智能移動端裝置的廣泛使用，勒索軟體感染的途徑更加多樣化，并且已經從傳統的pc端逐漸蔓延到手機端。在同一個商業網絡中，通過被勒索軟體感染的手機也有可能對網絡中其他裝置造成不良影響，網絡中其他裝置也可能遭受勒索軟體感染。

大型企業或機構中可能有一些專職it管理人員會處理被勒索軟體感染的裝置，但任何一位it管理人員都不願企業或機構的數百台裝置遭受勒索軟體感染。勒索軟體感染會緻使關鍵系統處于離線狀态，以至于企業或機構的全部營運活動都處于危險境地。很多安全解決方案提供商對此做出分析，運用新技術，推出了一些安全防禦解決方案，并且提出了一些可行的安全防禦建議，供大衆參考。

持續跟蹤分析

在近期的一些勒索事件中，盡管大多數的勒索軟體犯罪組織并沒有特定的攻擊目标，但是，賽門鐵克的安全團隊發現，一部分犯罪組織已經将攻擊目标轉向特定企業，試圖通過破壞企業的整體營運以獲得巨額贖金。在今年年初，一家大型企業所遭受的精心策劃的勒索軟體攻擊事件正是犯罪組織針對特定企業發起攻擊的典型案例。在此類針對企業的攻擊中，攻擊者像網絡間諜一樣擁有進階專業知識，能夠利用包含軟體漏洞和合法軟體的攻擊工具包侵入企業網絡。勒索軟體攻擊者與網絡間諜之間并無差別，他們都是利用伺服器上尚未修補的漏洞，在企業網絡中獲得立足點。通過使用多種公開的黑客工具，網絡攻擊者能夠看到企業的網絡結構，并使用未知的勒索軟體變種盡可能多地感染企業内的計算機。

此前，卡巴斯基也對勒索攻擊事件進行過持續的跟蹤分析。卡巴斯基發現，這種勒索軟體感染事件并非僅出現在局部地區，而是全球性的。是以，卡巴斯基提出了打擊勒索軟體的倡議，表示“打擊這種全球威脅需要國際間合作”。

不斷爆發的勒索軟體攻擊對企業造成了相當嚴重的影響，所幸企業的關鍵系統和大部分被勒索軟體加密的資料可以通過備份恢複過來。未來，我們可能會看到更多針對資金雄厚的企業發起的勒索軟體攻擊，以索要巨額贖金。

令人擔憂的趨勢

賽門鐵克最新釋出的《勒索軟體與企業2016》調查報告中指出，勒索軟體已經成為當今企業和消費者面臨的最大網絡安全威脅之一。在2015 年，賽門鐵克共發現100種新型勒索軟體，創下曆史新高。在被發現的新型勒索軟體中，大多數為更危險的“加密勒索軟體”，這類惡意軟體可以通過強效加密鎖定目标的檔案。

無獨有偶，卡巴斯基也發現，最近幾年，勒索軟體正在成為一個非常嚴重的問題。歐盟執法機關将其視為一種頭号威脅，約三分之二的歐盟成員國正在對這種形式的惡意軟體攻擊進行調查。

同2014年4月至2015年3月這段時間相比，在2015年4月至2016年3月遭遇所有類型勒索軟體攻擊的使用者總數增長了17.7%，全球受攻擊使用者從196.7784萬個增長到231.5931萬個；遭遇加密勒索軟體攻擊的使用者數量增長了5.5倍，從2014年—2015年的13.1111萬個增加到2015年—2016年的71.8536萬個；至少遭遇一次勒索軟體攻擊的使用者占所有遭遇惡意軟體攻擊的使用者總數的比例增長了0.7個百分點，從2014年—2015年的3.63%增長到2015年—2016年的4.34%；遭遇加密勒索軟體的使用者占所有遭遇勒索軟體攻擊的使用者數量比例顯著上升，上升了25個百分點，從2014年—2015年的6.6%上升到2015年—2016年間的31.6%；遭遇鎖定軟體（鎖定使用者螢幕的勒索軟體）的使用者數量下降了13.03%，從2014年—2015年的183.6673萬個減少到2015年—2016年間的159.7395萬個；德國、意大利和美國的使用者遭遇加密勒索軟體的比例最高。

再來看一看遭受勒索軟體感染後，使用者傳遞贖金的數額變化情況。賽門鐵克的《勒索軟體與企業2016》報告中指出，從2015年年末至今，勒索軟體的平均贖金增長超過2倍，從294美元增長至679美元。2016年，一種名為7ev3n-hone$t的惡意軟體（trojan.cryptolocker.ad）要求每台計算機支付13個比特币的贖金，換算約為5083美元（根據發現的時間），成為最高的勒索金額。

勒索軟體的影響範圍

根據賽門鐵克的調查報告，美國成為感染勒索軟體最嚴重的國家，占全球的28%。排名前十的國家還包括加拿大、澳洲、印度、日本、意大利、英國、德國、荷蘭和馬來西亞。現在，個人消費者仍然是勒索軟體的主要攻擊目标（57%）。但長期趨勢表明，以企業為攻擊目标的勒索軟體攻擊次數正在緩慢且穩步地增長。

或許有人會提出這樣的問題，為什麼目前勒索軟體的主要攻擊目标會有57%是個人使用者，而非企業使用者，攻擊這些目标群體真會獲得很多利潤嗎？企業對于自身資訊應該更為看重，更應該願意支付贖金，攻擊它們應該比攻擊個人使用者更有利可圖。賽門鐵克公司大中華區首席營運官羅少輝表示，不同的黑客發動攻擊時，所選擇的目标不盡相同。有些黑客僅針對個人使用者進行攻擊，因為個人使用者的安全意識比較低、防護措施也比較薄弱，黑客通過簡單的勒索軟體就能夠輕易地實施攻擊。同時，由于黑客對個人使用者的勒索金額較小，個人使用者為了盡快獲得密鑰會更加傾向于支付贖金。是以，現在的勒索軟體攻擊的對象大部分針對個人使用者。

而針對企業的攻擊，由于攻擊規模相對較大，是以黑客需要采用一些專業攻擊工具，花費較多的時間，是以黑客索要的贖金也是相當可觀的。“我認為，正是由于勒索軟體針對企業的攻擊數量上升，企業才會更加關注安全防護，逐漸增強安全防禦措施。”羅少輝補充道。

賽門鐵克的《勒索軟體與企業2016》調查報告還指出，目前受勒索軟體影響較大的行業為服務業（38%）、制造業（17%）、金融、保險和房地産業（10%），以及公共管理（10%）。

過去，黑客攻擊的主要方式是通過電子郵件進行傳播。但如今，黑客通常不再使用單一手法進行攻擊，黑客也會在同一時間，利用電子郵件、社交媒體和短信等多種不同方式隊攻擊目标。此外，勒索軟體會出現很多變種。是以，即便使用者對電子郵件保持謹慎，也有可能通過其他途徑感染勒索軟體。正是由于黑客的攻擊方式更加多樣化，賽門鐵克對勒索軟體的攻擊模式和途徑進行統一分析與整理還存在一定困難，無法全面對其梳理，繪制一個全面的圖表。

以郵件和url傳播為主

由于勒索軟體可以通過多種途徑來傳播，是以基于單一層面的防護機制都無法有效防範勒索軟體。亞信安全釋出的勒索軟體風險研究報告同樣顯示，在綜合部署電子郵件、url、檔案等多層防護機制之後，在防護邊界對于勒索軟體的檢測率可以達到99%。

亞信安全技術總經理蔡昇欽指出：“勒索軟體作者會不斷改變程式代碼來繞過過濾程式，并且嘗試通過電子郵件、url連結、檔案等多種方式來入侵網絡。

本文轉自d1net（轉載）