Josh+Fruhlinger+楊勇

勒索軟件的時代始于2013年的CryptoLocker。幾年來，攻擊者變得越來越老練而且有商業(yè)頭腦。本文介紹了一些您目前應(yīng)該了解的相關(guān)內(nèi)容。

勒索軟件是一種惡意軟件，一旦您的計算機(jī)被它控制，就會危及您的安全，通常會阻止您訪問自己的數(shù)據(jù)。攻擊者要求受害者支付贖金，承諾（不一定是真的）在付款后就可以恢復(fù)對數(shù)據(jù)的訪問。

用戶能看到怎樣支付贖金以獲得解密密鑰的說明。這些費用從幾百美元到幾千美元不等，以比特幣的形式支付給網(wǎng)絡(luò)罪犯份子。

勒索軟件是怎樣工作的

勒索軟件有很多手段來訪問計算機(jī)。最常見的一種輸送系統(tǒng)是網(wǎng)絡(luò)釣魚垃圾郵件——發(fā)送給受害者的電子郵件中含有附件，被偽裝成他們可以信任的文件。一旦下載和打開，它們就能控制受害者的計算機(jī)，特別是如果有內(nèi)置的社會工程工具，會欺騙用戶以管理員的身份進(jìn)行訪問。還有一些更具攻擊性的勒索軟件，例如NotPetya，直接利用安全漏洞來感染計算機(jī)，并不需要欺騙用戶。

一旦惡意軟件控制了受害者的計算機(jī)，會干很多壞事，但到目前為止，最常見的行為是加密部分或者全部用戶文件。如果您想了解其技術(shù)細(xì)節(jié)，Infosec研究所深入研究了勒索軟件加密文件所采用的幾種方式，可以供您參考。但最重要的是，在這個過程的最后，如果得不到只有攻擊者才知道的數(shù)學(xué)密鑰，這些文件就無法解密。用戶會看到一條消息，說他們的文件現(xiàn)在無法訪問了，受害者只有把不可追蹤的比特幣支付給攻擊者，才能解密文件。

在某些形式的惡意軟件中，攻擊者會聲稱自己是執(zhí)法機(jī)構(gòu)，由于在受害者的計算機(jī)中發(fā)現(xiàn)了色情或者盜版軟件而關(guān)閉其計算機(jī)，并要求支付“罰款”，這也許是為了讓受害者不要向當(dāng)局報告攻擊事件。但大多數(shù)攻擊都不太在乎這種偽裝。還有變種，被稱為“l(fā)eakware”或者“doxware”，攻擊者威脅要公開受害者硬盤中的敏感數(shù)據(jù)——除非支付贖金。但是由于查找和提取這些信息對于攻擊者來說是非常棘手的問題，因此，加密勒索軟件是迄今為止最常見的類型。

勒索軟件的目標(biāo)是誰？

攻擊者可以通過多種不同的方式來選擇勒索軟件所針對的目標(biāo)。有時，就是憑運(yùn)氣：例如，攻擊者可能瞄準(zhǔn)大學(xué)，因為大學(xué)的安全部門規(guī)模不大，有不同的用戶群，他們共享很多文件，因此，很容易越過他們的防御系統(tǒng)。

另一方面，有一些目標(biāo)是很誘人的，因為他們看起來更容易很快的支付贖金。例如，政府機(jī)構(gòu)或者醫(yī)療機(jī)構(gòu)通常需要隨時查閱他們的文件。有敏感數(shù)據(jù)的律師事務(wù)所和其他組織可能會愿意支付贖金，為的是不被媒體曝光——這些組織對漏洞攻擊特別敏感。

但不要覺得如果您不在這些類別里，自己就是安全的：正如我們所指出的那樣，一些勒索軟件在互聯(lián)網(wǎng)上不加選擇地自動傳播。

怎樣防止勒索軟件

您可以采取一些防御步驟來防止被勒索軟件感染。一般而言，這些步驟當(dāng)然是非常好的安全措施，所以遵循這些措施可以提高您抵御各種攻擊的能力：

● 及時給您的操作系統(tǒng)打上補(bǔ)丁，并且是最新的補(bǔ)丁，盡可能減少可被利用的漏洞。

● 不要隨意安裝軟件，也不要給它管理權(quán)限，除非您確切地知道它是什么，它要做什么。

● 安裝防病毒軟件，當(dāng)勒索軟件等惡意程序要訪問計算機(jī)時，可以檢測到這些程序，安裝白名單軟件，從而防止未經(jīng)授權(quán)的應(yīng)用程序搶先執(zhí)行。

● 當(dāng)然，經(jīng)常、自動地備份您的文件！這不能阻止惡意軟件的攻擊，但這會盡可能的減少損失。

您應(yīng)該支付贖金嗎？

理論上，大多數(shù)執(zhí)法機(jī)構(gòu)都要求您不要給勒索軟件攻擊者付費，因為這樣做的邏輯只會鼓勵黑客去制造更多的勒索軟件。也就是說，很多發(fā)現(xiàn)自己被惡意軟件攻擊了的企業(yè)很快就不再想所謂“更好的辦法”，而是開始進(jìn)行成本效益分析，針對贖金價格與加密數(shù)據(jù)價值進(jìn)行權(quán)衡利弊。據(jù)Trend Micro的研究，66%的公司說他們的原則是永遠(yuǎn)不會支付贖金，實際上65%的公司在被勒索時確實會支付贖金。

勒索軟件攻擊者將價格保持在相對較低的水平——通常在700美元到1，300美元之間，很多公司都負(fù)擔(dān)得起，短時間內(nèi)就會支付。一些特別復(fù)雜的惡意軟件會探測受感染的計算機(jī)所在國家，按照該國經(jīng)濟(jì)來調(diào)整贖金，對富裕國家的公司勒索的更多一些，對貧困地區(qū)則少一些。

為了盡快得手，常常會有折扣，目的是讓受害者盡快付錢，以免夜長夢多。一般來說，價格點是設(shè)定的，足夠高到值得去犯罪，但也足夠低，往往比受害者恢復(fù)他們的計算機(jī)或者重建丟失的數(shù)據(jù)所付出的費用便宜一些。有鑒于此，一些公司在其安全計劃中設(shè)立了備付贖金：例如，一些并沒有涉及過加密貨幣的英國大公司專門為贖金儲備了一些比特幣。

在這里還要注意一些棘手的問題，牢記和您打交道的人是罪犯。首先，有的看上去像勒索軟件，但實際并沒有加密您的數(shù)據(jù)；在給任何人付費之前，確定您面對的不是所謂的“恐慌軟件”。其次，即使付錢給攻擊者也不能保證您能把文件拿回來。有時候罪犯份子就是拿錢跑路，惡意軟件甚至都沒有內(nèi)置解密功能。但是，任何這樣的惡意軟件雖然很快會名聲大噪，但不產(chǎn)生收益，所以在大多數(shù)情況下——Arbor網(wǎng)絡(luò)的首席安全技術(shù)專家Gary Sockrider估計，大約65到70%的時間，騙子會放棄，您的數(shù)據(jù)也就恢復(fù)了。

勒索軟件的例子

雖然勒索軟件90年代就在技術(shù)上可行了，但它只是在過去5年左右才真正開始發(fā)威，主要原因是出現(xiàn)了比特幣這種不可追蹤的支付方式。一些最惡劣的勒索軟件：

● CryptoLocker，2013年的一次攻擊，揭開了現(xiàn)代勒索軟件時代，感染了高達(dá)50萬臺機(jī)器。

● TeslaCrypt，針對游戲文件，在其恐怖橫行的那段時間里，還在不斷改進(jìn)。

● SimpleLocker，第一次針對移動設(shè)備而廣泛傳播的勒索軟件攻擊。

● WannaCry，使用EternalBlue自主地在計算機(jī)之間傳播，而EternalBlue是由NSA開發(fā)的一個漏洞，后來被黑客竊取了。

● NotPetya，也利用了EternalBlue，可能是俄羅斯針對烏克蘭發(fā)起的網(wǎng)絡(luò)攻擊的一部分。

● Locky，2016年開始蔓延，“攻擊方式類似于臭名昭著的銀行軟件Dridex?！?/p>

這個清單會越來越長。就在本文完稿之際，被稱為BadRabbit的新一波勒索軟件席卷了東歐和亞洲的媒體公司。請遵循這里列出的小貼士來保護(hù)您自己——這非常重要。

Josh Fruhlinger是一名作家和編輯，他住在洛杉磯。