收了赎金还撕票？世界安全专家已不能忍，合力对抗勒索软件 | RSA 2017

雷锋网编辑知道，勒索软件不给读者个人造成点什么影响，你们是不会关注的。

可是，一个重要风向标来了——以商业感著称的安全会议 RSA 今年也许嗅到了一丝商机，DATA、CLOUD、THREAT、INTELLIGENCE 等一直是近几年的热点领域，从过去两天的大会议题来看，今年又多了一个热点——勒索软件，RSA  2017 着重对勒索软件设置了讨论议程。

这意味着，童鞋们，勒索软件真的离我们凡人很近了呀！

此事的重要性经过了 FBI 的认证。

据 FBI 发布的信息来看，2016 年 Q1 发生的网络勒索事件中，被攻击者向黑客支付的赎金就超过 2 亿美元，而 2015 年一整年仅有 2400万 美元。卡巴斯基实验室 IT 威胁演化 2016 第三季度报告显示，遭受加密勒索软件攻击的互联网用户数量增长了超过 2 倍,达到 821865 人。赛门铁克按照年份统计的勒索软件，上涨趋势也非常明显。

图表可能让人感受更强烈一点。下图是赛门铁克按照年份统计的勒索软件名称，哟哟哟，越来越密集了呢！

勒索软件能够如此猖獗，很大一部分原因在于它采用社交工程迷惑用户，病毒借助恶意邮件对受害者狂轰滥炸以达到非法侵入目的。

勒索软件是怎么施展比九尾狐妖更厉害的“魅惑术”的呢？（对不起，编辑最近看古装玄幻大戏太多，你忍忍就好。）

从目前来看，有99%的勒索病毒来源于电子邮件的传播，犯罪者往往能够抓住公众或者目标受众所关心的话题，打着“最新消息”、“中奖”、“绯闻探秘”、“免费送iPhone”等旗号引诱用户点击病毒链接，诱使用户下载执行恶意程序，从而加密用户数据、文件乃至分区等等，对受害者实施敲诈勒索，有些勒索甚至危及性命。

据绿盟科技提供给雷锋网的一份资料显示，

勒索软件正在向大数据/云计算/物联网等平台扩散！

综合 Datto 和 SentinelOne 的数据来看，勒索软件事件普遍发生在医疗、交通、政府、酒店等行业，并开始有向 IOT、工控，以及公有云领域扩散的趋势。

对勒索软件的作者而言，哪种方式能够得到更多勒索赎，哪种方式更容易黑入，他们就会潜入。这意味着，你要是给他一根棍子，他都敢翘起地球！哦不，是利益足够大，都敢勒索一个国家！

我们来看看勒索软件的进阶版手段。

1.勒索软件大量利用漏洞进行渗透

勒索软件惯用伎俩是利用漏洞进行恶意软件安装，出现新的漏洞利用时，勒索软件的作者会立刻进行相应更新，这样就能感染到更多的设备，会有更多受害者，也就有更多赎金的可能。是的，他们很“勤奋”。

2.漏洞方式不灵就用钓鱼作为突破手段

  “ GoldenEye ”是勒索软件 Petya 的一个变种系列，恶意宏代码可执行、加密计算机上的文件。加密完成后，代码会修改主引导记录（ MBR ），重新启动电脑并加密磁盘文件。此类钓鱼邮件专门针对人力资源部门，HR需要大量打开陌生人的电子邮件和附件去了解求职者情况的特性就让不法分子钻了空子。

通常，钓鱼邮件中包含两个附件，其中一个附件是正常的 PDF 求职信，目的是为了迷惑受害者让她相信这确实是一个求职者。此后，受害者会打开另外一个带有恶意宏功能的 Excel 文件。 Excel 会显示一个正在加载的图片并请求受害者启用内容，以便继续加载宏文件。一旦受害者单击“启用内容”宏内的代码将被执行并启动加密文件进程，使受害者无法访问文件。

勒索软件“ GoldenEye ”会以 8 个字符的随机扩展名加密文件，所有文件加密后，将会显示一个勒索信“你的文件已被加密.txt”。

3.  用户中招后往往是付了赎金还被撕票

黑客攻破主机，通常会加密锁定用户的关键文件、文件夹等（比如Windows的用户目录、My Documents、相片、工作有关的docx/xlsx等），让受害者不能访问，并向受害者发出或者留下勒索信息，勒索的赎金通常通过比特币来支付，通常是半个到1个比特币。从调研数据来看，接近一半的受害者会支付赎金想要恢复数据，但不幸的是四分之一的受害者依然得不到恢复——“付赎金，依然被撕票”。

RSA 会议中来自于 Stanford University 的 CISO 、Datto 的 Chief Technology Officer、SentinelOne 的 Chief of Security Strategy、DataGravity 的 CISO 等专家一致表示当前针对勒索软件的防护没有“银弹”，是一个系统化的工程，重点是：

1、需要从人员的安全意识培训入手，降低人为引入的威胁。

勒索软件大多通过钓鱼邮件方式撒网，用户不小心接收打开后中招。所以，提高用户的安全意识很重要。从源头上进行的防护。

2.做好数据备份与持续更新，在关键时刻可以发挥作用。

备份需要3-2-1的原则：至少3份拷贝，存放在2个地方（异地备份），1个离线备份。事实上，还出现过这种“意外”，个别用户做了备份，却是在线的，结果也被勒索软件一起给加密了。

3.保证操作系统更新到最新的版本，降低受攻击的可能性。

4.应用防病毒、未知威胁检测等技术对勒索软件进行检测与防护。

绿盟科技认为：

安全意识不是简单一次两次培训就能提升的，它需要一个较长的时期来渗透，所以用“培养”更为贴切些。

于是，他们对雷锋网表示——咬咬牙，通过自定义邮件模拟最新的勒索变种，定向了解单位某部门或某部分员工的意识形态，再通过反复测试的方式，辅助以安全教育，提升安全警惕性和辨别能力，防患于未然。

对于那种特别狡猾的勒索软件，比如往往攻击者为了躲避查杀，会绕开“已知”想尽各种“未知”招数。这时，动态分析引擎就起到决定性作用，它会在系统中动态跟踪目标样本的执行动作，一旦“不轨”，立刻“抓获”。

近期，部分黑客组织针对ElasticSearch、MongoDB、Hadoop集群等大数据平台进行了勒索攻击。统计结果显示，已有至少34000多台MongoDB数据库被黑客组织入侵。超过了2711台ElasticSearch服务器受到黑攻击，数据库中的数据均被黑客加密并索要赎金。

对于这些攻击大数据平台，与时俱进的勒索软件，绿盟科技认为，还得紧急补上一招：开发相应安全评估系统，敌变我也变！