勒索与反勒索——一场威胁与安全的博弈
最近一年来,接连爆发的诸如Wannacry、Petya勒索事件影响范围之广,造成的经济损失让不少企业对网络安全的主流威胁之一。
根据一份最新的暗网市场分析报告指出,通过监测全球 21 个顶级暗网平台发现目前全球有实际超过 6300 个平台提供勒索软件交易,价格从 0.50 美元到 3K美元不等,随着销售量增长率达到惊人的 2502 % ,使得勒索软件的总销售金额达到了 620 万美元,比上一年总销售额多了 25 万美元。
从勒索软件背后不断完善的产业链条来看,巨大的利润空间使得黑客源源不断地涌入勒索软件市场。攻击者数量庞大,攻击方式层出不穷,让反勒索工作在未来将面临更加严峻的挑战。可以预见,这场勒索与反勒索、威胁与安全的博弈在未来势必持久且艰难。而对于企业用户而言,全面了解勒索软件并采取针对性措施就变得非常重要。
利益驱动下,勒索事件较之以往更高发
勒索软件(Ransomware)是一种流行的木马,通过骚扰、恐吓甚至采用绑架用户文件等方式,使用户数据资产或计算资源无法正常使用,并以此为条件向用户勒索钱财。这类用户数据资产包括文档、邮件、数据库、源代码、图片、压缩文件等多种文件。
据相关部门对2015-2016年勒索软件增长情况的统计研究发现,在监测的时间范围内全球勒索软件传播总数从不足100万增长到1500万,增长了15倍;中国区勒索软件数量增长超过了67倍,跃升为勒索软件感染最严重的10大国家之一。由此可见勒索软件增长态势日益严峻。
勒索软件分类
目前安全专家普遍认为,勒索软件一般有两种类型。第一种类型,是锁屏类型的勒索软件(WinLocker),这种类型的勒索软件危害相对较小。尽管可能会导致正常的电脑功能中断,但其与传统恐吓软件并没有太多不同,造成的损失也相对较小。
另一种类型,就是加密类型的勒索软件(CryptoLocker)。这种勒索软件是从2013年秋天才出现的,它并不锁定电脑屏幕,也不会中断计算机的启动进程,而是对包括“ .doc ”、“ .xls ”和“ .exe ”等在内的大多数类型的个人文件进行加密,然后攻击者要求用户支付通常为200美元和3000美元不等的比特币作为赎金,以换取文件的解密密钥。
这种加密类型的勒索软件使用非对称加密来锁定用户文件,这是一种同时包含公有密钥和私有密钥的加密方式。公有密钥用于加密用户数据,而私有密钥用于解密。这个私有密钥存储在攻击者的服务器上,无法通过网络访问,同时,攻击者还会对受害者文件的加密密钥设定失效期,以此来增加付款的紧迫性,这就意味着用户如果没有在指定的时间之内支付酬金,几乎没有希望恢复自己的文件。
目前,企业对勒索软件深恶痛绝的原因之一也是由加密类型的勒索软件带来的。虽然互联网上也流传有一些被勒索软件加密后的修复软件,但这些都是利用了勒索软件实现上的漏洞或私钥泄露才能够完成的。如Petya恢复工具就是利用了开发者软件实现上的漏洞,TeslaCrypt和CoinVault家族数据恢复工具利用了key的泄露来实现。
勒索软件的传播
通常,这些勒索软件会选择垃圾邮件的方式进行传播,攻击者往往会将勒索软件置于邮件附件之中,这些附件看起来是正常文件实则为可执行文件。此外,勒索软件还有利用漏洞传播,与其他恶意软件捆绑传播,通过僵尸网络进行传播,通过可移动存储介质传播,文件共享网站传播,网页挂马,社交网络传播等多种传播方式。
而在2013年后勒索软件逐渐采用的以比特币为代表的虚拟货币支付方式,使得勒索事件的过程更难追溯,可以说,虚拟货币的出现加速了勒索软件的泛滥。与此同时,勒索软件服务化,即开发者提供整套勒索软件的解决方案,从勒索软件的开发、传播到赎金的收取都提供完整的服务,大大降低了勒索软件的门槛,也推动了勒索软件大规模爆发。
如何更好应对勒索软件
针对勒索事件,支付赎金显然不是长久有效之计。鉴于攻击者实施攻击的目的就是为了赎金,因此,赎金交付之后不能保证原文件的绝对恢复。同时,这种行为某种程度上也满足了攻击者通过勒索软件来牟取利益的欲望。一旦有攻击者通过攻击得到了相应的酬金,使得勒索软件真正变得有利可图,由此大量黑客源源不断的进入攻击者的队伍,从而直接导致了勒索事件屡禁不止,反勒索难度越发增加。
因此,用户应该将关注点放在事件的防御而非事后修补,对于企业用户来说,应采用多层防护措施,从监控预警、防御保护、应急响应、安全审计几个步骤入手,通过安全软件的安装,达到对未知勒索软件的全程监控,对已知勒索软件的防范,同时对已发生的勒索事件进行安全审计,达到对勒索事件的防御,才能更好实现有效治理。
在勒索软件攻击登上安全事件榜首位置时,联软科技便已重视起这一类勒索软件,并着手研发相应解决方案,目前联软平台级产品已具备反勒索病毒的功能。
凭借联软安全团队长久以来对勒索软件的跟踪分析,联软的平台级产品采用人工智能和大数据分析技术对病毒行为进行解析,通过对勒索软件行为的检测,智能判断出进行文件加密劫持的可疑程序,并对其进行标识、识别、阻断操作,保护终端文件不被劫持。如此便充分地解决了传统病毒特征库识别技术的瓶颈,快速而精准的识别勒索病毒。
联软平台级产品三大优势:
- 基于病毒行为分析和全新人工智能识别技术,解决识别特征库的更新瓶颈,无需像传统防病毒软件一样需要不断的进行升级,做到不怕病毒变种和不怕各种新型病毒;
- 可以防止文档被加密,即使用户的终端感染并运行了勒索软件,也能通过阻断措施防止其恶意加密;
- 该反勒索病毒系统可以快速集成到联软统一安全管理平台LeagView,用户只需要在后台一键开启和关闭即可杜绝病毒的骚扰。
勒索软件的关键在预防,除部署联软的系统之外,用户还应及时对重要文件进行备份,同时经常将安全软件进行更新。
作为从业十几年的安全厂商,联软始终以用户为中心,在今年爆发的Wannacry、Petya事件中第一时间为用户提供有效的解决方案,今后,联软也会继续保持及时发现、快速响应的服务态度,为用户提供真正可靠的网络与信息安全解决方案。
更多行业资讯请关注联软科技官方微信
