Josh+Fruhlinger+楊勇

勒索軟件的時(shí)代始于2013年的CryptoLocker。幾年來(lái)，攻擊者變得越來(lái)越老練而且有商業(yè)頭腦。本文介紹了一些您目前應(yīng)該了解的相關(guān)內(nèi)容。

勒索軟件是一種惡意軟件，一旦您的計(jì)算機(jī)被它控制，就會(huì)危及您的安全，通常會(huì)阻止您訪問(wèn)自己的數(shù)據(jù)。攻擊者要求受害者支付贖金，承諾（不一定是真的）在付款后就可以恢復(fù)對(duì)數(shù)據(jù)的訪問(wèn)。

用戶能看到怎樣支付贖金以獲得解密密鑰的說(shuō)明。這些費(fèi)用從幾百美元到幾千美元不等，以比特幣的形式支付給網(wǎng)絡(luò)罪犯份子。

勒索軟件是怎樣工作的

勒索軟件有很多手段來(lái)訪問(wèn)計(jì)算機(jī)。最常見(jiàn)的一種輸送系統(tǒng)是網(wǎng)絡(luò)釣魚(yú)垃圾郵件——發(fā)送給受害者的電子郵件中含有附件，被偽裝成他們可以信任的文件。一旦下載和打開(kāi)，它們就能控制受害者的計(jì)算機(jī)，特別是如果有內(nèi)置的社會(huì)工程工具，會(huì)欺騙用戶以管理員的身份進(jìn)行訪問(wèn)。還有一些更具攻擊性的勒索軟件，例如NotPetya，直接利用安全漏洞來(lái)感染計(jì)算機(jī)，并不需要欺騙用戶。

一旦惡意軟件控制了受害者的計(jì)算機(jī)，會(huì)干很多壞事，但到目前為止，最常見(jiàn)的行為是加密部分或者全部用戶文件。如果您想了解其技術(shù)細(xì)節(jié)，Infosec研究所深入研究了勒索軟件加密文件所采用的幾種方式，可以供您參考。但最重要的是，在這個(gè)過(guò)程的最后，如果得不到只有攻擊者才知道的數(shù)學(xué)密鑰，這些文件就無(wú)法解密。用戶會(huì)看到一條消息，說(shuō)他們的文件現(xiàn)在無(wú)法訪問(wèn)了，受害者只有把不可追蹤的比特幣支付給攻擊者，才能解密文件。

在某些形式的惡意軟件中，攻擊者會(huì)聲稱自己是執(zhí)法機(jī)構(gòu)，由于在受害者的計(jì)算機(jī)中發(fā)現(xiàn)了色情或者盜版軟件而關(guān)閉其計(jì)算機(jī)，并要求支付“罰款”，這也許是為了讓受害者不要向當(dāng)局報(bào)告攻擊事件。但大多數(shù)攻擊都不太在乎這種偽裝。還有變種，被稱為“l(fā)eakware”或者“doxware”，攻擊者威脅要公開(kāi)受害者硬盤中的敏感數(shù)據(jù)——除非支付贖金。但是由于查找和提取這些信息對(duì)于攻擊者來(lái)說(shuō)是非常棘手的問(wèn)題，因此，加密勒索軟件是迄今為止最常見(jiàn)的類型。

勒索軟件的目標(biāo)是誰(shuí)？

攻擊者可以通過(guò)多種不同的方式來(lái)選擇勒索軟件所針對(duì)的目標(biāo)。有時(shí)，就是憑運(yùn)氣：例如，攻擊者可能瞄準(zhǔn)大學(xué)，因?yàn)榇髮W(xué)的安全部門規(guī)模不大，有不同的用戶群，他們共享很多文件，因此，很容易越過(guò)他們的防御系統(tǒng)。

另一方面，有一些目標(biāo)是很誘人的，因?yàn)樗麄兛雌饋?lái)更容易很快的支付贖金。例如，政府機(jī)構(gòu)或者醫(yī)療機(jī)構(gòu)通常需要隨時(shí)查閱他們的文件。有敏感數(shù)據(jù)的律師事務(wù)所和其他組織可能會(huì)愿意支付贖金，為的是不被媒體曝光——這些組織對(duì)漏洞攻擊特別敏感。

但不要覺(jué)得如果您不在這些類別里，自己就是安全的：正如我們所指出的那樣，一些勒索軟件在互聯(lián)網(wǎng)上不加選擇地自動(dòng)傳播。

怎樣防止勒索軟件

您可以采取一些防御步驟來(lái)防止被勒索軟件感染。一般而言，這些步驟當(dāng)然是非常好的安全措施，所以遵循這些措施可以提高您抵御各種攻擊的能力：

● 及時(shí)給您的操作系統(tǒng)打上補(bǔ)丁，并且是最新的補(bǔ)丁，盡可能減少可被利用的漏洞。

● 不要隨意安裝軟件，也不要給它管理權(quán)限，除非您確切地知道它是什么，它要做什么。

● 安裝防病毒軟件，當(dāng)勒索軟件等惡意程序要訪問(wèn)計(jì)算機(jī)時(shí)，可以檢測(cè)到這些程序，安裝白名單軟件，從而防止未經(jīng)授權(quán)的應(yīng)用程序搶先執(zhí)行。

● 當(dāng)然，經(jīng)常、自動(dòng)地備份您的文件！這不能阻止惡意軟件的攻擊，但這會(huì)盡可能的減少損失。

您應(yīng)該支付贖金嗎？

理論上，大多數(shù)執(zhí)法機(jī)構(gòu)都要求您不要給勒索軟件攻擊者付費(fèi)，因?yàn)檫@樣做的邏輯只會(huì)鼓勵(lì)黑客去制造更多的勒索軟件。也就是說(shuō)，很多發(fā)現(xiàn)自己被惡意軟件攻擊了的企業(yè)很快就不再想所謂“更好的辦法”，而是開(kāi)始進(jìn)行成本效益分析，針對(duì)贖金價(jià)格與加密數(shù)據(jù)價(jià)值進(jìn)行權(quán)衡利弊。據(jù)Trend Micro的研究，66%的公司說(shuō)他們的原則是永遠(yuǎn)不會(huì)支付贖金，實(shí)際上65%的公司在被勒索時(shí)確實(shí)會(huì)支付贖金。

勒索軟件攻擊者將價(jià)格保持在相對(duì)較低的水平——通常在700美元到1，300美元之間，很多公司都負(fù)擔(dān)得起，短時(shí)間內(nèi)就會(huì)支付。一些特別復(fù)雜的惡意軟件會(huì)探測(cè)受感染的計(jì)算機(jī)所在國(guó)家，按照該國(guó)經(jīng)濟(jì)來(lái)調(diào)整贖金，對(duì)富裕國(guó)家的公司勒索的更多一些，對(duì)貧困地區(qū)則少一些。

為了盡快得手，常常會(huì)有折扣，目的是讓受害者盡快付錢，以免夜長(zhǎng)夢(mèng)多。一般來(lái)說(shuō)，價(jià)格點(diǎn)是設(shè)定的，足夠高到值得去犯罪，但也足夠低，往往比受害者恢復(fù)他們的計(jì)算機(jī)或者重建丟失的數(shù)據(jù)所付出的費(fèi)用便宜一些。有鑒于此，一些公司在其安全計(jì)劃中設(shè)立了備付贖金：例如，一些并沒(méi)有涉及過(guò)加密貨幣的英國(guó)大公司專門為贖金儲(chǔ)備了一些比特幣。

在這里還要注意一些棘手的問(wèn)題，牢記和您打交道的人是罪犯。首先，有的看上去像勒索軟件，但實(shí)際并沒(méi)有加密您的數(shù)據(jù)；在給任何人付費(fèi)之前，確定您面對(duì)的不是所謂的“恐慌軟件”。其次，即使付錢給攻擊者也不能保證您能把文件拿回來(lái)。有時(shí)候罪犯份子就是拿錢跑路，惡意軟件甚至都沒(méi)有內(nèi)置解密功能。但是，任何這樣的惡意軟件雖然很快會(huì)名聲大噪，但不產(chǎn)生收益，所以在大多數(shù)情況下——Arbor網(wǎng)絡(luò)的首席安全技術(shù)專家Gary Sockrider估計(jì)，大約65到70%的時(shí)間，騙子會(huì)放棄，您的數(shù)據(jù)也就恢復(fù)了。

勒索軟件的例子

雖然勒索軟件90年代就在技術(shù)上可行了，但它只是在過(guò)去5年左右才真正開(kāi)始發(fā)威，主要原因是出現(xiàn)了比特幣這種不可追蹤的支付方式。一些最惡劣的勒索軟件：

● CryptoLocker，2013年的一次攻擊，揭開(kāi)了現(xiàn)代勒索軟件時(shí)代，感染了高達(dá)50萬(wàn)臺(tái)機(jī)器。

● TeslaCrypt，針對(duì)游戲文件，在其恐怖橫行的那段時(shí)間里，還在不斷改進(jìn)。

● SimpleLocker，第一次針對(duì)移動(dòng)設(shè)備而廣泛傳播的勒索軟件攻擊。

● WannaCry，使用EternalBlue自主地在計(jì)算機(jī)之間傳播，而EternalBlue是由NSA開(kāi)發(fā)的一個(gè)漏洞，后來(lái)被黑客竊取了。

● NotPetya，也利用了EternalBlue，可能是俄羅斯針對(duì)烏克蘭發(fā)起的網(wǎng)絡(luò)攻擊的一部分。

● Locky，2016年開(kāi)始蔓延，“攻擊方式類似于臭名昭著的銀行軟件Dridex?！?/p>

這個(gè)清單會(huì)越來(lái)越長(zhǎng)。就在本文完稿之際，被稱為BadRabbit的新一波勒索軟件席卷了東歐和亞洲的媒體公司。請(qǐng)遵循這里列出的小貼士來(lái)保護(hù)您自己——這非常重要。

Josh Fruhlinger是一名作家和編輯，他住在洛杉磯。