董昱宏 宋廣佳

(浙江農(nóng)林大學暨陽學院工程技術學院 浙江 諸暨 311800)

0 引 言

勒索病毒(Ransomware)是一種新型的惡意程序，主要通過鎖定用戶的設備或加密設備中的文件阻止用戶訪問，來對受害者進行勒索。其傳播方式隨著技術的發(fā)展變得十分廣泛，包含了傳統(tǒng)的惡意郵件、程序木馬、網(wǎng)頁掛馬等傳播模式，以及端口掃描、弱口令破解、漏洞利用等現(xiàn)代化的入侵手段。不同于其他惡意程序，勒索病毒更注重于以非法索取受害者財物為目的，經(jīng)濟利益直接推動了整個勒索病毒行業(yè)的發(fā)展。

勒索病毒最早發(fā)展于1989年，由美國生物學博士Joseph Popp制造的勒索程序aids-trojan，后經(jīng)過不斷升級迭代，由計算機程序演變?yōu)橛嬎銠C病毒，具備了更強的主動傳播能力。近年來勒索病毒的發(fā)展雖有放緩趨勢，但各種新型的勒索病毒仍層出不窮，通過對現(xiàn)有技術的集成，導致受感染者難以通過簡單的手段進行數(shù)據(jù)恢復和防御。隨著越來越多的設備連接到網(wǎng)絡，預計未來勒索病毒將會逐漸蔓延到新的設備類別，特別是針對移動端及物聯(lián)網(wǎng)設備的感染預計在未來將產(chǎn)生難以估量的損失[1]。

根據(jù)2019年Symantec公司年度報告[2]顯示，自2013年以來，首次觀察到勒索軟件活動在2018年期間有所減少，終端的勒索軟件感染總數(shù)下降了20%，但針對企業(yè)的感染卻上升了12%，移動端勒索軟件數(shù)量增加了38%。由于相較于其他被勒索的目標，企業(yè)日常運營對其自身數(shù)據(jù)依賴性較高，當其數(shù)據(jù)遭到加密、被勒索時也更傾向于支付贖金以盡快恢復正常運營，因此促使了勒索病毒針對企業(yè)為攻擊目標的增長。

勒索病毒的大量傳播對企業(yè)、政府等相關機構造成了嚴重的影響，2017年爆發(fā)的WannaCry[3]對國內(nèi)許多機構的設備造成了嚴重后果，也讓越來越多的人開始意識到了勒索病毒所具有的危害性與破壞力之嚴重。瑞星公司2019年中國網(wǎng)絡安全報告統(tǒng)計顯示[4]，2019年共攔截到勒索病毒樣本174萬個，感染次數(shù)為224萬次，感染數(shù)量地域分布Top10如圖1所示。通過對所有上報用戶中的230家進行抽樣調(diào)查發(fā)現(xiàn)，政府用戶受感染比例達到34.78%，位列第一，電信、醫(yī)療、中小企業(yè)等用戶也均遭受影響，感染設備包括本地服務器和云主機，2019年勒索病毒樣本上報用戶占比如圖2所示。

圖1 2019感染用戶地域分布Top10

圖2 2019年勒索病毒樣本上報用戶占比

針對愈演愈烈的勒索病毒攻擊，本文對勒索病毒演變過程及行為進行了研究，對其所擁有的能力與行為進行了剖析，并試圖從傳播方式、加密方式、贖金收取渠道、C&C服務器(Command and Control Server)連接方式等多個維度對其進行歸納，探究其如何利用復雜化技術與現(xiàn)代防御技術相抗衡。文章同時也介紹了典型的防范措施與檢測技術，最后對勒索病毒的發(fā)展趨勢進行了展望。

1 勒索病毒的發(fā)展

勒索病毒包含大量行為相似、目的相同的變種，本節(jié)通過搜集相關文獻與現(xiàn)有資料，從多個角度對病毒行為進行了分析，并選取了其中具有代表性的種類以編年史的方式對其進行了介紹，展示了其主要的三個階段。文章中用到的主要縮略語見表1。

表1 主要縮略語

1.1 初期發(fā)展階段

aids-trojan：1989年，最早期的勒索病毒，制造者為美國生物學博士Joseph Popp。他將20 000個包含勒索病毒的軟盤分發(fā)給90多個國家，并稱軟盤內(nèi)載有分析艾滋病個體風險的問卷程序。Jim Bates 對該病毒進行了分析，并于1990年1月將研究結果發(fā)表在了Virus Bulletin機構承辦的刊物上[5]。該病毒會檢測計算機的啟動次數(shù)，當達到90次時，會觸發(fā)程序?qū)ξ募A屬性、文件名稱及擴展名的修改。當用戶再次重新啟動機器時，會被引導到一個欺騙性的DOS界面，并顯示“關鍵軟件包租約到期，繼續(xù)使用可能導致C盤文件損毀”。同時其所創(chuàng)建的純文本文件中包含了類似需要向巴拿馬PC Cyborg公司信箱匯款189美元以對軟件租賃進行續(xù)期的建議。

Trojan.PGPCode：2005年5月，具有多個變種。該病毒會加密受害主機的文件，贖金勒索方式為向指定賬戶匯款[6]。早期版本使用簡單對稱加密算法，文件恢復難度不大，可使用相關文件恢復工具進行解救；后期出現(xiàn)了使用RSA等加密算法的變種，并在物理上對加密文件進行覆蓋使得幾乎無法通過技術手段來對文件進行恢復。

敲詐者(Trojan.Pluder.a/Trojan_Agent.BQ)：2006年，國內(nèi)首例勒索病毒[7-8]，由江民反病毒公司率先截獲。該病毒運行后會搜索用戶常用格式的文檔，并將這些文檔移動到一個特殊的隱藏文件夾中。同時建立包含勒索信息的文本文件，內(nèi)容大致為：“你的硬盤資料由于手機強電流的影響導致丟失，需要使用磁盤修復工具找回文件，但你所使用的為盜版軟件，需要向指定賬戶匯款84元以購買正版軟件，之后即可恢復文件”。

Trojan.Cryzip：2006年3月[6,8-10]，該病毒會搜索硬盤上多種類型的文件，包括各種文本文檔、數(shù)據(jù)庫文件等。之后將這些文件壓縮到帶有密碼的壓縮文件中，同時刪除原始文件，并生成包含勒索信息的文件，要求向特定E-GOLD賬戶匯款。

Trojan.Archiveus：2006年，第一個已知的使用非對稱加密算法的勒索病毒[9-10]，它會加密“My Documents”文件夾中的所有文件，然后要求用戶到特定網(wǎng)站進行購買，以獲得解密文件的密碼。

Reveton：2012年，一種偽裝司法機關的勒索病毒[11-13]。該病毒成功感染電腦后，會阻止用戶進入桌面，并顯示欺詐信息，聲稱用戶由于參與非法活動，系統(tǒng)已被當?shù)貓?zhí)法機關鎖定，需要支付罰款以解除鎖定。Microsoft Security Intelligence對此類病毒及其變種進行了詳細分析與記載[14]。

1.2 中期探索階段

CryptoLocker：2013年，標志著現(xiàn)代勒索軟件的興起，它是第一個將所有關鍵技術結合起來的勒索軟件[15]。CryptoLocker會偽裝成一個合法的電子郵件通過僵尸網(wǎng)絡進行傳播，所含附件利用Windows擴展名漏洞誘騙受害者點擊運行，以激活惡意程序，其運行后會自動進行安裝并嘗試連接C&C服務器，提交受感染計算機的相關信息用于生成特定密鑰對，將私鑰存儲于服務器中，而公鑰用于加密受感染電腦中特定擴展名的文件。它要求受害者在72至100小時內(nèi)向特定賬戶匯款2比特幣或100，否則將刪除服務器端密鑰，導致文件無法進行恢復。

Tox：2015年，昭示著RaaS(Ransomware-as-a-Service)的到來[16-17]。一個在Tor[18]網(wǎng)絡上提供勒索軟件生成的網(wǎng)站，僅需要簡單的幾個步驟就可以獲得一個定制的勒索軟件，并以其勒索所得的一部分作為回報。這使得很多甚至是對計算機技術不了解的人也有了使用勒索軟件的可能。Tox使用AES[19]對文件進行加密，依托于Tor網(wǎng)絡運行，并使用比特幣作為贖金支付方式。

Simplocker：2014年，由ESET檢測到的第一款針對Andriod平臺的文件加密型勒索軟件[20]。它會偽裝成正常的應用軟件誘騙用戶進行下載，或者通過木馬下載程序進行傳播，運行后該軟件會顯示勒索信息并在后臺使用AES算法對文件進行加密。由于加密密鑰以明文方式編碼于軟件中，所以文件恢復并不是十分困難。

LockerPin：2015年，一款針對Andriod設備的勒索軟件[21]。軟件運行時會請求用戶給予管理員權限，之后便通過更改鎖屏所使用的PIN碼對Andriod設備進行鎖定，并勒索500美金。該程序通常偽裝為視頻應用進行傳播，其早期版本會直接請求管理員權限，后期版本中使用的方式更為隱蔽，通過偽裝成“更新補丁安裝”誘使受害者點擊，然后獲取權限執(zhí)行惡意操作。由于LockerPin使用隨機方式生成PIN碼，并未在服務器中對感染設備PIN碼進行存儲，因此即使支付贖金，受害者仍無法解鎖設備，可行的移除方式只能通過還原出廠設置或重置PIN碼(設備需已獲取root權限)。

KeRanger：2016年，由Palo Alto Networks 檢測到的第一款針對Mac系統(tǒng)的勒索病毒[22]。其通過污染一款名為Transmission的種子下載軟件進行傳播，即替換該軟件官網(wǎng)上的安裝包為插入惡意代碼后的版本。因為KeRanger使用了有效的Mac應用開發(fā)者證書，所以成功繞過了Apple的保護機制。程序運行后，會在等待三天后嘗試連接位于Tor網(wǎng)絡上的C&C服務器以獲取加密用的密鑰對，之后便對設備上的300多種文件進行加密，并顯示勒索信息，要求受害者需向指定賬戶匯款1比特幣以恢復文件。

Linux.Encoder：2015年，被認為是第一個針對Linux操作系統(tǒng)的勒索病毒[23]。利用Magento(一款內(nèi)容管理系統(tǒng)應用)上的一個漏洞對計算機進行感染，運行后對每個文件生成AES密鑰以進行加密，然后從控制服務器中獲取RSA公鑰對AES密鑰進行加密并附著到每個被加密的文件之中。完成后添加勒索信息文件，勒索金額為1比特幣。

Ransom32：2016年，第一個使用Javascript編寫的使用RaaS作為傳播方式的勒索病毒[17,24]。與Tox相似，其提供勒索病毒定制服務，然后收取部分勒索所得金額作為回報。與其他勒索軟件不同的是，其所生成的病毒主體使用Javascript語言進行編寫，且病毒體積為22 MB，遠大于常見的勒索病毒體積。其結構為一個自解壓文件，運行時使用WinRAR腳本自動解壓其自身到臨時目錄下，并運行"chorme.exe"文件。"chorme.exe"是一個使用了NW.js框架的惡意應用程序，通過偽裝為Google瀏覽器進行欺騙。其加密方式為使用RSA以及AES對文件進行加密，然后顯示勒索信息，使用比特幣地址進行收款。由于Javascript其自身的跨平臺性，因此該勒索病毒可對多種不同系統(tǒng)構成威脅。

1.3 后期產(chǎn)業(yè)化階段

Locky：2016年，勒索軟件開始呈現(xiàn)規(guī)?；?、全球化蔓延趨勢。Locky會通過郵件進行傳播，在郵件中攜帶含有惡意宏指令的Word文件并誘騙用戶下載、運行以執(zhí)行其宏指令[25]。指令執(zhí)行后會連接指定的服務器并下載Locky主體，之后便會使用常見的RSA與AES加密方式對文件進行加密，同時刪除全盤所有卷影副本以免用戶進行恢復操作，然后生成勒索信息文件。后期出現(xiàn)了采用Excels、Docm、壓縮文檔等不同載體的變種，其所含有的惡意代碼功能與之前類似。根據(jù)卡巴斯研究報告，該勒索病毒波及了114個國家，可見其傳播范圍十分廣泛。2016年7月，殺毒公司Avira又報道了一種新的Locky變種，在該變種中新增了離線加密模式，即當Locky多次嘗試與其配置服務器連接失敗后，會使用一個統(tǒng)一的密鑰對文件進行加密，這使得試圖通過斷開網(wǎng)絡以保護文件的方式變得不再有效。

Cerber：2016年，集多種勒索軟件運作方式為一體，使用RaaS商業(yè)模式，并采用了DGA、區(qū)塊鏈域名隱藏等技術用于規(guī)避安全機構的封鎖[26]，其所擁有的大量變種以及自身的不斷更新使得該病毒的影響極其廣泛，也為其幕后開發(fā)者帶來了不菲的收益。Cerber最早在2016年3月出現(xiàn)于俄羅斯暗網(wǎng)論壇中，用戶以付給開發(fā)者勒索收益40%的方式來購買和部署該勒索服務。早期的版本使用漏洞利用套件(Explore Kit)進行傳播，后期版本更偏向于利用社會工程學手段分發(fā)垃圾郵件以作為攻擊載體對用戶進行攻擊。Cerber具有許多不同的版本，其加密方式基本為常見的RSA與AES加密方式，但在一些版本及變種中所引入的功能令人注意[27]。在Cerber v4.1.5中，它會廣泛地收集受害者信息并將細節(jié)傳輸?shù)紺&C服務器。在Cerber v5的一個變種中，使用了RIG-V攻擊套件，它通過一個被攻陷的網(wǎng)站網(wǎng)絡運行，利用軟件中的漏洞在電腦上執(zhí)行惡意代碼。在Cerber v6中，惡意郵件攜帶含有JavaScript惡意腳本的壓縮附件，其功能為下載可執(zhí)行攻擊載荷實體，并在兩分鐘之后創(chuàng)建Cerber進程(這有助于規(guī)避沙箱監(jiān)測，特別是那些具有超時機制的沙箱)，或執(zhí)行內(nèi)嵌的Powershell腳本。此版本使用Windows腳本文件有助于繞過垃圾郵件檢測機制以及一些安全軟件的攔截，此外開發(fā)人員還在惡意軟件中添加了DDoS組件，這意味著這一版本的Cerber惡意軟件可被用于集成僵尸網(wǎng)絡，較之以往的勒索病毒具有了更為嚴重的危害性。

Spora：2017年，擁有華麗的勒索信息界面，并且使用了一種新的離線加密技術[28-29]。該軟件含有一個用硬編碼AES密鑰加密后的RSA公鑰root-Rpu，首先對其進行解密以提取此公鑰。之后生成一個本地的RSA密鑰對local-Rpu和local-Rpr、一個本地的AES密鑰local-AES、為每個文件生成Per-AES密鑰。具體加密過程為：使用Per-AES密鑰加密文件，然后使用local-Rpu對Per-AES密鑰進行加密并添加到被加密的文件中。之后使用local-AES對local-Rpr進行加密，最后使用最初解碼出的root-Rpu對local-AES進行加密。即Spora的創(chuàng)造者在常見的勒索軟件加密流程的基礎上，又增加了一輪新的AES和RSA加密。如果受害者想要支付贖金，則必須上傳他們被加密的local-AES密鑰，攻擊者使用他們的root-Rpr私鑰進行解密后連同解密工具一并返還給受害者，這就避免了攻擊者所擁有的唯一一把RSA私鑰的泄露。整個過程使得離線加密擁有了更好的可用性。該勒索病毒的另一特性是可以根據(jù)受感染設備所擁有文件的相關信息自動設定不同的勒索金額，并且提供一個在線聊天功能以及其他一些單獨定價的服務。

WannaCry：2017年，一款席卷全球的勒索軟件，也是我國第一款廣泛傳播并進入大眾視野的勒索軟件[30]。該病毒具有高度模塊化特征，并且由于通過對MS17-010漏洞[31]的有效攻擊載荷永恒之藍(Enterblue)以及雙脈沖星后門(Doublepulsar Backdoor)的利用[32]，擁有了更強的感染能力以及主動攻擊能力。這兩款工具均來自方程式組織(Equation Group)，由被稱為Shadow Brokers的黑客組織在2017年4月所泄露。該勒索病毒的攻擊過程可分為四個階段[33]：

1) 部署階段：通過對SMB服務漏洞的利用，獲取淪陷設備的訪問權限并注入惡意載荷。將“l(fā)auncher.dll”注入系統(tǒng)進程lsass.exe作為后續(xù)主體程序mssecsvc.exe的啟動程序。

2) 安裝階段：一旦注入成功，則啟動“mssecsvc.exe”。該程序首先會分析所處環(huán)境是否為虛擬環(huán)境，之后會嘗試連接一個硬編碼的URL“www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com”，如果能夠成功連接則退出程序，即利用該網(wǎng)址作為病毒開關；否則繼續(xù)執(zhí)行?！癿ssecsvc.exe”通過不帶參數(shù)運行引入下一階段所要使用的二進制文件“tasksche.exe”，通過帶有“-m security”參數(shù)進行感染傳播，掃描內(nèi)網(wǎng)進行SMB探測及攻擊，并隨機生成公網(wǎng)IP對其進行相同檢測。

3) 破壞階段：“tasksche.exe”提取位于其資源段中的資源文件“XIA”，并用密碼 “WNcry@2ol7”進行解壓，解壓出的內(nèi)容為加密文件所需支持組件以及一些下一階段所使用的文件，然后進行加密操作。該勒索病毒的加密方式也是一種離線加密。首先生成一個本地RSA密鑰對，使用內(nèi)嵌的RSA公鑰對其公鑰進行加密，然后將其私鑰用于為每個文件生成單獨AES密鑰。因此，用戶想要解鎖文件就需要將被加密的RSA私鑰上傳至服務器。在完成加密之后，WannaCry會使用擦除技術對一些特定文件夾中的文件內(nèi)容進行覆蓋擦寫，防止用戶使用恢復軟件對文件進行恢復。

4) 命令與控制階段：“@WanaDecryptor@.exe”為上一階段解壓出的文件，通過使用不同的參數(shù)執(zhí)行不同的操作，包括：顯示勒索信息界面、連接Tor服務器等功能。

GandCrab：2018年，同樣使用了RaaS模式，不同于其他勒索病毒的是它選擇了達世幣作為贖金支付渠道。GandCrab的第一個版本是由安全研究員David Montenegro于2018年1月底發(fā)現(xiàn)[34]，病毒通過兩款漏洞利用工具包RIG EK和GrandSoft EK進行分發(fā)。之后，在2月初開始通過Necurs僵尸網(wǎng)絡發(fā)送大量垃圾郵件并通過EITest感染鏈進行傳播。2018年2月28日，安全公司Bitdefender發(fā)布了針對GandCrab最初版本的免費解密工具，該解密工具并非利用了加密流程中存在的漏洞，而是由于成功獲取了其控制服務的訪問權限，因此能夠獲得用于解密的私鑰(截至2019年6月，該解密工具支持對v1-v5.0.5等多個版本的文件進行解密)，這也促使了GandCrab的開發(fā)者發(fā)布帶有新加密技術的升級版本。目前，研究組織已經(jīng)發(fā)現(xiàn)了7個以上的GandCrab版本[35]。GandCrab憑借其龐大的分支機構、多樣化的攻擊方式、版本的定期迭代更新，迅速成為2018年最為常見的勒索病毒之一。

2019年6月David Montenegro在暗網(wǎng)論壇發(fā)現(xiàn)了GandCrab運營者的帖子，宣布他們已經(jīng)獲取了超過20億美金的收益，并決定停止進一步的勒索服務。對于其是否真的獲取了如此高的收益還難以斷言，研究人員認為GandCrab并不像其創(chuàng)造者所說的那么成功，因為網(wǎng)絡安全研究人員不斷針對各個版本開發(fā)了免費的解密工具。GandCrab團隊可能將繼續(xù)以不同的名字制造勒索軟件或其他惡意軟件以規(guī)避安全組織與執(zhí)法人員對其進行的監(jiān)視。

2 勒索病毒主要功能剖析

在勒索病毒的發(fā)展過程中，雖然其數(shù)量繁多、類型多樣，但其基本運行流程大致相似，主要可分為病毒分發(fā)、設備感染、與C&C服務器通信、文件加密、顯示勒索信息等階段[36-38]，如圖3所示。

圖3 勒索病毒運行流程

2.1 傳播與感染方式

2.1.1被動型傳播

早期勒索軟件的傳播方式不具備很強的主動攻擊性，缺乏自我復制性，其主要通過隱藏程序主體以誘騙受害者操作運行。這一階段的傳播方式主要包括以下幾種：

(1) 通過軟盤或U盤等存儲介質(zhì)分發(fā)，在其中嵌入惡意程序。

(2) 利用僵尸網(wǎng)絡等渠道大量分發(fā)垃圾郵件以及社會工程學郵件，其中包含惡意附件或惡意鏈接。

(3) 替換網(wǎng)站存儲內(nèi)容為插入惡意代碼后的版本或在一些提供免費軟件下載的站點中上傳包含惡意代碼的安裝包。

2.1.2RaaS模式

在勒索病毒后續(xù)的發(fā)展階段中開始出現(xiàn)了一種新的商業(yè)化運作模式：勒索即服務RaaS模式。通過提供在線的勒索病毒定制服務并收取勒索所得金額的一部分作為回報的方式，為那些不具備勒索軟件開發(fā)能力卻準備獲取它們的人提供了一個平臺，使得更多更廣泛的犯罪分子參與到了病毒傳播過程當中[37]。RaaS方式減少了開發(fā)者在病毒傳播環(huán)節(jié)中所要投入的精力和成本，事半功倍地擴大了病毒傳播范圍并因此大大提高了勒索所得的收益。

2.1.3主動型傳播

如今現(xiàn)代化的勒索病毒，大多具有了主動攻擊能力，通常會自動掃描探測網(wǎng)絡以發(fā)現(xiàn)開放的端口并對存在漏洞的設備進行攻擊，自動轉(zhuǎn)發(fā)包含勒索病毒的文件到其內(nèi)網(wǎng)環(huán)境以進一步提升感染主機數(shù)量。如2017年大肆橫行的WannaCry通過對SMB公開漏洞利用工具的使用，導致國內(nèi)大量未及時進行漏洞修補和更新的設備遭到了攻擊并淪陷。除系統(tǒng)漏洞外，Web漏洞也是目前一些勒索病毒所針對的方向，如Satan勒索病毒利用了多個Web應用程序漏洞如任意文件上傳、反序列化等，對服務器進行入侵。除此之外，弱口令爆破也是另一種常見的攻擊模式，這對安全意識不高的機構和企業(yè)仍然構成了不小的威脅，如使用RDP弱口令爆破手段的勒索病毒Crysis[39]。另一方面，僵尸網(wǎng)絡與漏洞利用套件在現(xiàn)代勒索病毒傳播與感染過程中所起到的作用也令人矚目。

1) 僵尸網(wǎng)絡(Botnet)。僵尸網(wǎng)絡是一種從傳統(tǒng)惡意代碼進化而來的新型攻擊方式[40]，它為攻擊者提供了隱匿、靈活且高效的一對多命令與控制機制，可以實現(xiàn)控制大量僵尸主機進行信息竊取、分布式拒絕服務攻擊和垃圾郵件發(fā)送等功能。勒索病毒利用僵尸網(wǎng)絡大量分發(fā)惡意郵件，對滲透一些安全措施較強的機構起到了非常有效的作用。

2) 漏洞利用套件。相對于電子郵件誘騙用戶點擊的傳播方式，漏洞利用套件是一種更為復雜且攻擊性更強的傳播方式，不需要終端用戶執(zhí)行任何交互操作，McAfee將其定義為“一個易用的包含已知和未知漏洞的完整工具包”。漏洞利用套件會包含一系列不同的漏洞利用程序，典型的如針對操作系統(tǒng)、Web瀏覽器或其他插件的漏洞，這些漏洞大多是公開披露的，也有些是0day漏洞，此類漏洞由于暫時沒有可用補丁，因此具有更為嚴重的危害性。為了獲取收益，一些漏洞利用套件的開發(fā)者會在暗網(wǎng)中提供出售租用服務，其中的漏洞利用程序更新越迅速，攻擊能力越強。而通過獲得的大量的非法收入，開發(fā)者又可以購買新的0day漏洞，進一步提升工具包的利用價值，以此形成了一個產(chǎn)業(yè)循環(huán)[41]。勒索病毒通過對漏洞利用包的使用，在降低開發(fā)難度的同時又增強了自身的傳播能力。

通過在程序主體中集成自動傳播模塊，勒索病毒開始真正走向了惡意產(chǎn)業(yè)化道路，成為了攻擊者眼中一種切實高效的經(jīng)濟獲取手段。而勒索病毒所使用的傳播技巧，在使得自身廣泛傳播的同時也增加了追蹤溯源的難度。如在WannaCry中[32]，程序通過隨機掃描公網(wǎng)IP的方式進行滲透傳播，這對初期溯源偵查工作構成了挑戰(zhàn)。

2.2 C&C服務器連接技術

大多數(shù)勒索病毒在整個運行的流程中，會嘗試與C&C服務器進行連接，通過向其發(fā)送感染主機相關信息，以確定下一執(zhí)行步驟。使用非離線加密方式的勒索病毒也需要通過C&C服務器獲取加密過程中所使用的密鑰對中的公鑰，同時將主機相關信息與私鑰進行匹配標記，存儲在服務器中以用于提供用戶解密操作。在勒索病毒的發(fā)展過程中，為了避免其與C&C服務器的通信信道被阻斷，如何有效地連接控制服務器也成為一個不斷發(fā)展與完善的技術點。

2.2.1硬編碼連接方式

早期的勒索病毒通常將一組服務器的IP地址或域名硬編碼嵌入程序主體當中，使用一定的加密方式進行保護，程序運行時對地址進行提取并嘗試連接。此種方式往往可以通過逆向工程進行破解溯源，進而對服務器列表進行封鎖，以此導致依托于這組C&C服務器的勒索病毒失效，因此采用該通信機制的勒索病毒往往難以長期生存。

2.2.2DGA技術

為了解決硬編碼地址容易遭到阻斷的問題，攻擊者開始轉(zhuǎn)向使用動態(tài)生成域名的方式，由此出現(xiàn)了一種新的技術，即域生成算法DGA。該算法會周期性地生成大量的偽隨機域名，勒索病毒通過不斷發(fā)送DNS查詢消息來尋找其中可用的C&C服務器以進行通信信道的建立。由于該算法會生成大量域名，執(zhí)法者若想通過封鎖服務器的方式阻斷勒索病毒活性需要消耗大量的成本，而攻擊者僅需注冊其中少量域名即可保障勒索病毒的運行。因此這一技術極大地提高了勒索病毒突破封鎖的能力，后期階段的勒索病毒基本都集成了這一功能，但是由于此種方式會產(chǎn)生大量失敗的DNS查詢消息，所以也可以根據(jù)此特征進行病毒檢測。

2.2.3匿名網(wǎng)絡隱匿技術

匿名網(wǎng)絡是一種通過數(shù)據(jù)轉(zhuǎn)發(fā)、內(nèi)容加密、流量混淆等通信措施來隱藏數(shù)據(jù)信息及設備間聯(lián)系的網(wǎng)絡系統(tǒng)[42]，可為普通用戶提供Internet匿名訪問功能，可以隱藏網(wǎng)絡通信源和目標，也可以為服務提供商提供隱藏服務和匿名化的網(wǎng)絡服務部署。由于其所具有的這些特性，因此也常常被勒索病毒等惡意軟件用于隱藏網(wǎng)絡活動。Tor作為目前使用最為廣泛的匿名通信系統(tǒng)，已經(jīng)被多個勒索病毒家族如WannaCry、Cerber等用于部署C&C服務器。

Tor網(wǎng)絡中所特有的洋蔥服務(Onion Services)不同于傳統(tǒng)的域名解析模式，而是使用一套獨特的訪問方式來隱藏其服務器[43]。Onion服務器與客戶端之間的通信流程如下：首先Onion服務器會尋找中繼作為其匿名引入點(Introduction Points)并提供身份驗證密鑰，然后將這些信息發(fā)送到一個分布式散列中，該分布式散列存儲在Tor網(wǎng)絡中帶有HSDir[44]標志的中繼節(jié)點處。當客戶端請求訪問Onion服務器時，會通過該散列獲取相關信息，隨后選擇中繼以建立匿名通道，并將該中繼作為此次通信的匯聚點(Rendezvous Point)，之后將該匯聚點告訴服務器端以完成后續(xù)連接的建立。由于該分布式散列的不可監(jiān)管性，因此無法對Tor中的服務器進行封鎖。針對此種通信方式的勒索病毒，可以采用流量實時分析的方式進行識別和阻斷。

2.2.4區(qū)塊鏈域名隱藏技術

研究者在勒索病毒Cerber中發(fā)現(xiàn)了一種更為精巧和復雜的技術：基于區(qū)塊鏈的尋址方式[26]。整個聯(lián)結利用了一臺網(wǎng)關服務器將常規(guī)網(wǎng)絡與Tor網(wǎng)絡結合起來以掩蓋其最終C&C服務器，如圖4所示。該程序運行時會連接到比特幣交易信息網(wǎng)站(嘗試了4個交易網(wǎng)站以增加一定程度的容錯能力)跟蹤特定錢包的交易活動，此特殊錢包地址硬編碼于程序中，會在需要時向另一“一次性”錢包地址轉(zhuǎn)賬少額比特幣。而這“一次性”錢包地址的前6位即為所要隱藏的域名信息，對該域名解析后所映射的IP地址即為網(wǎng)關服務器地址。勒索病毒通過在Tor網(wǎng)絡中部署C&C服務器，使用區(qū)塊鏈協(xié)助建立外部網(wǎng)絡連接，為整個連接過程增添了一道新的防護。若網(wǎng)關服務器遭到封鎖，僅需重新注冊一個新的域名并進行一次新的交易，就可置換薄弱的外部網(wǎng)絡連接環(huán)節(jié)，極大地提高了勒索病毒的生存周期以及靈活性，同時其在域名查詢過程不再產(chǎn)生大量的失敗查詢也規(guī)避了常規(guī)的基于流量的檢測方式。

圖4 區(qū)塊鏈域名隱藏技術

2.3 加密方式

2.3.1設備鎖定加密

設備鎖定加密即通過更改系統(tǒng)啟動配置和流程，致使用戶無法按照正常流程成功進入系統(tǒng)，其往往會在勒索信息中偽裝成司法機關欺騙用戶稱其參與了某違法犯罪活動以進行后續(xù)的贖金勒索。使用此種模式的勒索病毒主要分為兩類：PC設備端和移動設備端。對于PC端勒索病毒，可以通過移除設備上的勒索程序以恢復系統(tǒng)的正常運行，因此勒索成功率較低，其影響力也十分有限。對于移動設備端，破解鎖定或移除勒索程序主體通常需要設備成功獲取root權限[45]，而由于設備的不同型號及不同系統(tǒng)版本對應著不同的操作，而且還存在種種限制，因此解鎖需要較高的技術要求，所以仍可被視為一種有效的手段。

2.3.2文件加密

隨著勒索病毒的不斷發(fā)展，文件加密逐漸成了一種主流模式，其通過密碼學技術加密用戶設備中的文件，致使文件無法訪問以進行勒索。早期的勒索病毒使用的加密算法往往較為簡易，抑或由于將密鑰直接硬編碼于程序中，導致其密鑰可以通過逆向程序主體進行提取，所以一些安全廠家可以對此類病毒提供專門的文件解鎖工具。勒索病毒在后續(xù)發(fā)展中采用了更為完善的現(xiàn)代加密技術，即對稱密碼加密與非對稱密碼加密[46]，真正達到了對數(shù)據(jù)的不可逆“劫持”。

1) 對稱密碼加密。對稱加密體制因其在加密和解密過程中使用了相同的密鑰而得名，按照其對明文的處理方式可分為序列密碼算法和分組密碼算法。自20世紀70年代中期美國首次公布分組密碼加密標準DES后，分組密碼迅速發(fā)展。勒索病毒中常用的AES即為一種分組加密方式，該算法在無法拿到密鑰的情況下，以目前的計算能力對被加密文件進行恢復的可能性基本為零。

2) 非對稱密碼加密。對于非對稱密碼加密(也稱為公鑰密碼加密)的思想最早由Merkle在1978年提出。公鑰密碼體制解決了對稱密碼算法在應用中的致命缺陷，即密鑰分配問題。其在加密和解密操作中使用了兩把不同的密鑰。加密密鑰是公開的，被稱為公鑰，解密密鑰是保密的，被稱為私鑰。使用公鑰對數(shù)據(jù)進行加密后，只有使用對應私鑰才能對其進行解密，且無法從公鑰推出私鑰，或者說從公鑰推出私鑰在計算上是“困難的”。常被提及且目前應用最為廣泛的公鑰加密算法即為由Rivest、Shamir和Adleman三人在1977年提出的RSA加密算法，這也是勒索病毒通常使用的加密算法。

勒索病毒使用密鑰加密文件，而受害者需要使用密鑰進行解密。雙方博弈的過程也促使了從非離線加密到離線加密發(fā)展。兩者加密流程相似，關鍵的差別在于是否需要通過網(wǎng)絡進行密鑰獲取。

3) 非離線加密。一種需要連接C&C服務器的加密模式。以常見的加密流程為例，勒索病毒感染設備后會嘗試連接控制服務器并發(fā)送設備信息以獲取加密用的RSA公鑰，獲取成功后，開始為每個文件生成一個單獨的AES密鑰，然后對文件進行加密，再使用獲取到的RSA公鑰對每一把AES密鑰進行加密并將加密結果附著到文件中以用于后續(xù)解密操作。此種加密方式存在一個很明顯的問題，即若無法連接到控制服務器就無法進行后續(xù)的加密操作，因此可以通過網(wǎng)絡流量檢測的方式對其進行阻斷。

4) 離線加密。為了規(guī)避網(wǎng)絡封鎖的風險，攻擊者開始嘗試使用離線加密技術。一種方式是使用硬編碼的公鑰，其后續(xù)流程與非離線加密相似。由于加密過程中采用了一個統(tǒng)一密鑰，因此并不具備很好的可行性。WannayCry則采用了一種更為完善的方式[33]，如圖5所示。參與此流程的密鑰有：硬編碼于程序中的根RSA公鑰root-Rpu，生成的設備唯一RSA公私鑰對，公鑰local-Rpu和私鑰local-Rpr，以及為每個文件生成的AES密鑰Per-AES。首先使用root-Rpu對local-Rpr進行加密，然后對每個文件使用其唯一的Per-AES進行加密，之后使用local-Rpu對每一個Per-AES進行加密并附著到文件中。受害者若想恢復文件就需要上傳被root-Rpu加密后的local-Rpr文件，攻擊者使用其擁有的根RSA私鑰root-Rpr對其進行解密后才能進行后續(xù)解密操作。整個加密過程不再需要與控制服務器進行交互，極大地提高了勒索病毒的能力。

圖5 離線加密

2.4 贖金收取渠道

攻擊者散布勒索病毒主要目的就是為了獲取經(jīng)濟收入，如何安全快捷地收取受害者所支付的贖金便成了一個十分重要的問題。早期的渠道包括讓受害者訪問某一網(wǎng)站購買物品以獲得設備解鎖密碼，或通過電子支付手段向某一特定賬戶匯款。這兩種方式由于易受到追蹤性，且與現(xiàn)實世界身份的關聯(lián)性較強，因此往往難以用于大范圍的贖金勒索。同時，由于國內(nèi)在這一期階段對電子支付支持并不友好，也從側面阻止了勒索病毒在國內(nèi)的傳播與攻擊。

隨著勒索病毒的演化，使用數(shù)字貨幣作為收款渠道開始成了一個整體上的趨勢。在多樣的數(shù)字幣種中，應用最為廣泛的就是比特幣。比特幣是一種加密貨幣，特點是去中心化，沒有中央銀行或單一的管理機構，可以在點對點的比特幣網(wǎng)絡上從一個用戶發(fā)送到另一個用戶，通過密碼學來保證支付的可靠性。由于注冊比特幣錢包并不需要提供任何個人的相關信息，因此其具有一定的匿名性，也正是基于這一特性，大量的勒索病毒開始將比特幣錢包地址作為收款渠道。

然而比特幣并不是真正匿名的，準確地說比特幣所具有的是非實名性。由于一枚比特幣事實上就是一條數(shù)字簽名鏈[47]，因此每一次比特幣資金的流動都是可查可追溯的，即若A從其錢包取出1比特幣匯入B的錢包地址，這一交易信息是記錄在這整個區(qū)塊鏈當中的，所謂的匿名只是無法將A的錢包地址和B的錢包地址關聯(lián)到真實世界中的賬戶。通過對大量交易數(shù)據(jù)的分析，可以勾勒出勒索病毒所獲資金去向[48]，因此這些因素也導致犯罪分子無法輕易地將比特幣錢包中的數(shù)字貨幣兌換為法定貨幣。為了避免比特幣被用于惡意目的，各個國家也都頒布了相應的KYC(Know Your Customer )/AML(Anti Money Laundering )政策，試圖對比特幣交易所進行交易規(guī)范化，以阻止非法交易并提高賬戶資金的安全性。但這一措施又與數(shù)字貨幣初衷相違背，因此也引起了廣泛的爭論，如何正確規(guī)范比特幣的交易仍然是一個值得探究的問題[49]。

即使比特幣使用了一定的實名保障手段，也仍不能避免攻擊者通過一定方法繞過封鎖并以匿名化的方式成功兌現(xiàn)比特幣[50]。其主要方式有如下幾種：

使用比特幣混合服務(Bitcoin mixer)，此服務的基本原理為將幾個具有交易需求的人進行混淆，只需最終保障將所需數(shù)量的比特幣匯款到正確的錢包地址即可，因此中間過程不需要進行直接匯款，切斷了收款地址與匯款地址的關聯(lián)性。目前的混幣方式主要為兩種，一種是通過可信的第三方，該服務提供商承諾不會記錄交易的相關信息以此來保證匿名性；另一種即為P2P方式，用戶通過一定的協(xié)議如Coin Join、Shared Coin等自行進行混合，此種方式避免了第三方在比特幣混淆過程中可能進行的偷竊和監(jiān)視行為。

虛擬信用卡也是一種有效的匿名手段。為避免追蹤可使用Tor瀏覽器并使用虛假的郵件地址注冊使用虛擬信用卡，并選擇比特幣作為支付方式，直接使用比特幣在一些在線網(wǎng)站上購買物品或服務。也可以不通過交易所將比特幣兌換為法定貨幣，比如通過線上或線下尋找買家出售比特幣，從而實現(xiàn)匿名性。目前有許多提供此類服務的平臺，如Bisq、BitQuick等。

因為比特幣在匿名性方面存在的缺陷，勒索病毒開發(fā)者們逐漸開始將目光轉(zhuǎn)向了其他匿名性更強的貨幣。如2018年傳播廣泛的GandCrab就使用了達世幣作為贖金支付手段，以及開始出現(xiàn)了將門羅幣作為支付手段的勒索病毒。達世幣與門羅幣是兩種新型的數(shù)字貨幣，解決了比特幣的一些固有問題，如交易確認遲緩、交易可追蹤性、貨幣非可替代性。達世幣使用了雙層網(wǎng)絡架構，因此不再需要通過足夠多的區(qū)塊廣播來保證交易的不可撤銷，大大提升了交易的確認速度。同時達世幣提供了可選的匿名交易方式，使用其內(nèi)置的混合服務，可以隱藏交易鏈條。門羅幣則更側重于隱私防護[51]，使用環(huán)簽名保障發(fā)件人隱私，使用隱形地址保障收件人隱私，使用環(huán)加密交易對交易量進行混淆，這使得完全無法對門羅幣的交易進行追蹤。

3 防范措施

雖然勒索病毒傳播與攻擊方式復雜多變，但其基本核心并未發(fā)生重大變化，主要仍是通過公開漏洞以及社會工程學方式進行傳播與攻擊。因此雖然設備感染后文件難以恢復，但很多安全措施都能在一定程度上避免嚴重后果的發(fā)生。

3.1 數(shù)據(jù)冗余技術

做好數(shù)據(jù)備份工作。如果存在有效的數(shù)據(jù)冗余，即使受到感染，也可以立即從備份中恢復而無須支付贖金。當然單純的本地備份是無效的，一些勒索病毒會刪除卷影副本以防止從中恢復。因此使用保障性更強的云備份、異地備份或離線硬盤等方式是必要的，可以避免遭受單點故障的影響。應定期對備份進行管理，及時發(fā)現(xiàn)可能出現(xiàn)的損壞。備份方案中的關鍵問題是如何確定備份頻率以維護運行效率與數(shù)據(jù)時效性之間的平衡，由于常規(guī)的備份操作往往具有一定的延后性，因此受到攻擊時即使從中恢復也通常面臨存在部分數(shù)據(jù)丟失的風險。動態(tài)備份技術通過實時文件備份監(jiān)控及進程檢測[52]來保障數(shù)據(jù)的時效性，有助于對文件加密前的最后一個版本進行恢復。

3.2 基本安全策略

避免接觸來源不明的鏈接以及文件。釣魚攻擊是勒索病毒最常用的傳播模式，因此不要輕易打開來源未知郵件及其附件，特別是一些看似無害的卻有可能包含惡意宏指令的文檔文件，不具備專業(yè)背景的使用者常常疏于對此類文件的防范。對于惡意鏈接，由于針對現(xiàn)代瀏覽器的任意代碼執(zhí)行漏洞已經(jīng)比較少見，因此避免使用版本過低的瀏覽器可在很大程度上保護主機，但仍應用謹慎的態(tài)度對待任何可疑的鏈接，以防0day漏洞利用等未知攻擊所帶來的危害。

其他措施如及時進行軟件更新、確保系統(tǒng)擁有最新的補丁、關閉不必要的端口、使用高強度的安全憑證等也都有助于避免暴露在危險的網(wǎng)絡環(huán)境中。由于勒索病毒的傳播通常是對已知漏洞的使用，因此使用舊版軟件和未打補丁系統(tǒng)往往更容易遭受攻擊并淪陷。這種情況常常出現(xiàn)在政府機構、金融、醫(yī)療等單位中，為了避免系統(tǒng)更新所帶來的不穩(wěn)定性對正常業(yè)務的沖擊，往往疏于已有漏洞的修復。在這種情況下，更為重要的是提升管理者和職員的安全意識[53]，其關鍵是要向他們展示勒索病毒如何通過漏洞進入他們的設備并造成不可逆的破壞，以及如何對機構的正常運行產(chǎn)生影響。當商業(yè)公司遭到勒索病毒攻擊時可能會失去股票價值或重要客戶，甚至可能會倒閉。當人們了解了勒索病毒如何影響他們的客戶、公司或他們自己時，才會更傾向于采取措施保護自己并遵守政策、程序和法規(guī)。

3.3 企業(yè)級防范策略

白名單或黑名單策略。無論是通過限制設備所能運行的程序，還是針對所能連接到的網(wǎng)絡地址進行限制，黑白名單策略都是非常有效的，設備管理者通過預定義的規(guī)則對關鍵設備進行保護，避免了繁雜的流程規(guī)定以及人員培訓所要耗費的精力。相較于黑名單策略，白名單具有許多的優(yōu)勢，包括無須經(jīng)常更新名單列表，省去了簽名特征的下載，無須連續(xù)掃描，從而降低了對帶寬、CPU和內(nèi)存的消耗，同時白名單也是一種阻止0day攻擊的有效方法[54]，但往往需要以犧牲系統(tǒng)應用彈性為代價。

做好應急預案，避免影響的加劇。一旦設備淪陷，應立即斷開與網(wǎng)絡的連接或關閉網(wǎng)絡，避免感染范圍的進一步擴大。同時，合適的網(wǎng)絡架構設計以及權限分配等能夠緩解攻擊影響的措施都是必要的，這有助于組織和機構盡快從影響中恢復過來。

3.4 檢測技術

由于近年來勒索病毒的大規(guī)模爆發(fā)，其相關檢測技術領域的研究一直非?；钴S，作為有效防范措施中的重點，學術界和工業(yè)界針對勒索病毒運行流程的不同階段，從靜態(tài)和動態(tài)兩個視角進行了探索并提出了相應的檢測指標。利用這些指標參數(shù)的組合檢測和使用機器學習技術對大量指標項進行訓練的檢測方式基本上成了目前兩種主流的檢測手段。Berrueta等[55]對現(xiàn)有的檢測技術相關文獻進行了匯總分析，詳細探討了各種不同的檢測方法的技術特征及存在的問題，基本涵蓋常見的檢測指標。下面對各檢測指標相關內(nèi)容進行詳細闡述。

1) 靜態(tài)檢測：一種僅基于本地程序靜態(tài)數(shù)據(jù)的檢測方式。主要檢測指標如下：

(1) 關鍵字檢測：包括對二進制文件中包含的字符串進行掃描檢測，如在勒索病毒中常見的“ransomware”“bitcoin”“encrypt”等。

(2) 域名與IP檢測：檢測已知的惡意域名和IP地址。

(3) MD5特征匹配：與已知勒索病毒的MD5特征值進行匹配。

(4) 可疑函數(shù)檢測：檢測程序內(nèi)部可疑函數(shù)調(diào)用，比如勒索病毒常用的加密解密函數(shù)。

2) 動態(tài)檢測：動態(tài)檢測是對程序運行一段時間內(nèi)的行為特征進行檢測分析的方式，應在數(shù)據(jù)被加密之前盡快進行，同時也需避免因時間過短所造成的誤判。主要包含針對文件操作以及網(wǎng)絡流量兩個檢測方面。

(1) 文件操作方面指標。

① 針對文件特征的檢測，如文件類型、字節(jié)數(shù)、文件擴展名等。勒索病毒通常會改變大量文件的特征值，因此此種檢測方式可在盡可能低的資源占用情況下進行有效檢測，但也存在部分病毒故意繞過對文件特征值的改動以規(guī)避檢測的情況。

② 針對文件內(nèi)容數(shù)據(jù)分布的分析。由于加密后的數(shù)據(jù)看起來就像均勻分布的隨機字節(jié)，可通過攔截系統(tǒng)訪問函數(shù)對其內(nèi)容隨機性進行檢測，一種常見的度量方式是計算熵值。在實際應用中，如何確定熵閾值是一個需要探究的問題，同時一些壓縮文件的隨機度也可能與加密文件相似，該方法存在一定的誤判率。

③ 針對文件數(shù)據(jù)內(nèi)容更改量的分析。用戶正常操作情況下很少出現(xiàn)同時對大量文件內(nèi)容進行更改的情況，因此此類指標也可作為勒索病毒的特征項，為了降低誤報率常與熵結合起來使用。

④ 針對系統(tǒng)敏感函數(shù)調(diào)用頻率的檢測。通常為加解密函數(shù)，勒索病毒在對批量文件進行加密操作時，會頻繁調(diào)用此類函數(shù)，該方法的關鍵是如何確定該頻率值的范圍以用于區(qū)分良性軟件與勒索軟件。

⑤ 針對文件訪問數(shù)量的檢測。大批量的文件操作往往是可疑的，尤其是針對目錄樹的訪問，因為勒索病毒通常會訪問整個目錄樹，而正常操作中訪問整個目錄樹的概率是極低的，因此該方法是一種有效的行為檢測手段。

⑥ 誘餌文件。通過在某些或全部文件夾下創(chuàng)建特殊文件，該文件在正常情況下為隱藏且不應被刪除，一旦檢測到相關的刪除操作，便立刻發(fā)出警報。此種方式主要存在的問題是容易造成目錄混亂，并且對這些文件的實時監(jiān)控會耗費大量的系統(tǒng)資源。

(2) 網(wǎng)絡流量方面指標。

① 針對已知惡意IP地址及DNS查詢的檢測。由于硬編碼的IP地址通常容易被阻斷，更多的是針對DNS的檢測。如果在文件加密前檢測到了程序網(wǎng)絡行為的異常，則可以保護數(shù)據(jù)不受破壞，但此種方式無法防范未知的勒索病毒。

② 針對DGA技術的檢測。通常DGA技術會產(chǎn)生大量的失敗查詢，可利用此特征進行病毒檢測。同時由于DGA生成的域名往往具有強隨機性，因此也可對查詢域名的隨機度進行檢測，但目前已經(jīng)發(fā)現(xiàn)存在一些勒索病毒利用調(diào)用公共字典生成域名的方式規(guī)避此種檢測。

4 發(fā)展趨勢

雖然根據(jù)多份研究報告指出，2019年勒索病毒攻擊態(tài)勢有放緩趨勢，但作為一種直接獲取大量經(jīng)濟收益的攻擊模式，其仍然在惡意軟件中占有很大比重。而之所以出現(xiàn)這樣一個放緩趨勢，并非由于幕后的攻擊者們放棄了對勒索病毒的青睞，更多的是由于設備管理者、使用者安全意識的提高?？v觀流行勒索病毒的發(fā)展史，極少出現(xiàn)利用未知0day漏洞進行傳播以及攻擊的勒索病毒，因此及時更新系統(tǒng)補丁、關閉不必要的端口、使用高強度的密碼憑證等安全措施可在很大程度上抑制勒索病毒的傳播。另外，消費者對移動設備依賴性的增加以及可用漏洞利用工具包的減少也是導致病毒攻擊態(tài)勢放緩的重要原因[56]。但在利益的驅(qū)使下，病毒仍在尋求新的發(fā)展空間。

1) 傳播感染技術與平臺拓展。隨著博弈的不斷進行，未來勒索病毒的發(fā)展預計將會聚合多種傳播途徑與攻擊模式。通過對現(xiàn)有勒索病毒先進技術的集成，汲取各方優(yōu)勢創(chuàng)造出新型的勒索病毒，其所具有的破壞力已是不同凡響。而幕后開發(fā)者也不會停止探索新技術的腳步，不排除未來可能出現(xiàn)的利用未知0day漏洞的勒索病毒。由于0day漏洞的稀缺性、高價值性，使用該漏洞的背后組織往往會有更高的期待，因此制造出的勒索病毒其目標范圍也會更為廣泛，帶來的將會是一場全球性危機。同時，感染平臺多樣性也是一個潛在的巨大發(fā)展趨勢，目前勒索病毒更多的仍是針對Windows平臺，隨著越來越多的移動與物聯(lián)網(wǎng)設備加入網(wǎng)絡環(huán)境中，針對其他平臺的攻擊將會增長。雖然可能此類設備中的數(shù)據(jù)并不具備高價值性，但其自身往往所具有的低安全保障措施，仍易被作為攻擊目標以阻礙用戶的正常使用，可以使用低贖金的方式以兌換用戶時間成本。

2) 多樣化惡意行為集成。開始出現(xiàn)了在勒索病毒中集成挖礦、信息竊取等功能的趨勢。這些功能拓展了針對淪陷設備的利用，即使用戶不愿意支付贖金，仍可以利用設備獲取其他收益。但由于此類功能可通過技術手段進行刪除，不具有不可逆性，因此感染后若及時發(fā)現(xiàn)并阻止即可降低其危害。但其所開拓的技術路線仍然為勒索病毒帶來了一種新的發(fā)展模式。

3) 是否支付贖金。是否支付贖金仍然是伴隨勒索病毒的一個亙古問題，有多份報告指出，勒索病毒并沒有為每一個支付贖金的受害者提供解鎖密鑰[57]。但很多時候，支付贖金是在短時間內(nèi)快速恢復的唯一手段，同時也比進行數(shù)字取證調(diào)查、事件響應等措施要簡單得多。因此，很多時候受害組織會基于自身財力及數(shù)據(jù)價值進行衡量以決定是否要支付贖金。但在支付贖金前獲取相關安全機構的幫助是必要的，應充分分析設備所感染病毒的具體信息以進行正確決斷。

4) 聯(lián)合打擊。目前，缺乏一個針對勒索病毒的官方統(tǒng)一組織，無論是國內(nèi)還是國外，針對勒索病毒的相關分析與研究主要由安全公司或獨立研究團隊完成。但由于勒索病毒自身的特殊性，設備受到感染后，唯一有效的阻擊方式就是尋找幕后的C&C服務器。因此，需要各研究團隊之間進行信息共享，共同通過資金鏈的流動或其他痕跡追蹤其背后運營者及相關設備，及時制止勒索病毒所造成的進一步危害。不過已有相關發(fā)展計劃著手于此方面的嘗試，如由荷蘭國家警察高科技犯罪單位、歐洲刑警組織下屬歐洲網(wǎng)絡犯罪中心，KasPersky和McAfee共同推動的計劃NoMoreRansom，旨在幫助勒索軟件的受害者重新取回其數(shù)據(jù)，而無須支付贖金。其提供的在線服務已支持對一些勒索病毒感染文件進行解密。與其在設備淪陷后支付大量贖金，不如加大調(diào)查打擊力度，不失為打擊勒索病毒的良性發(fā)展策略。

5 結 語

本文通過對不同勒索病毒種類的探究分析總結了勒索病毒的一般攻擊流程，并對相關關鍵技術點進行了深入剖析，展示了勒索病毒如何通過各種巧妙技術的結合以獲取經(jīng)濟收益并規(guī)避遭受阻斷與打擊。匯總分析了具有典型特征的流行性勒索病毒，從整體上認識了勒索病毒的行為模式與特征，并提出相關檢測與預防措施以應對遭受攻擊時可能受到的影響。

在當前的計算機網(wǎng)絡安全場景中，每天都有新的漏洞被發(fā)現(xiàn)和利用，這些漏洞作為一種可用的攻擊手段，可以不斷地被集成到勒索軟件變種當中，作為惡意產(chǎn)業(yè)中具有高經(jīng)濟價值的攻擊手段，勒索病毒在未來仍將對網(wǎng)絡用戶構成持續(xù)性威脅。同時，隨著越來越多的網(wǎng)絡用戶從PC端遷移到移動端，可預測勒索病毒針對移動設備攻擊的強度和頻度都將增加，移動設備、物聯(lián)網(wǎng)設備等未來可能面臨較大風險，相關防護技術亟待研究。

目前國內(nèi)針對勒索病毒相關領域的研究仍較為缺乏，更多的還是著眼于具體檢測技術的探究。作為一個軟件設備應用大國，相關企業(yè)機構安全意識欠佳，對勒索病毒的具體認識不足，潛在風險較大?，F(xiàn)有的檢測技術研究也缺失一個實際的轉(zhuǎn)換操作，無法直接應用到具體的生產(chǎn)環(huán)境當中，仍然需要有關部門與安全公司共同努力以應對這一網(wǎng)絡安全新威脅。