勒索病毒的知识以及如何保护数据安全

近期每月都有新的勒索病毒变种出现；软件服务机构不断预警；不断有身边的客户公司中了勒索病毒焦头烂额。

对于企业而言，“勒索病毒”的出现，彻底改变了每一家企业的财务人员的睡眠质量，一旦企业管理软件数据库感染勒索病毒，就让财务人员从平安无事的工作状态中，变得辗转难眠。

那么我们就来了解一下勒索病毒的知识。

01什么是勒索病毒 ？

勒索病毒是黑客通过锁屏、加密文件等方式劫持用户文件并以此敲诈用户钱财的恶意软件。黑客利用系统漏洞或通过网络钓鱼等方式，向受害电脑或服务器植入病毒，进以加密硬盘上的关键文档（如ERP数据库文件）乃至整个硬盘，然后向受害者索要数额不等的赎金后才予以解密。该病毒性质恶劣、危害极大，一旦感染将给企业用户带来无法估量的损失。

随着勒索攻击工具化程度越来越高，无数的勒索病毒在互联网中游荡，寻找着合适的目标。就像流感病毒入侵人体一样，感染的过程安静、缓慢，并不激烈…直到抵达临界点迅猛爆发，人体免疫系统已无力抵抗。目前，许多新式攻击媒介倾向与于缓慢低调，一般的网络防御手段在其面前如若无物。

02勒索病毒是怎么产生的？

自网络攻击产生以来，攻击范围和攻击领域不断拓展，从单个硬件设施、到单个行业领域、再到单个国家，逐渐拓展到全领域、跨行业、遍及全球，勒索病毒更是凸显了这一趋势。

勒索病毒攻击系统后，一般会向受害者勒索数字货币或其他货币。2018年勒索病毒在经历爆发式增长后，开始出现分工明确的趋势，比如一次完整的勒索攻击流程可能涉及勒索病毒作者、勒索实施者、传播渠道商、代理和受害者5个角色。

具体来说，病毒作者主要负责编写制作，与安全软件对抗；勒索实施者从病毒作者手中拿到定制版源程序，通过自定义病毒信息得到专属病毒，与病毒作者进行收入分成；传播渠道商则帮助勒索实施者完成病毒传播；作为重要的一环，代理向受害者假称自己能够解密勒索病毒加密的软件，索要赎金，从中赚取差价。

03重灾区在哪里？

相关数据显示，48％的受勒索软件威胁的企业表示面临这种问题时会同意支付，2016年勒索软件数10亿美元的收入中，很大一部分也是由企业缴纳的赎金组成的。可能这也是病毒制造者选择机构、企业下手的原因之一。

04勒索病毒的趋势分析如下：

与安全软件的对抗将持续升级：随着安全软件对勒索病毒免疫能力的持续升级，安全软件对主流的勒索病毒逐渐形成多维度的防御。勒索病毒需不断进化并与安全软件的对抗，才能够提高感染成功率。这种对抗可能体现为“传播渠道的多样化”，也可能表现为“样本的免杀对抗”。

攻击目标日益精准化：勒索病毒的攻击目标出现明显的精准化趋势：拥有企业核心系统权限的企业人员，将成为主要的黑客攻击目标。因为该类目标用户往往掌握更多的关键数据，加密后也会更加倾向于支付解密赎金。

勒索病毒呈现低成本，蹭热点特征：随着勒索病毒技术细节的公开，部分勒索软件代码被放在暗网上售卖，勒索病毒的制作成本持续降低。一开始在小范围传播的勒索病毒，为实现更大范围的传播，通常会借势节日热点和社会热点等。随着制作成本的降低，或将出现更多蹭热点的勒索病毒。

国产勒索病毒开始活跃：对国内用户“量身打造”的国产勒索病毒，会非常“贴心”的使用全中文的勒索提示界面，个别会要求直接通过微信、支付宝来缴纳赎金。与其它语言版本的勒索病毒相比，国产勒索病毒中招者支付赎金的可能性更高。

05勒索病毒的种类和传播方式，常见的勒索病毒有以下几类

1：文件加密勒索病毒

所有文件被加密（文件、图片、视频甚至是数据库），受感染的文件被加密后会被删除，用户通常会在文件夹中看到一个包含付款说明的文本文件。当用户尝试打开其中一个加密文件时，才可能会发现问题。最典型的案例就是WannaCry，该类型勒索病毒是目前最常见的勒索病毒。感染文件型勒索病毒后，病毒会更改系统桌面并展示勒索支付提示。

2：锁屏勒索病毒——WinLocker

WinLocker会锁定电脑屏幕并要求付款。它会呈现一个全屏图像并阻止所有其它窗口开启。幸运的是，这种类型的勒索病毒并不会加密用户的数据文件，数据有挽回的可能。

3：主引导记录（MBR）勒索病毒

主引导记录（MBR）是电脑硬盘驱动器的一部份，影响操作系统的启动功能。主引导记录勒索病毒会更改电脑的主引导记录，中断电脑的正常启动，然后在屏幕上显示要求赎金的内容，今年最流行的Petya就属于这类病毒。这类病毒不同于文件型勒索病毒，感染后病毒可能采用磁盘级加密技术覆写磁盘，数据基本无挽回可能。

4：网络服务器加密勒索病毒

这类病毒专门针对网络服务器上的文件进行加密。它通常使用内容管理系统中的已知漏洞，在网络服务上释放和安装勒索病毒，例如最近经常碰到的master勒索病毒。

5：移动设备勒索软件（安卓）

目前针对移动设备的勒索病毒主要存在于安卓系统上（iOS系统安全性要高一些，但也要注意及时升级），用户遭受感染的方式一般为下载、浏览不信任程序以及网站或伪装程序。

6：另类的勒索攻击——DDoS攻击

通过DDoS攻击来堵塞服务器通道。万幸的是这样的攻击不会影响到企业的数据安全。目前，国内市场中常常出现的DDoS一般分为四种：ARP攻击、ICMP攻击、TCP攻击、应用层攻击。DDoS攻击日渐猖獗，大量实践数据表明，DDoS特别青睐于安全管理等级不高的服务器。

勒索病毒的传播方式

1：网站挂马：用户浏览有安全威胁的网站，系统被植入木马感染ceber勒索病毒。

2：邮件传播：这种传播方式也是病毒界老套路的传播方式。病毒执行体附着于邮件附件的docx、XLS、TXT等文件中，攻击者以广撒网的方式大量传播垃圾邮件、钓鱼邮件，一旦收件人打开邮件附件或者点击邮件中的链接地址，勒索软件会以用户看不见的形式在后台静默安装，实施勒索。

3：漏洞传播：这种传播方式是这几年非常流行的病毒传播方式。通过网络、系统、应用程序的漏洞攻击用户。例如今年在国内泛滥的WannaCry就是这样的典型：利用微软445端口协议漏洞，感染传播网内计算机。

4：捆绑传播：与其他恶意软件捆绑传播，这种传播方式这两年有所变化。有用户使用P2P下载例如Bt、迅雷、电驴等下载工具下载文件后，勒索病毒体同下载文件进行捆绑导致用户感染。

5：介质传播：可移动存储介质、本地和远程的驱动器以及网络共享传播、社交媒体传播。

06勒索病毒威胁的解决方案

目前，市面上也存在着“解密公司“，这类“解密公司”实际上多为勒索者在国内的代理，利用国内用户不方便购买数字货币的弱点，以相对更加便宜的价格，吸引受害者联系解密，在整个过程中赚取差价。根据某解密公司官网上公开的交易记录，一家解密公司靠做勒索中间代理一个月收入可达300W人民币。

根据勒索病毒普遍的攻击方式，我们提供以下建议

1：加强网络层防御

我们正在经历全球互联网化的浪潮，几乎所有的商业企业都已经接入互联网。企业的边界渐渐模糊，网络逐渐成为企业的虚拟边界。有效加强企业网络层的安全防御水平，对企业防止来自网络层的恶意攻击非常有必要。作为网络层防御的第一道卫士，我们建议：企业用户配备专业的网络安全设备（网络防火墙系统）。

2：加强应用系统防护

目前企业用户大量使用ERP、CRM、OA等管理软件，已经开始将交易、管理、运营的数据迁移至信息化系统之中，所以管理和业务软件的安全至关重要。

由于勒索病毒的泛滥，已经造成多起企业ERP系统被加密，企业业务无法正常开展的案例。防火墙由于防御颗粒度粗，在网络架构中位置偏低（网络层在应用层之下），难以防御针对应用层关键业务系统的攻击。另外，不同的管理和业务系统软件，因为其开发语言、开发过程、开发环境，以及其应用场景、应用过程、应用环境的不同，会有不同的安全隐患存在。企业用户需要进行有针对的威胁检测和威胁防护，并且部署专属的应用系统防御产品。

3：加强终端安全防御

勒索病毒的目的很简单：控制企业核心业务系统，掌握企业重要业务数据。只有这样，企业才能快速的支付“赎金”。业务实践和统计数据显示，95%以上针对企业用户的网络攻击，目标都是业务服务器和业务终端。但是，很多企业用户对核心业务系统基础设施（服务器和PC）防护意识薄弱。对于终端防御来讲，查杀病毒只是一个环节，还需要科学的对“操作系统补丁、操作系统漏洞、高可持续攻击、0day攻击”进行系统的防御。我们建议：企业用户应该进行两方面的安全防御，服务器做好主机加固、终端安全管理、防病毒；PC：做好防病毒管理。

4：做好数据备份

数据备份是企业遭受到勒索病毒攻击后最后的补救措施。但是，新型勒索病毒越来越智能，会主动搜寻备份设备与备份软件，一旦发现备份系统将优先进行加密，实施勒索。