导读：经过多年变种演进，勒索软件加密手段多元化、传播媒介多样化、勒索流程产业化，勒索软件2.0时代呈现新的发展趋势。如何构建主动安全防御体系？美创诺亚防勒索系统从资产、入侵和风险三个视角出发，基于底层驱动技术，提供主动防御，并结合底层防御和安全保险，构建完整的安全防御体系。

近日，美国最大成品油guan道公司Colonial Pipeline因遭勒索攻击，输送业务被迫暂停。为了最大程度减轻输油guan道持续关闭带来的影响，美国多州进入国家紧急状态，放宽陆路石油运输限制，以保障地方的燃油供应。数小时后，该公司支付了近500万美元赎金，以期尽快恢复业务系统。

近年来，随着网络和信息技术的迅猛发展，大数据、云计算和移动互联网的广泛应用以及各类加密数字货币的持续火爆，勒索病毒迎来“大爆发”，给各行各业带来巨大的威胁和恐慌，其已然成为全球网络安全的主要威胁之一。

勒索病毒行为技术的原理分析

为了方便大家对勒索病毒有一个全面、系统的认知，我们首先对勒索行为技术原理进行简单分析，整体来说，一个勒索病毒至少包含3个不同的模块，分别应用于勒索过程的不同阶段，攻击模块，前勒索阶段；加密模块，中勒索阶段；勒索模块，后勒索阶段。

1)      攻击模块，前勒索阶段

勒索病毒攻击模块主要通过携带各类漏洞exploit、密码字典等形式，对攻击目标进行漏洞检测以及服务口令爆po等。2020年起勒索病毒的攻击手段全线“开花”，弱口令攻击、横向渗透、钓鱼邮件、漏洞利用、网站挂马、破解或激活工具、僵尸网络、供应链攻击等手段悉数登场。

2)      加密模块，中勒索阶段

当攻击模块成功获取本地权限后，加密模块将开始运行，通过公钥加密或对称密钥加密等形式进行本地文件加密操作。具有窃密行为的勒索病毒还会在该环节进行特定格式文件窃取上传。在该阶段勒索病毒将对文件造成真实损害，因故称之为中勒索阶段，勒索病毒执行加密模块后会加密特定类型的文件，不同的勒索病毒会加密几十到几百种类型的文件，基本都会包括常见的文档、图片、数据库文件。

3)      勒索模块，后勒索阶段

一旦勒索病毒加密完成，其往往将进行部分模块自毁，以防止自身加密逻辑或内存残留信息被利用于解密，并释放勒索模块向受害者用户提供勒索信息，要求受害者用户通过特定渠道支付赎金。在该阶段，主要勒索过程均已完成，只剩余提示勒索信息，因故称之为后勒索阶段。同时具有二次投毒功能的勒索病毒在该环节还会根据当前操作系统植入不同类型的持久化后门渠道用于后续人工操作二次勒索或扩大攻击面。

勒索软件1.0时代加密让数据无法使用

事实上，最早被记录的勒索病毒可追溯到1989年-AIDS木马，这款木马的传输方式和加密手段包括支付赎金的方式都相对简单，且无特定目标。17年后，另一款勒索软件Archievus木马发布，这是首款使用非对称加密的勒索软件，Archievus木马会将系统中“我的文档”里面的所有文件都加密，需要用户从指定网站购买密钥才可以解密文件。

从2013年的CryptoLocker开始，黑客团伙开始利用比特币作为赎金；2015年，全球首例安卓勒索软件LockerPin出现，这也是第一款能真正重置（修改）手机PIN码，永久锁定设备的恶意软件。当时，LockerPin要求500美元才帮受害者解锁。同年，勒索软件即服务(RaaS)也开始出现。总的来说，从1989到2016十余年间，勒索病毒攻击事件仅零星发生，影响很小，并未形成规模。

勒索软件2.0时代加密之上的手段多元化

经过多年变种演进，勒索病毒开始产业化发展，迅速催生出完整的勒索产业链，专业的勒索家族团伙开始做大。同时，勒索病毒开始不讲武德，不再只是单纯的加密数据，而且还会在互联网上发布被盗数据，并呈现出新的发展趋势：

1)      双重勒索成为新常态，不给钱就泄密。企业为应对勒索病毒攻击，通常会采用多套备份方案，当遭遇勒索病毒加密系统时，一般会选择自行恢复，拒绝缴纳赎金。黑客团伙为避免勒索失败，开始采取新的策略：先窃取敏感数据，之后再对企业资产进行加密。如果企业拒绝缴纳赎金解密，就在暗网上公开企业部门敏感数据，如果企业依然拒绝缴纳赎金，攻击者就会直接公开所窃取的企业敏感数据，或将窃取的数据进行出售，进行二次获利。

2)      传播媒介开始多样化，勒索病毒1.0时代，其主要通过钓鱼邮件、网络共享文件、恶意内部人员、社交网络、弹窗和可移动存储介质等进行传播，随着黑客团伙不断对其攻击媒介进行改进，现在勒索病毒更多利用曝出的各种技术漏洞，以及人员的漏洞、鱼叉式攻击，或水坑攻击等非常专业的黑客攻击方式传播，乃至通过软件供应链传播，都大大加大了入侵成功率和病毒影响面。同时勒索病毒开始引入持久化后门，进行后期人工后门入侵投毒的二次伤害情况

3)      定向攻击特点愈发明显，相比之前“广撒网”，近年来针对性的攻开始井喷，勒索软件团伙针对高价值的大型政企机构攻击行为越来越频繁。为了追求利益最大化，多数情况下，攻击者并不满足于加密企业内的一台机器。攻击者往往在攻陷企业一台网络资产之后，会利用该资产持续渗透攻陷更多资产，之后大量植入文件加密模块，从而迫使企业在系统大面积瘫痪的情况下缴纳赎金。

4)      在勒索病毒2.0时代，出现了RaaS之上的横向产业链合作，即在产业链同一维度中的勒索病毒团伙间开始了商业合作模式，彼此将勒索的用户数据共享，共享相同的数据泄露服务渠道，多团伙多次向同一目标持续勒索等。

勒索软件2.0时代防御体系

当前，勒索病毒解决方案仍然以杀毒软件为主，但勒索病毒的变异特征较为明显，会通过更新/修改自身代码以绕过杀毒软件的查杀，因此，传统以黑名单为主的勒索病毒防护产品需要频繁地更新特征库，以适应病毒的变化，其被动防御的缺陷已无法满足政企用户对勒索病毒防护的最新需求。

主动防护

美创科技通过对大量勒索软件分析，发现勒索病毒无论如何变化，最终都需要修改文件来达到加密目的，这其中包括读取文件、写入文件、删除文件、复制文件等操作，美创诺亚防勒索系统从资产、入侵和风险三个视角出发，结合底层驱动技术，监控所有核心应用进程，基于多个认证因子实现核心可信应用进程判断，对非认证授权范围内的进程读写操作直接阻断。

针对当前政企用户复杂的防护场景，诺亚防勒索全面满足文档、数据库、哑终端等防护需求，适配兼容包括Windows、Ubuntu、RedHat、CentOS、Oracle Linux等操作系统。

美创诺亚防勒索系统

1)      文档防勒索

针对员工PC、服务器的文档进行防护，如：核心机密文档、日常办公文档、高价值文件、各类隐私文档。

2)      数据库防勒索

针对Oracle、Sql Server、Mysql、DB2、DM、人大金仓、达梦、优炫等主流数据库、国产数据库，指定数据库类型或添加数据库可执行程序，允许只有数据库本身才能对数据文件进行修改等操作。

3)      哑终端防勒索

针对广泛使用哑终端的关键性行业，如银行的ATM机、加油站自助机、医院自助查询机等。在堡垒模式下，任何新的软件都无法运行，勒索软件运行失败，从而无法破坏文件。

底线防御

数据备份与灾难恢复，是针对勒索病毒攻击事件进行风险规避的重要组成部分，美创科技运行安全业务聚焦用户业务连续性和数据完整性，可提供数据级容灾、数据复制、全业务容灾、CDP灾备一体机、灾备集中管控等产品，通过离线备份、异地实时备份，以及建立异地容灾站点等服务保证生产库和备份库分离，确保二者不被同时勒索，即使勒索后依然有数据可以恢复，最大程度减少对业务的影响。

安全保险

安全保险

网络勒索保险是低概率、高损失风险转移的重要手段，美创科技为进一步消除广大企业对勒索病毒入侵造成的损失，做好风险兜底，联合国任保险、源堡科技公司，推出“网络勒索损失保险”风险解决方案，以 “勒索风险评估+诺亚防勒索防护+保险兜底”形式，帮助用户有效转嫁潜在的安全风险与经济损失。

此外，购买勒索软件防护保险也是一种有效的组织风险控制手段，如：承保前的风险评估；在保期间的风险预防管理，勒索威胁情报、意识培训等，都能从一定程度提升组织对于潜在安全风险的识别能力、突发安全事件的应对能力和事后的恢复能力。

通过“诺亚防勒索+容灾备份+勒索软件防护保险”三位一体构建的勒索病毒防御体系，可有效帮助各行业用户有效降低潜在的安全风险与经济损失，提高突发安全事件的应对能力。截止目前，美创科技已成功为医疗、政府、能源、物流交通等行业近百家客户抵御勒索病毒攻击。欢迎拨打4008113777咨询更多产品详情。