董昱宏 宋广佳

(浙江农林大学暨阳学院工程技术学院 浙江 诸暨 311800)

0 引 言

勒索病毒(Ransomware)是一种新型的恶意程序，主要通过锁定用户的设备或加密设备中的文件阻止用户访问，来对受害者进行勒索。其传播方式随着技术的发展变得十分广泛，包含了传统的恶意邮件、程序木马、网页挂马等传播模式，以及端口扫描、弱口令破解、漏洞利用等现代化的入侵手段。不同于其他恶意程序，勒索病毒更注重于以非法索取受害者财物为目的，经济利益直接推动了整个勒索病毒行业的发展。

勒索病毒最早发展于1989年，由美国生物学博士Joseph Popp制造的勒索程序aids-trojan，后经过不断升级迭代，由计算机程序演变为计算机病毒，具备了更强的主动传播能力。近年来勒索病毒的发展虽有放缓趋势，但各种新型的勒索病毒仍层出不穷，通过对现有技术的集成，导致受感染者难以通过简单的手段进行数据恢复和防御。随着越来越多的设备连接到网络，预计未来勒索病毒将会逐渐蔓延到新的设备类别，特别是针对移动端及物联网设备的感染预计在未来将产生难以估量的损失[1]。

根据2019年Symantec公司年度报告[2]显示，自2013年以来，首次观察到勒索软件活动在2018年期间有所减少，终端的勒索软件感染总数下降了20%，但针对企业的感染却上升了12%，移动端勒索软件数量增加了38%。由于相较于其他被勒索的目标，企业日常运营对其自身数据依赖性较高，当其数据遭到加密、被勒索时也更倾向于支付赎金以尽快恢复正常运营，因此促使了勒索病毒针对企业为攻击目标的增长。

勒索病毒的大量传播对企业、政府等相关机构造成了严重的影响，2017年爆发的WannaCry[3]对国内许多机构的设备造成了严重后果，也让越来越多的人开始意识到了勒索病毒所具有的危害性与破坏力之严重。瑞星公司2019年中国网络安全报告统计显示[4]，2019年共拦截到勒索病毒样本174万个，感染次数为224万次，感染数量地域分布Top10如图1所示。通过对所有上报用户中的230家进行抽样调查发现，政府用户受感染比例达到34.78%，位列第一，电信、医疗、中小企业等用户也均遭受影响，感染设备包括本地服务器和云主机，2019年勒索病毒样本上报用户占比如图2所示。

图1 2019感染用户地域分布Top10

图2 2019年勒索病毒样本上报用户占比

针对愈演愈烈的勒索病毒攻击，本文对勒索病毒演变过程及行为进行了研究，对其所拥有的能力与行为进行了剖析，并试图从传播方式、加密方式、赎金收取渠道、C&C服务器(Command and Control Server)连接方式等多个维度对其进行归纳，探究其如何利用复杂化技术与现代防御技术相抗衡。文章同时也介绍了典型的防范措施与检测技术，最后对勒索病毒的发展趋势进行了展望。

1 勒索病毒的发展

勒索病毒包含大量行为相似、目的相同的变种，本节通过搜集相关文献与现有资料，从多个角度对病毒行为进行了分析，并选取了其中具有代表性的种类以编年史的方式对其进行了介绍，展示了其主要的三个阶段。文章中用到的主要缩略语见表1。

表1 主要缩略语

1.1 初期发展阶段

aids-trojan：1989年，最早期的勒索病毒，制造者为美国生物学博士Joseph Popp。他将20 000个包含勒索病毒的软盘分发给90多个国家，并称软盘内载有分析艾滋病个体风险的问卷程序。Jim Bates 对该病毒进行了分析，并于1990年1月将研究结果发表在了Virus Bulletin机构承办的刊物上[5]。该病毒会检测计算机的启动次数，当达到90次时，会触发程序对文件夹属性、文件名称及扩展名的修改。当用户再次重新启动机器时，会被引导到一个欺骗性的DOS界面，并显示“关键软件包租约到期，继续使用可能导致C盘文件损毁”。同时其所创建的纯文本文件中包含了类似需要向巴拿马PC Cyborg公司信箱汇款189美元以对软件租赁进行续期的建议。

Trojan.PGPCode：2005年5月，具有多个变种。该病毒会加密受害主机的文件，赎金勒索方式为向指定账户汇款[6]。早期版本使用简单对称加密算法，文件恢复难度不大，可使用相关文件恢复工具进行解救；后期出现了使用RSA等加密算法的变种，并在物理上对加密文件进行覆盖使得几乎无法通过技术手段来对文件进行恢复。

敲诈者(Trojan.Pluder.a/Trojan_Agent.BQ)：2006年，国内首例勒索病毒[7-8]，由江民反病毒公司率先截获。该病毒运行后会搜索用户常用格式的文档，并将这些文档移动到一个特殊的隐藏文件夹中。同时建立包含勒索信息的文本文件，内容大致为：“你的硬盘资料由于手机强电流的影响导致丢失，需要使用磁盘修复工具找回文件，但你所使用的为盗版软件，需要向指定账户汇款84元以购买正版软件，之后即可恢复文件”。

Trojan.Cryzip：2006年3月[6,8-10]，该病毒会搜索硬盘上多种类型的文件，包括各种文本文档、数据库文件等。之后将这些文件压缩到带有密码的压缩文件中，同时删除原始文件，并生成包含勒索信息的文件，要求向特定E-GOLD账户汇款。

Trojan.Archiveus：2006年，第一个已知的使用非对称加密算法的勒索病毒[9-10]，它会加密“My Documents”文件夹中的所有文件，然后要求用户到特定网站进行购买，以获得解密文件的密码。

Reveton：2012年，一种伪装司法机关的勒索病毒[11-13]。该病毒成功感染电脑后，会阻止用户进入桌面，并显示欺诈信息，声称用户由于参与非法活动，系统已被当地执法机关锁定，需要支付罚款以解除锁定。Microsoft Security Intelligence对此类病毒及其变种进行了详细分析与记载[14]。

1.2 中期探索阶段

CryptoLocker：2013年，标志着现代勒索软件的兴起，它是第一个将所有关键技术结合起来的勒索软件[15]。CryptoLocker会伪装成一个合法的电子邮件通过僵尸网络进行传播，所含附件利用Windows扩展名漏洞诱骗受害者点击运行，以激活恶意程序，其运行后会自动进行安装并尝试连接C&C服务器，提交受感染计算机的相关信息用于生成特定密钥对，将私钥存储于服务器中，而公钥用于加密受感染电脑中特定扩展名的文件。它要求受害者在72至100小时内向特定账户汇款2比特币或100，否则将删除服务器端密钥，导致文件无法进行恢复。

Tox：2015年，昭示着RaaS(Ransomware-as-a-Service)的到来[16-17]。一个在Tor[18]网络上提供勒索软件生成的网站，仅需要简单的几个步骤就可以获得一个定制的勒索软件，并以其勒索所得的一部分作为回报。这使得很多甚至是对计算机技术不了解的人也有了使用勒索软件的可能。Tox使用AES[19]对文件进行加密，依托于Tor网络运行，并使用比特币作为赎金支付方式。

Simplocker：2014年，由ESET检测到的第一款针对Andriod平台的文件加密型勒索软件[20]。它会伪装成正常的应用软件诱骗用户进行下载，或者通过木马下载程序进行传播，运行后该软件会显示勒索信息并在后台使用AES算法对文件进行加密。由于加密密钥以明文方式编码于软件中，所以文件恢复并不是十分困难。

LockerPin：2015年，一款针对Andriod设备的勒索软件[21]。软件运行时会请求用户给予管理员权限，之后便通过更改锁屏所使用的PIN码对Andriod设备进行锁定，并勒索500美金。该程序通常伪装为视频应用进行传播，其早期版本会直接请求管理员权限，后期版本中使用的方式更为隐蔽，通过伪装成“更新补丁安装”诱使受害者点击，然后获取权限执行恶意操作。由于LockerPin使用随机方式生成PIN码，并未在服务器中对感染设备PIN码进行存储，因此即使支付赎金，受害者仍无法解锁设备，可行的移除方式只能通过还原出厂设置或重置PIN码(设备需已获取root权限)。

KeRanger：2016年，由Palo Alto Networks 检测到的第一款针对Mac系统的勒索病毒[22]。其通过污染一款名为Transmission的种子下载软件进行传播，即替换该软件官网上的安装包为插入恶意代码后的版本。因为KeRanger使用了有效的Mac应用开发者证书，所以成功绕过了Apple的保护机制。程序运行后，会在等待三天后尝试连接位于Tor网络上的C&C服务器以获取加密用的密钥对，之后便对设备上的300多种文件进行加密，并显示勒索信息，要求受害者需向指定账户汇款1比特币以恢复文件。

Linux.Encoder：2015年，被认为是第一个针对Linux操作系统的勒索病毒[23]。利用Magento(一款内容管理系统应用)上的一个漏洞对计算机进行感染，运行后对每个文件生成AES密钥以进行加密，然后从控制服务器中获取RSA公钥对AES密钥进行加密并附着到每个被加密的文件之中。完成后添加勒索信息文件，勒索金额为1比特币。

Ransom32：2016年，第一个使用Javascript编写的使用RaaS作为传播方式的勒索病毒[17,24]。与Tox相似，其提供勒索病毒定制服务，然后收取部分勒索所得金额作为回报。与其他勒索软件不同的是，其所生成的病毒主体使用Javascript语言进行编写，且病毒体积为22 MB，远大于常见的勒索病毒体积。其结构为一个自解压文件，运行时使用WinRAR脚本自动解压其自身到临时目录下，并运行"chorme.exe"文件。"chorme.exe"是一个使用了NW.js框架的恶意应用程序，通过伪装为Google浏览器进行欺骗。其加密方式为使用RSA以及AES对文件进行加密，然后显示勒索信息，使用比特币地址进行收款。由于Javascript其自身的跨平台性，因此该勒索病毒可对多种不同系统构成威胁。

1.3 后期产业化阶段

Locky：2016年，勒索软件开始呈现规模化、全球化蔓延趋势。Locky会通过邮件进行传播，在邮件中携带含有恶意宏指令的Word文件并诱骗用户下载、运行以执行其宏指令[25]。指令执行后会连接指定的服务器并下载Locky主体，之后便会使用常见的RSA与AES加密方式对文件进行加密，同时删除全盘所有卷影副本以免用户进行恢复操作，然后生成勒索信息文件。后期出现了采用Excels、Docm、压缩文档等不同载体的变种，其所含有的恶意代码功能与之前类似。根据卡巴斯研究报告，该勒索病毒波及了114个国家，可见其传播范围十分广泛。2016年7月，杀毒公司Avira又报道了一种新的Locky变种，在该变种中新增了离线加密模式，即当Locky多次尝试与其配置服务器连接失败后，会使用一个统一的密钥对文件进行加密，这使得试图通过断开网络以保护文件的方式变得不再有效。

Cerber：2016年，集多种勒索软件运作方式为一体，使用RaaS商业模式，并采用了DGA、区块链域名隐藏等技术用于规避安全机构的封锁[26]，其所拥有的大量变种以及自身的不断更新使得该病毒的影响极其广泛，也为其幕后开发者带来了不菲的收益。Cerber最早在2016年3月出现于俄罗斯暗网论坛中，用户以付给开发者勒索收益40%的方式来购买和部署该勒索服务。早期的版本使用漏洞利用套件(Explore Kit)进行传播，后期版本更偏向于利用社会工程学手段分发垃圾邮件以作为攻击载体对用户进行攻击。Cerber具有许多不同的版本，其加密方式基本为常见的RSA与AES加密方式，但在一些版本及变种中所引入的功能令人注意[27]。在Cerber v4.1.5中，它会广泛地收集受害者信息并将细节传输到C&C服务器。在Cerber v5的一个变种中，使用了RIG-V攻击套件，它通过一个被攻陷的网站网络运行，利用软件中的漏洞在电脑上执行恶意代码。在Cerber v6中，恶意邮件携带含有JavaScript恶意脚本的压缩附件，其功能为下载可执行攻击载荷实体，并在两分钟之后创建Cerber进程(这有助于规避沙箱监测，特别是那些具有超时机制的沙箱)，或执行内嵌的Powershell脚本。此版本使用Windows脚本文件有助于绕过垃圾邮件检测机制以及一些安全软件的拦截，此外开发人员还在恶意软件中添加了DDoS组件，这意味着这一版本的Cerber恶意软件可被用于集成僵尸网络，较之以往的勒索病毒具有了更为严重的危害性。

Spora：2017年，拥有华丽的勒索信息界面，并且使用了一种新的离线加密技术[28-29]。该软件含有一个用硬编码AES密钥加密后的RSA公钥root-Rpu，首先对其进行解密以提取此公钥。之后生成一个本地的RSA密钥对local-Rpu和local-Rpr、一个本地的AES密钥local-AES、为每个文件生成Per-AES密钥。具体加密过程为：使用Per-AES密钥加密文件，然后使用local-Rpu对Per-AES密钥进行加密并添加到被加密的文件中。之后使用local-AES对local-Rpr进行加密，最后使用最初解码出的root-Rpu对local-AES进行加密。即Spora的创造者在常见的勒索软件加密流程的基础上，又增加了一轮新的AES和RSA加密。如果受害者想要支付赎金，则必须上传他们被加密的local-AES密钥，攻击者使用他们的root-Rpr私钥进行解密后连同解密工具一并返还给受害者，这就避免了攻击者所拥有的唯一一把RSA私钥的泄露。整个过程使得离线加密拥有了更好的可用性。该勒索病毒的另一特性是可以根据受感染设备所拥有文件的相关信息自动设定不同的勒索金额，并且提供一个在线聊天功能以及其他一些单独定价的服务。

WannaCry：2017年，一款席卷全球的勒索软件，也是我国第一款广泛传播并进入大众视野的勒索软件[30]。该病毒具有高度模块化特征，并且由于通过对MS17-010漏洞[31]的有效攻击载荷永恒之蓝(Enterblue)以及双脉冲星后门(Doublepulsar Backdoor)的利用[32]，拥有了更强的感染能力以及主动攻击能力。这两款工具均来自方程式组织(Equation Group)，由被称为Shadow Brokers的黑客组织在2017年4月所泄露。该勒索病毒的攻击过程可分为四个阶段[33]：

1) 部署阶段：通过对SMB服务漏洞的利用，获取沦陷设备的访问权限并注入恶意载荷。将“launcher.dll”注入系统进程lsass.exe作为后续主体程序mssecsvc.exe的启动程序。

2) 安装阶段：一旦注入成功，则启动“mssecsvc.exe”。该程序首先会分析所处环境是否为虚拟环境，之后会尝试连接一个硬编码的URL“www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com”，如果能够成功连接则退出程序，即利用该网址作为病毒开关；否则继续执行。“mssecsvc.exe”通过不带参数运行引入下一阶段所要使用的二进制文件“tasksche.exe”，通过带有“-m security”参数进行感染传播，扫描内网进行SMB探测及攻击，并随机生成公网IP对其进行相同检测。

3) 破坏阶段：“tasksche.exe”提取位于其资源段中的资源文件“XIA”，并用密码 “WNcry@2ol7”进行解压，解压出的内容为加密文件所需支持组件以及一些下一阶段所使用的文件，然后进行加密操作。该勒索病毒的加密方式也是一种离线加密。首先生成一个本地RSA密钥对，使用内嵌的RSA公钥对其公钥进行加密，然后将其私钥用于为每个文件生成单独AES密钥。因此，用户想要解锁文件就需要将被加密的RSA私钥上传至服务器。在完成加密之后，WannaCry会使用擦除技术对一些特定文件夹中的文件内容进行覆盖擦写，防止用户使用恢复软件对文件进行恢复。

4) 命令与控制阶段：“@WanaDecryptor@.exe”为上一阶段解压出的文件，通过使用不同的参数执行不同的操作，包括：显示勒索信息界面、连接Tor服务器等功能。

GandCrab：2018年，同样使用了RaaS模式，不同于其他勒索病毒的是它选择了达世币作为赎金支付渠道。GandCrab的第一个版本是由安全研究员David Montenegro于2018年1月底发现[34]，病毒通过两款漏洞利用工具包RIG EK和GrandSoft EK进行分发。之后，在2月初开始通过Necurs僵尸网络发送大量垃圾邮件并通过EITest感染链进行传播。2018年2月28日，安全公司Bitdefender发布了针对GandCrab最初版本的免费解密工具，该解密工具并非利用了加密流程中存在的漏洞，而是由于成功获取了其控制服务的访问权限，因此能够获得用于解密的私钥(截至2019年6月，该解密工具支持对v1-v5.0.5等多个版本的文件进行解密)，这也促使了GandCrab的开发者发布带有新加密技术的升级版本。目前，研究组织已经发现了7个以上的GandCrab版本[35]。GandCrab凭借其庞大的分支机构、多样化的攻击方式、版本的定期迭代更新，迅速成为2018年最为常见的勒索病毒之一。

2019年6月David Montenegro在暗网论坛发现了GandCrab运营者的帖子，宣布他们已经获取了超过20亿美金的收益，并决定停止进一步的勒索服务。对于其是否真的获取了如此高的收益还难以断言，研究人员认为GandCrab并不像其创造者所说的那么成功，因为网络安全研究人员不断针对各个版本开发了免费的解密工具。GandCrab团队可能将继续以不同的名字制造勒索软件或其他恶意软件以规避安全组织与执法人员对其进行的监视。

2 勒索病毒主要功能剖析

在勒索病毒的发展过程中，虽然其数量繁多、类型多样，但其基本运行流程大致相似，主要可分为病毒分发、设备感染、与C&C服务器通信、文件加密、显示勒索信息等阶段[36-38]，如图3所示。

图3 勒索病毒运行流程

2.1 传播与感染方式

2.1.1被动型传播

早期勒索软件的传播方式不具备很强的主动攻击性，缺乏自我复制性，其主要通过隐藏程序主体以诱骗受害者操作运行。这一阶段的传播方式主要包括以下几种：

(1) 通过软盘或U盘等存储介质分发，在其中嵌入恶意程序。

(2) 利用僵尸网络等渠道大量分发垃圾邮件以及社会工程学邮件，其中包含恶意附件或恶意链接。

(3) 替换网站存储内容为插入恶意代码后的版本或在一些提供免费软件下载的站点中上传包含恶意代码的安装包。

2.1.2RaaS模式

在勒索病毒后续的发展阶段中开始出现了一种新的商业化运作模式：勒索即服务RaaS模式。通过提供在线的勒索病毒定制服务并收取勒索所得金额的一部分作为回报的方式，为那些不具备勒索软件开发能力却准备获取它们的人提供了一个平台，使得更多更广泛的犯罪分子参与到了病毒传播过程当中[37]。RaaS方式减少了开发者在病毒传播环节中所要投入的精力和成本，事半功倍地扩大了病毒传播范围并因此大大提高了勒索所得的收益。

2.1.3主动型传播

如今现代化的勒索病毒，大多具有了主动攻击能力，通常会自动扫描探测网络以发现开放的端口并对存在漏洞的设备进行攻击，自动转发包含勒索病毒的文件到其内网环境以进一步提升感染主机数量。如2017年大肆横行的WannaCry通过对SMB公开漏洞利用工具的使用，导致国内大量未及时进行漏洞修补和更新的设备遭到了攻击并沦陷。除系统漏洞外，Web漏洞也是目前一些勒索病毒所针对的方向，如Satan勒索病毒利用了多个Web应用程序漏洞如任意文件上传、反序列化等，对服务器进行入侵。除此之外，弱口令爆破也是另一种常见的攻击模式，这对安全意识不高的机构和企业仍然构成了不小的威胁，如使用RDP弱口令爆破手段的勒索病毒Crysis[39]。另一方面，僵尸网络与漏洞利用套件在现代勒索病毒传播与感染过程中所起到的作用也令人瞩目。

1) 僵尸网络(Botnet)。僵尸网络是一种从传统恶意代码进化而来的新型攻击方式[40]，它为攻击者提供了隐匿、灵活且高效的一对多命令与控制机制，可以实现控制大量僵尸主机进行信息窃取、分布式拒绝服务攻击和垃圾邮件发送等功能。勒索病毒利用僵尸网络大量分发恶意邮件，对渗透一些安全措施较强的机构起到了非常有效的作用。

2) 漏洞利用套件。相对于电子邮件诱骗用户点击的传播方式，漏洞利用套件是一种更为复杂且攻击性更强的传播方式，不需要终端用户执行任何交互操作，McAfee将其定义为“一个易用的包含已知和未知漏洞的完整工具包”。漏洞利用套件会包含一系列不同的漏洞利用程序，典型的如针对操作系统、Web浏览器或其他插件的漏洞，这些漏洞大多是公开披露的，也有些是0day漏洞，此类漏洞由于暂时没有可用补丁，因此具有更为严重的危害性。为了获取收益，一些漏洞利用套件的开发者会在暗网中提供出售租用服务，其中的漏洞利用程序更新越迅速，攻击能力越强。而通过获得的大量的非法收入，开发者又可以购买新的0day漏洞，进一步提升工具包的利用价值，以此形成了一个产业循环[41]。勒索病毒通过对漏洞利用包的使用，在降低开发难度的同时又增强了自身的传播能力。

通过在程序主体中集成自动传播模块，勒索病毒开始真正走向了恶意产业化道路，成为了攻击者眼中一种切实高效的经济获取手段。而勒索病毒所使用的传播技巧，在使得自身广泛传播的同时也增加了追踪溯源的难度。如在WannaCry中[32]，程序通过随机扫描公网IP的方式进行渗透传播，这对初期溯源侦查工作构成了挑战。

2.2 C&C服务器连接技术

大多数勒索病毒在整个运行的流程中，会尝试与C&C服务器进行连接，通过向其发送感染主机相关信息，以确定下一执行步骤。使用非离线加密方式的勒索病毒也需要通过C&C服务器获取加密过程中所使用的密钥对中的公钥，同时将主机相关信息与私钥进行匹配标记，存储在服务器中以用于提供用户解密操作。在勒索病毒的发展过程中，为了避免其与C&C服务器的通信信道被阻断，如何有效地连接控制服务器也成为一个不断发展与完善的技术点。

2.2.1硬编码连接方式

早期的勒索病毒通常将一组服务器的IP地址或域名硬编码嵌入程序主体当中，使用一定的加密方式进行保护，程序运行时对地址进行提取并尝试连接。此种方式往往可以通过逆向工程进行破解溯源，进而对服务器列表进行封锁，以此导致依托于这组C&C服务器的勒索病毒失效，因此采用该通信机制的勒索病毒往往难以长期生存。

2.2.2DGA技术

为了解决硬编码地址容易遭到阻断的问题，攻击者开始转向使用动态生成域名的方式，由此出现了一种新的技术，即域生成算法DGA。该算法会周期性地生成大量的伪随机域名，勒索病毒通过不断发送DNS查询消息来寻找其中可用的C&C服务器以进行通信信道的建立。由于该算法会生成大量域名，执法者若想通过封锁服务器的方式阻断勒索病毒活性需要消耗大量的成本，而攻击者仅需注册其中少量域名即可保障勒索病毒的运行。因此这一技术极大地提高了勒索病毒突破封锁的能力，后期阶段的勒索病毒基本都集成了这一功能，但是由于此种方式会产生大量失败的DNS查询消息，所以也可以根据此特征进行病毒检测。

2.2.3匿名网络隐匿技术

匿名网络是一种通过数据转发、内容加密、流量混淆等通信措施来隐藏数据信息及设备间联系的网络系统[42]，可为普通用户提供Internet匿名访问功能，可以隐藏网络通信源和目标，也可以为服务提供商提供隐藏服务和匿名化的网络服务部署。由于其所具有的这些特性，因此也常常被勒索病毒等恶意软件用于隐藏网络活动。Tor作为目前使用最为广泛的匿名通信系统，已经被多个勒索病毒家族如WannaCry、Cerber等用于部署C&C服务器。

Tor网络中所特有的洋葱服务(Onion Services)不同于传统的域名解析模式，而是使用一套独特的访问方式来隐藏其服务器[43]。Onion服务器与客户端之间的通信流程如下：首先Onion服务器会寻找中继作为其匿名引入点(Introduction Points)并提供身份验证密钥，然后将这些信息发送到一个分布式散列中，该分布式散列存储在Tor网络中带有HSDir[44]标志的中继节点处。当客户端请求访问Onion服务器时，会通过该散列获取相关信息，随后选择中继以建立匿名通道，并将该中继作为此次通信的汇聚点(Rendezvous Point)，之后将该汇聚点告诉服务器端以完成后续连接的建立。由于该分布式散列的不可监管性，因此无法对Tor中的服务器进行封锁。针对此种通信方式的勒索病毒，可以采用流量实时分析的方式进行识别和阻断。

2.2.4区块链域名隐藏技术

研究者在勒索病毒Cerber中发现了一种更为精巧和复杂的技术：基于区块链的寻址方式[26]。整个联结利用了一台网关服务器将常规网络与Tor网络结合起来以掩盖其最终C&C服务器，如图4所示。该程序运行时会连接到比特币交易信息网站(尝试了4个交易网站以增加一定程度的容错能力)跟踪特定钱包的交易活动，此特殊钱包地址硬编码于程序中，会在需要时向另一“一次性”钱包地址转账少额比特币。而这“一次性”钱包地址的前6位即为所要隐藏的域名信息，对该域名解析后所映射的IP地址即为网关服务器地址。勒索病毒通过在Tor网络中部署C&C服务器，使用区块链协助建立外部网络连接，为整个连接过程增添了一道新的防护。若网关服务器遭到封锁，仅需重新注册一个新的域名并进行一次新的交易，就可置换薄弱的外部网络连接环节，极大地提高了勒索病毒的生存周期以及灵活性，同时其在域名查询过程不再产生大量的失败查询也规避了常规的基于流量的检测方式。

图4 区块链域名隐藏技术

2.3 加密方式

2.3.1设备锁定加密

设备锁定加密即通过更改系统启动配置和流程，致使用户无法按照正常流程成功进入系统，其往往会在勒索信息中伪装成司法机关欺骗用户称其参与了某违法犯罪活动以进行后续的赎金勒索。使用此种模式的勒索病毒主要分为两类：PC设备端和移动设备端。对于PC端勒索病毒，可以通过移除设备上的勒索程序以恢复系统的正常运行，因此勒索成功率较低，其影响力也十分有限。对于移动设备端，破解锁定或移除勒索程序主体通常需要设备成功获取root权限[45]，而由于设备的不同型号及不同系统版本对应着不同的操作，而且还存在种种限制，因此解锁需要较高的技术要求，所以仍可被视为一种有效的手段。

2.3.2文件加密

随着勒索病毒的不断发展，文件加密逐渐成了一种主流模式，其通过密码学技术加密用户设备中的文件，致使文件无法访问以进行勒索。早期的勒索病毒使用的加密算法往往较为简易，抑或由于将密钥直接硬编码于程序中，导致其密钥可以通过逆向程序主体进行提取，所以一些安全厂家可以对此类病毒提供专门的文件解锁工具。勒索病毒在后续发展中采用了更为完善的现代加密技术，即对称密码加密与非对称密码加密[46]，真正达到了对数据的不可逆“劫持”。

1) 对称密码加密。对称加密体制因其在加密和解密过程中使用了相同的密钥而得名，按照其对明文的处理方式可分为序列密码算法和分组密码算法。自20世纪70年代中期美国首次公布分组密码加密标准DES后，分组密码迅速发展。勒索病毒中常用的AES即为一种分组加密方式，该算法在无法拿到密钥的情况下，以目前的计算能力对被加密文件进行恢复的可能性基本为零。

2) 非对称密码加密。对于非对称密码加密(也称为公钥密码加密)的思想最早由Merkle在1978年提出。公钥密码体制解决了对称密码算法在应用中的致命缺陷，即密钥分配问题。其在加密和解密操作中使用了两把不同的密钥。加密密钥是公开的，被称为公钥，解密密钥是保密的，被称为私钥。使用公钥对数据进行加密后，只有使用对应私钥才能对其进行解密，且无法从公钥推出私钥，或者说从公钥推出私钥在计算上是“困难的”。常被提及且目前应用最为广泛的公钥加密算法即为由Rivest、Shamir和Adleman三人在1977年提出的RSA加密算法，这也是勒索病毒通常使用的加密算法。

勒索病毒使用密钥加密文件，而受害者需要使用密钥进行解密。双方博弈的过程也促使了从非离线加密到离线加密发展。两者加密流程相似，关键的差别在于是否需要通过网络进行密钥获取。

3) 非离线加密。一种需要连接C&C服务器的加密模式。以常见的加密流程为例，勒索病毒感染设备后会尝试连接控制服务器并发送设备信息以获取加密用的RSA公钥，获取成功后，开始为每个文件生成一个单独的AES密钥，然后对文件进行加密，再使用获取到的RSA公钥对每一把AES密钥进行加密并将加密结果附着到文件中以用于后续解密操作。此种加密方式存在一个很明显的问题，即若无法连接到控制服务器就无法进行后续的加密操作，因此可以通过网络流量检测的方式对其进行阻断。

4) 离线加密。为了规避网络封锁的风险，攻击者开始尝试使用离线加密技术。一种方式是使用硬编码的公钥，其后续流程与非离线加密相似。由于加密过程中采用了一个统一密钥，因此并不具备很好的可行性。WannayCry则采用了一种更为完善的方式[33]，如图5所示。参与此流程的密钥有：硬编码于程序中的根RSA公钥root-Rpu，生成的设备唯一RSA公私钥对，公钥local-Rpu和私钥local-Rpr，以及为每个文件生成的AES密钥Per-AES。首先使用root-Rpu对local-Rpr进行加密，然后对每个文件使用其唯一的Per-AES进行加密，之后使用local-Rpu对每一个Per-AES进行加密并附着到文件中。受害者若想恢复文件就需要上传被root-Rpu加密后的local-Rpr文件，攻击者使用其拥有的根RSA私钥root-Rpr对其进行解密后才能进行后续解密操作。整个加密过程不再需要与控制服务器进行交互，极大地提高了勒索病毒的能力。

图5 离线加密

2.4 赎金收取渠道

攻击者散布勒索病毒主要目的就是为了获取经济收入，如何安全快捷地收取受害者所支付的赎金便成了一个十分重要的问题。早期的渠道包括让受害者访问某一网站购买物品以获得设备解锁密码，或通过电子支付手段向某一特定账户汇款。这两种方式由于易受到追踪性，且与现实世界身份的关联性较强，因此往往难以用于大范围的赎金勒索。同时，由于国内在这一期阶段对电子支付支持并不友好，也从侧面阻止了勒索病毒在国内的传播与攻击。

随着勒索病毒的演化，使用数字货币作为收款渠道开始成了一个整体上的趋势。在多样的数字币种中，应用最为广泛的就是比特币。比特币是一种加密货币，特点是去中心化，没有中央银行或单一的管理机构，可以在点对点的比特币网络上从一个用户发送到另一个用户，通过密码学来保证支付的可靠性。由于注册比特币钱包并不需要提供任何个人的相关信息，因此其具有一定的匿名性，也正是基于这一特性，大量的勒索病毒开始将比特币钱包地址作为收款渠道。

然而比特币并不是真正匿名的，准确地说比特币所具有的是非实名性。由于一枚比特币事实上就是一条数字签名链[47]，因此每一次比特币资金的流动都是可查可追溯的，即若A从其钱包取出1比特币汇入B的钱包地址，这一交易信息是记录在这整个区块链当中的，所谓的匿名只是无法将A的钱包地址和B的钱包地址关联到真实世界中的账户。通过对大量交易数据的分析，可以勾勒出勒索病毒所获资金去向[48]，因此这些因素也导致犯罪分子无法轻易地将比特币钱包中的数字货币兑换为法定货币。为了避免比特币被用于恶意目的，各个国家也都颁布了相应的KYC(Know Your Customer )/AML(Anti Money Laundering )政策，试图对比特币交易所进行交易规范化，以阻止非法交易并提高账户资金的安全性。但这一措施又与数字货币初衷相违背，因此也引起了广泛的争论，如何正确规范比特币的交易仍然是一个值得探究的问题[49]。

即使比特币使用了一定的实名保障手段，也仍不能避免攻击者通过一定方法绕过封锁并以匿名化的方式成功兑现比特币[50]。其主要方式有如下几种：

使用比特币混合服务(Bitcoin mixer)，此服务的基本原理为将几个具有交易需求的人进行混淆，只需最终保障将所需数量的比特币汇款到正确的钱包地址即可，因此中间过程不需要进行直接汇款，切断了收款地址与汇款地址的关联性。目前的混币方式主要为两种，一种是通过可信的第三方，该服务提供商承诺不会记录交易的相关信息以此来保证匿名性；另一种即为P2P方式，用户通过一定的协议如Coin Join、Shared Coin等自行进行混合，此种方式避免了第三方在比特币混淆过程中可能进行的偷窃和监视行为。

虚拟信用卡也是一种有效的匿名手段。为避免追踪可使用Tor浏览器并使用虚假的邮件地址注册使用虚拟信用卡，并选择比特币作为支付方式，直接使用比特币在一些在线网站上购买物品或服务。也可以不通过交易所将比特币兑换为法定货币，比如通过线上或线下寻找买家出售比特币，从而实现匿名性。目前有许多提供此类服务的平台，如Bisq、BitQuick等。

因为比特币在匿名性方面存在的缺陷，勒索病毒开发者们逐渐开始将目光转向了其他匿名性更强的货币。如2018年传播广泛的GandCrab就使用了达世币作为赎金支付手段，以及开始出现了将门罗币作为支付手段的勒索病毒。达世币与门罗币是两种新型的数字货币，解决了比特币的一些固有问题，如交易确认迟缓、交易可追踪性、货币非可替代性。达世币使用了双层网络架构，因此不再需要通过足够多的区块广播来保证交易的不可撤销，大大提升了交易的确认速度。同时达世币提供了可选的匿名交易方式，使用其内置的混合服务，可以隐藏交易链条。门罗币则更侧重于隐私防护[51]，使用环签名保障发件人隐私，使用隐形地址保障收件人隐私，使用环加密交易对交易量进行混淆，这使得完全无法对门罗币的交易进行追踪。

3 防范措施

虽然勒索病毒传播与攻击方式复杂多变，但其基本核心并未发生重大变化，主要仍是通过公开漏洞以及社会工程学方式进行传播与攻击。因此虽然设备感染后文件难以恢复，但很多安全措施都能在一定程度上避免严重后果的发生。

3.1 数据冗余技术

做好数据备份工作。如果存在有效的数据冗余，即使受到感染，也可以立即从备份中恢复而无须支付赎金。当然单纯的本地备份是无效的，一些勒索病毒会删除卷影副本以防止从中恢复。因此使用保障性更强的云备份、异地备份或离线硬盘等方式是必要的，可以避免遭受单点故障的影响。应定期对备份进行管理，及时发现可能出现的损坏。备份方案中的关键问题是如何确定备份频率以维护运行效率与数据时效性之间的平衡，由于常规的备份操作往往具有一定的延后性，因此受到攻击时即使从中恢复也通常面临存在部分数据丢失的风险。动态备份技术通过实时文件备份监控及进程检测[52]来保障数据的时效性，有助于对文件加密前的最后一个版本进行恢复。

3.2 基本安全策略

避免接触来源不明的链接以及文件。钓鱼攻击是勒索病毒最常用的传播模式，因此不要轻易打开来源未知邮件及其附件，特别是一些看似无害的却有可能包含恶意宏指令的文档文件，不具备专业背景的使用者常常疏于对此类文件的防范。对于恶意链接，由于针对现代浏览器的任意代码执行漏洞已经比较少见，因此避免使用版本过低的浏览器可在很大程度上保护主机，但仍应用谨慎的态度对待任何可疑的链接，以防0day漏洞利用等未知攻击所带来的危害。

其他措施如及时进行软件更新、确保系统拥有最新的补丁、关闭不必要的端口、使用高强度的安全凭证等也都有助于避免暴露在危险的网络环境中。由于勒索病毒的传播通常是对已知漏洞的使用，因此使用旧版软件和未打补丁系统往往更容易遭受攻击并沦陷。这种情况常常出现在政府机构、金融、医疗等单位中，为了避免系统更新所带来的不稳定性对正常业务的冲击，往往疏于已有漏洞的修复。在这种情况下，更为重要的是提升管理者和职员的安全意识[53]，其关键是要向他们展示勒索病毒如何通过漏洞进入他们的设备并造成不可逆的破坏，以及如何对机构的正常运行产生影响。当商业公司遭到勒索病毒攻击时可能会失去股票价值或重要客户，甚至可能会倒闭。当人们了解了勒索病毒如何影响他们的客户、公司或他们自己时，才会更倾向于采取措施保护自己并遵守政策、程序和法规。

3.3 企业级防范策略

白名单或黑名单策略。无论是通过限制设备所能运行的程序，还是针对所能连接到的网络地址进行限制，黑白名单策略都是非常有效的，设备管理者通过预定义的规则对关键设备进行保护，避免了繁杂的流程规定以及人员培训所要耗费的精力。相较于黑名单策略，白名单具有许多的优势，包括无须经常更新名单列表，省去了签名特征的下载，无须连续扫描，从而降低了对带宽、CPU和内存的消耗，同时白名单也是一种阻止0day攻击的有效方法[54]，但往往需要以牺牲系统应用弹性为代价。

做好应急预案，避免影响的加剧。一旦设备沦陷，应立即断开与网络的连接或关闭网络，避免感染范围的进一步扩大。同时，合适的网络架构设计以及权限分配等能够缓解攻击影响的措施都是必要的，这有助于组织和机构尽快从影响中恢复过来。

3.4 检测技术

由于近年来勒索病毒的大规模爆发，其相关检测技术领域的研究一直非常活跃，作为有效防范措施中的重点，学术界和工业界针对勒索病毒运行流程的不同阶段，从静态和动态两个视角进行了探索并提出了相应的检测指标。利用这些指标参数的组合检测和使用机器学习技术对大量指标项进行训练的检测方式基本上成了目前两种主流的检测手段。Berrueta等[55]对现有的检测技术相关文献进行了汇总分析，详细探讨了各种不同的检测方法的技术特征及存在的问题，基本涵盖常见的检测指标。下面对各检测指标相关内容进行详细阐述。

1) 静态检测：一种仅基于本地程序静态数据的检测方式。主要检测指标如下：

(1) 关键字检测：包括对二进制文件中包含的字符串进行扫描检测，如在勒索病毒中常见的“ransomware”“bitcoin”“encrypt”等。

(2) 域名与IP检测：检测已知的恶意域名和IP地址。

(3) MD5特征匹配：与已知勒索病毒的MD5特征值进行匹配。

(4) 可疑函数检测：检测程序内部可疑函数调用，比如勒索病毒常用的加密解密函数。

2) 动态检测：动态检测是对程序运行一段时间内的行为特征进行检测分析的方式，应在数据被加密之前尽快进行，同时也需避免因时间过短所造成的误判。主要包含针对文件操作以及网络流量两个检测方面。

(1) 文件操作方面指标。

① 针对文件特征的检测，如文件类型、字节数、文件扩展名等。勒索病毒通常会改变大量文件的特征值，因此此种检测方式可在尽可能低的资源占用情况下进行有效检测，但也存在部分病毒故意绕过对文件特征值的改动以规避检测的情况。

② 针对文件内容数据分布的分析。由于加密后的数据看起来就像均匀分布的随机字节，可通过拦截系统访问函数对其内容随机性进行检测，一种常见的度量方式是计算熵值。在实际应用中，如何确定熵阈值是一个需要探究的问题，同时一些压缩文件的随机度也可能与加密文件相似，该方法存在一定的误判率。

③ 针对文件数据内容更改量的分析。用户正常操作情况下很少出现同时对大量文件内容进行更改的情况，因此此类指标也可作为勒索病毒的特征项，为了降低误报率常与熵结合起来使用。

④ 针对系统敏感函数调用频率的检测。通常为加解密函数，勒索病毒在对批量文件进行加密操作时，会频繁调用此类函数，该方法的关键是如何确定该频率值的范围以用于区分良性软件与勒索软件。

⑤ 针对文件访问数量的检测。大批量的文件操作往往是可疑的，尤其是针对目录树的访问，因为勒索病毒通常会访问整个目录树，而正常操作中访问整个目录树的概率是极低的，因此该方法是一种有效的行为检测手段。

⑥ 诱饵文件。通过在某些或全部文件夹下创建特殊文件，该文件在正常情况下为隐藏且不应被删除，一旦检测到相关的删除操作，便立刻发出警报。此种方式主要存在的问题是容易造成目录混乱，并且对这些文件的实时监控会耗费大量的系统资源。

(2) 网络流量方面指标。

① 针对已知恶意IP地址及DNS查询的检测。由于硬编码的IP地址通常容易被阻断，更多的是针对DNS的检测。如果在文件加密前检测到了程序网络行为的异常，则可以保护数据不受破坏，但此种方式无法防范未知的勒索病毒。

② 针对DGA技术的检测。通常DGA技术会产生大量的失败查询，可利用此特征进行病毒检测。同时由于DGA生成的域名往往具有强随机性，因此也可对查询域名的随机度进行检测，但目前已经发现存在一些勒索病毒利用调用公共字典生成域名的方式规避此种检测。

4 发展趋势

虽然根据多份研究报告指出，2019年勒索病毒攻击态势有放缓趋势，但作为一种直接获取大量经济收益的攻击模式，其仍然在恶意软件中占有很大比重。而之所以出现这样一个放缓趋势，并非由于幕后的攻击者们放弃了对勒索病毒的青睐，更多的是由于设备管理者、使用者安全意识的提高。纵观流行勒索病毒的发展史，极少出现利用未知0day漏洞进行传播以及攻击的勒索病毒，因此及时更新系统补丁、关闭不必要的端口、使用高强度的密码凭证等安全措施可在很大程度上抑制勒索病毒的传播。另外，消费者对移动设备依赖性的增加以及可用漏洞利用工具包的减少也是导致病毒攻击态势放缓的重要原因[56]。但在利益的驱使下，病毒仍在寻求新的发展空间。

1) 传播感染技术与平台拓展。随着博弈的不断进行，未来勒索病毒的发展预计将会聚合多种传播途径与攻击模式。通过对现有勒索病毒先进技术的集成，汲取各方优势创造出新型的勒索病毒，其所具有的破坏力已是不同凡响。而幕后开发者也不会停止探索新技术的脚步，不排除未来可能出现的利用未知0day漏洞的勒索病毒。由于0day漏洞的稀缺性、高价值性，使用该漏洞的背后组织往往会有更高的期待，因此制造出的勒索病毒其目标范围也会更为广泛，带来的将会是一场全球性危机。同时，感染平台多样性也是一个潜在的巨大发展趋势，目前勒索病毒更多的仍是针对Windows平台，随着越来越多的移动与物联网设备加入网络环境中，针对其他平台的攻击将会增长。虽然可能此类设备中的数据并不具备高价值性，但其自身往往所具有的低安全保障措施，仍易被作为攻击目标以阻碍用户的正常使用，可以使用低赎金的方式以兑换用户时间成本。

2) 多样化恶意行为集成。开始出现了在勒索病毒中集成挖矿、信息窃取等功能的趋势。这些功能拓展了针对沦陷设备的利用，即使用户不愿意支付赎金，仍可以利用设备获取其他收益。但由于此类功能可通过技术手段进行删除，不具有不可逆性，因此感染后若及时发现并阻止即可降低其危害。但其所开拓的技术路线仍然为勒索病毒带来了一种新的发展模式。

3) 是否支付赎金。是否支付赎金仍然是伴随勒索病毒的一个亘古问题，有多份报告指出，勒索病毒并没有为每一个支付赎金的受害者提供解锁密钥[57]。但很多时候，支付赎金是在短时间内快速恢复的唯一手段，同时也比进行数字取证调查、事件响应等措施要简单得多。因此，很多时候受害组织会基于自身财力及数据价值进行衡量以决定是否要支付赎金。但在支付赎金前获取相关安全机构的帮助是必要的，应充分分析设备所感染病毒的具体信息以进行正确决断。

4) 联合打击。目前，缺乏一个针对勒索病毒的官方统一组织，无论是国内还是国外，针对勒索病毒的相关分析与研究主要由安全公司或独立研究团队完成。但由于勒索病毒自身的特殊性，设备受到感染后，唯一有效的阻击方式就是寻找幕后的C&C服务器。因此，需要各研究团队之间进行信息共享，共同通过资金链的流动或其他痕迹追踪其背后运营者及相关设备，及时制止勒索病毒所造成的进一步危害。不过已有相关发展计划着手于此方面的尝试，如由荷兰国家警察高科技犯罪单位、欧洲刑警组织下属欧洲网络犯罪中心，KasPersky和McAfee共同推动的计划NoMoreRansom，旨在帮助勒索软件的受害者重新取回其数据，而无须支付赎金。其提供的在线服务已支持对一些勒索病毒感染文件进行解密。与其在设备沦陷后支付大量赎金，不如加大调查打击力度，不失为打击勒索病毒的良性发展策略。

5 结 语

本文通过对不同勒索病毒种类的探究分析总结了勒索病毒的一般攻击流程，并对相关关键技术点进行了深入剖析，展示了勒索病毒如何通过各种巧妙技术的结合以获取经济收益并规避遭受阻断与打击。汇总分析了具有典型特征的流行性勒索病毒，从整体上认识了勒索病毒的行为模式与特征，并提出相关检测与预防措施以应对遭受攻击时可能受到的影响。

在当前的计算机网络安全场景中，每天都有新的漏洞被发现和利用，这些漏洞作为一种可用的攻击手段，可以不断地被集成到勒索软件变种当中，作为恶意产业中具有高经济价值的攻击手段，勒索病毒在未来仍将对网络用户构成持续性威胁。同时，随着越来越多的网络用户从PC端迁移到移动端，可预测勒索病毒针对移动设备攻击的强度和频度都将增加，移动设备、物联网设备等未来可能面临较大风险，相关防护技术亟待研究。

目前国内针对勒索病毒相关领域的研究仍较为缺乏，更多的还是着眼于具体检测技术的探究。作为一个软件设备应用大国，相关企业机构安全意识欠佳，对勒索病毒的具体认识不足，潜在风险较大。现有的检测技术研究也缺失一个实际的转换操作，无法直接应用到具体的生产环境当中，仍然需要有关部门与安全公司共同努力以应对这一网络安全新威胁。