姜彬 居晓琴 施志刚

摘要：互联网的普及在给人们带来各种便利的同时也给人们的经济、生产和生活等带来了一定的负面影响。互联网面临的各种安全威胁层出不穷，其中尤以勒索病毒带来的危害最甚，勒索病毒正成为全球网络安全研究的热点问题。文章从勒索病毒的概念、背景、类型、攻击原理等方面对勒索病毒相关问题进行了阐述，分析了勒索病毒的攻击过程并对其防范给出了具体的措施，以期对进一步研究和探索勒索病毒提供一定的应用参考。

关键词：勒索病毒；攻击原理；防范措施

中图分类号：TP393        文献标识码：A

文章编号：1009-3044（2023）31-0095-03

开放科学（资源服务）标识码（OSID）

0 引言

勒索病毒，也被称为勒索蠕虫，是一种恶意软件，它通过加密用户文件、设备锁屏，以通过为受害者提供文件解密密钥或设备屏幕解锁密钥来获取用户支付的赎金，或者通过售出由窃取的网络算力挖出的加密货币进行勒索获利。通常，勒索信息会以弹窗或文本文档的形式出现在用户屏幕上。

当前，勒索病毒正日益成为全球头号安全威胁。数据表明，超过三分之二的企业在过去一年中至少经历过一次勒索攻击。根据SonicWall发布的2022年年中网络威胁报告，2022年1—6月，全球共记录了2.361亿次勒索病毒攻击[1]。此外，根据Resecurity报告，到2031年，全球勒索病毒勒索活动将达到2650亿美元，对全球企业造成的潜在总损失或达到10.5万亿美元 [2]。勒索病毒的危害整体呈现范围广、次数多、经济损失大的特点。在此形势下，如何应对勒索病毒攻击成为全球网络安全的难题。本文拟在勒索病毒相关概念、攻击原理等理论基础上，探究勒索病毒攻击过程并对其提出具体的防范措施。

1 勒索病毒的类型

勒索病毒攻击有多种攻击目标（有的是针对系统中特定文件，有的是针对系统本身，有的是针对网络资源等）。勒索病毒根据攻击针对目标的不同可以分为加密型、锁屏型和挖矿型三种类型的勒索病毒。从目标导向来看，勒索病毒又可分为传统的非定向型勒索攻击和定向勒索攻击两种类型。

1.1 加密型

文件加密勒索病毒是最常见的一种勒索病毒（感染文件加密勒索病毒后的症状如图1所示），它旨在加密计算机或网络上的文件并阻止用户访问这些文件，攻击者会给受害者发送一条消息，要求其缴纳一定数量的赎金，以便获得解密密钥，进而解锁文件。文件加密勒索病毒能够快速传播，因为它可以通过电子邮件发送、嵌入恶意网站或通过受感染的网络传送。

1.2 锁屏型

锁屏型勒索病毒是一种旨在将用户锁定在他们的设备之外的攻击行为（感染锁屏勒索病毒后的症状如图2所示）。此类勒索病毒通常会在用户屏幕上显示一条消息，要求用户支付赎金以解锁设备。其中，移动勒索病毒是一种专门针对移动设备设计的锁屏型勒索病毒。它通常由应用程序提供，可用于将用户锁定在他们的设备之外或窃取个人信息。

1.3 挖矿型

挖矿型勒索病毒是一种与加密货币相关的勒索攻击软件，旨在从计算机或网络中窃取计算能力以挖掘加密货币，攻击者通过由窃取算力所挖掘出的加密货币进行出售以获利。

1.4 非定向勒索攻击

非定向勒索攻击采用“非定向大规模传播→加密数据→收取赎金→解密数据”单线作业模式。早期的非定向攻擊者会采用传统的扩散蠕虫或钓鱼投放等方式进行发散式的传播，且不会预先对目标进行侦查、评估与筛选，对于攻击的收益也没有精确预估。随后对中了勒索病毒的设备关键数据进行加密，发布以解密操作为酬劳并收取赎金进行解密的攻击模式。当前，非定向勒索攻击者大多会选用RaaS（勒索即服务）平台或僵尸网络渠道，采取“广撒网”的方式对勒索病毒进行传播侵入，威胁攻击对象主要为中小企业与政府机构等单位。

1.5 定向勒索攻击

定向勒索攻击是一种针对有价值的攻击目标进行定向勒索，采用“定向攻击→数据窃取→加密数据→收取赎金解密”“定向攻击→数据窃取→加密数据→不交赎金→曝光数据”的新型作业模式。定向勒索攻击的特征是事先有非常明确的攻击目标，再“有组织、有预谋、有步骤”地发动威胁攻击，以牟取巨额收益。

2 勒索病毒的攻击原理

勒索病毒可以通过多种方式感染系统，通过但不限于：社会工程学、恶意软件、网络钓鱼、系统漏洞以及爆破攻击等多种技术方式来获得对受害者系统的访问权限，让受害者感染上勒索病毒[3-4]。

2.1 社会工程学

社会工程学是操纵人们提供机密信息或采取有利于攻击者行动的过程，一般是通过电子邮件或电话诈骗来完成，攻击者伪装成合法组织以获取对个人信息或密码的访问权限，如冒充公安局、检察院、法院等有关权威部门套取个人敏感信息数据。

2.2 恶意软件

恶意软件旨在利用系统中的安全漏洞，通常用于在计算机或网络上下载和执行勒索病毒。恶意软件可以通过电子邮件、恶意网站或移动存储设备等方式传播。

2.3 网络钓鱼

网络钓鱼是一种通过发送看似来自合法组织的消息来获取机密信息的技术，这些消息通常包含恶意链接或附件，点击后会下载勒索病毒并在用户设备上执行。

2.4 漏洞利用

勒索病毒会利用系统中的漏洞来感染系统，这些漏洞可能是未修复的安全漏洞或者是用户使用的弱密码等情况。

2.5 爆破攻击

爆破攻击是利用爆破技术（如爆破RDP、SMB、MySQL、VNC等）对受害人设备实施爆破行为获取设备系统访问权限的一种软件攻击技术[5]。

一旦勒索病毒成功感染了系统，它会加密用户的文件。通常，勒索病毒会加密用户的文档、照片、音乐和视频等常见的文件类型。勒索病毒使用强加密算法对文件进行加密，使得文件无法被用户访问。新型的勒索病毒在加密用户文件之后，勒索病毒会向用户发送勒索信息，要求用户支付赎金以获得解密密钥。通常，这些勒索信息会以弹窗或文本文档的形式出现在用户的屏幕上。

3 勒索病毒攻击过程

勒索病毒的攻击过程一般分为五个阶段，具体攻击过程如图3所示。

第一阶段：初始访问阶段。通过存在漏洞的边缘设备，如虚拟化设备、VPN和服务器等媒介，依据初始访问向量，通过特定工具下载到设备上，建立交互式访问。

第二阶段：扫描、获取凭证阶段。此阶段，攻击者首先对攻击的设备进行系统扫描以更好地了解设备和网络，然后攻击者确定双重勒索或三重勒索攻击的目标文件。

第三阶段：部署攻击资源阶段。攻击者从网络攻击突破口、部署网络攻击资源、部署远程访问工具并渗透入侵组织内部网络。

第四阶段：勒索病毒运行阶段。此阶段勒索病毒启动运行，对文件识别和加密，禁用系统恢复功能，窃取备份数据，同时攻击者保留文件解密的私钥。

第五阶段：实施勒索阶段。攻击者向目标主机发出感染警告，释放勒索信，说明如何支付赎金（一般是加密货币），同时攻击者在此阶段对有价值的文件进行加密和威胁进行多重勒索，结束勒索攻击过程。

4 勒索病毒的防范措施

勒索病毒的攻击手段日益复杂，因此需要多种措施来保护自己不受勒索病毒的攻擊，以下是一些常见的防范措施。

4.1 增强入口防护能力

增强入口防护能力主要是指从避免爆破攻击、漏洞利用、横向渗透、社工钓鱼以及漏洞热补丁免疫等多个方面，强化系统免受勒索病毒攻击的能力。

4.1.1 爆破攻击防护

爆破攻击防护是要构筑起能精准识别爆破RDP、SMB、MySQL、VNC等爆破行为并能自动封禁攻击IP访问的一套软件行为防护能力。

爆破攻击防护建议从以下方面实施具体防护：1） 限制登录尝试次数。可以采用限制登录尝试次数的方法，对用户的登录尝试次数进行限制，一旦超过一定次数，就会被系统自动屏蔽，以防止暴力破解。2） 登录验证码。可以采用登录验证码的方法，在用户登录时，要求用户输入一个登录验证码，以防止暴力破解。3） 定期更换密码。可以要求用户定期更换密码，以增加系统安全性，防止暴力破解。4） IP地址限制。可以采用 IP地址限制的方法，只允许特定的 IP 地址登录系统，以防止暴力破解。5） 双因素认证。建议采用双因素认证的方法，在用户登录时，除了输入用户名和密码之外，还要求用户输入一个动态的认证码，以防止暴力破解。

4.1.2 漏洞利用防护

漏洞利用防护主要是能够支持对多种热门高危漏洞利用攻击的防御，从网络侧对攻击行为进行阻断。

漏洞利用防护可从以下五方面实施防护：1） 采取全面的网络安全措施，其中包括安装、配置和维护安全软件、安全设备、安全策略和安全管理系统，以遏制漏洞利用防护勒索病毒的攻击。2） 定期进行系统和应用程序的更新，以保护网络免受漏洞利用防护勒索病毒的攻击。3） 配置完整的安全审计系统及实施监控和及时发现网络安全事件的措施，以有效防范漏洞利用防护勒索病毒的攻击。4） 建立严格的访问控制机制及限制访问外部设备的策略，限制可能发起攻击的用户的访问权限。5） 定期培训员工，以增强其网络安全知识，及时发现和处理可能发起攻击的可疑行为。

4.1.3 横向渗透防护

横向渗透防护主要是能防止内网机器对其他机器通过远程执行风险操作、修改共享目录等方式横移的技术防护能力。

横向渗透防护建议可从以下几方面具体防护：1） 采用多层防护：在网络层面阻止勒索病毒的攻击，可以采取一些常见的措施，如安装防火墙、配置安全策略、定期更新安全补丁等，以防止未知的攻击行为。2） 进行安全审计：定期对网络系统进行安全审计，检查是否存在安全漏洞，检查服务器和网络设备的安全配置，及时发现和修复安全漏洞。3） 实施双重身份验证：采用双重身份验证机制可有效防止勒索病毒的攻击，这一机制要求用户在登录系统时，除了输入用户名和密码外，还需要通过其他方式，如短信验证码，令牌等来完成双重身份验证。4） 对远程登录和共享进行限制：禁止不必要的远程登录和共享，限制服务器和网络设备的远程登录，限制无须共享的文件、文件夹等资源。5） 建立完善的报警机制：设置网络报警系统，及时发现网络异常情况，如账号被盗取，有病毒入侵等，及时采取措施，防止勒索病毒的攻击。

4.1.4 社工钓鱼防护

社工钓鱼防护能力主要指建立对特定渠道新入样本进行监控并能基于样本来源和行为链进行风险识别的一套软件防护技术能力。

社工钓鱼防护可从以下几方面防护：1） 安装防火墙，阻止社会工程学和网络钓鱼等攻击。防火墙可以拦截未经授权的网络流量，从而保护网络安全。2） 安装杀毒软件，以便及时查找出病毒、木马或其他恶意程序。3） 使用高强度密码，确保登录信息的安全。4） 定期备份，以备突发事件时协助恢复数据。5） 使用可信的访问控制机制，确保只有授权用户才可以访问数据。6） 通过对网络中的设备进行管理，实时监测网络设备状态，及时发现潜在的安全威胁。

4.1.5 漏洞热补丁免疫

漏洞热补丁通常被认为是保护系统免受恶意攻击的好方法，它通过安装系统漏洞补丁，在不影响系统正常运行的情况下，快速、有效地修复系统中发现的安全漏洞，从而阻止勒索病毒的攻击。漏洞热补丁免疫是对如Win7等停服系统缺乏漏洞补丁或不适合安装补丁时，提供使用免疫无损的保护终端能力。其热补丁应用方法可以采取以下三种：1） 安装安全补丁。安全补丁可以修复系统中的安全漏洞，并使其不易受到勒索病毒攻击。2） 实施网络安全策略。实施网络安全策略可以有效防止勒索病毒的攻击，这些策略包括限制对网络的访问权限、屏蔽不可信IP地址、阻止未经许可的网络流量等。3） 实施基本安全措施。实施基本的安全措施也能防止勒索病毒攻击，基本安全措施主要包括定期备份数据、禁用不必要的服务、及时安装安全补丁等。

4.2 备份和恢复

备份和恢复是防范勒索病毒攻击的最佳措施之一。定期备份重要数据可以帮助受害者恢复其数据，而无须支付赎金。建议备份数据的最佳方式是将数据备份到外部存储设备或云存储中，确保备份数据与受攻击系统隔离开来。

4.3 安装安全软件

安装杀毒软件、反间谍软件和防火墙可以提高系统的安全性。这些安全软件可以检测和清除恶意软件，或者阻止恶意软件的安装。

4.4 确保操作系统和软件程序的安全性

勒索病毒常常利用操作系统和软件程序中的漏洞来感染系统。因此，定期更新操作系统和软件程序非常重要，以确保它们能够及时修复漏洞。

4.5 用户培训

鉴于勒索病毒攻擊的普遍性和严重性，实施对用户的相关培训、采取措施降低攻击风险变得非常重要。通过用户培训以识别勒索病毒攻击的迹象，是防范勒索病毒攻击的另一个重要措施。用户培训时，建议培训内容包括但不限于使用户了解勒索病毒的危害，学会识别勒索病毒的攻击途径，例如电子邮件、邮件附件、链接和未知来源的下载以及避免使用弱口令等内容。

4.6 使用加密和备份工具

使用加密和备份工具可以有效地保护数据。加密可以防止勒索病毒攻击者访问敏感数据，备份工具可以确保数据备份，以便在数据丢失或损坏时进行恢复。

4.7 建立应急响应计划

建立应急响应计划可以帮助组织在遭受勒索病毒攻击时迅速采取行动。这个计划包括：1） 安排备份和恢复的程序；2） 确定通知谁以及何时通知；3） 确定如何处理勒索病毒攻击；4） 建立联系信息，以便在紧急情况下快速联系专业人员；5） 检测和清除勒索病毒。

如果发现自己的系统已经感染勒索病毒，可以尝试使用杀毒软件或其他恢复工具来清除恶意软件。但是，如果文件已经被加密，那么恢复数据可能会非常困难，甚至无法恢复。因此，我们应该采取预防措施，而不是等到受到攻击后再采取相关防护措施。

5 结论

勒索病毒攻击是一种严重的网络安全威胁，可以对个人用户、企业等造成严重的经济损失。本文从勒索病毒的概念、危害、类型、攻击原理等方面阐述了勒索病毒的相关理论，分析了勒索病毒的攻击过程，探究了勒索病毒的防范措施，并给出了相关具体防护建议。我们应该采取多种防范措施相结合的方法，最大程度地减少勒索病毒攻击的危害，防范风险，保护敏感数据和业务的连续性。

参考文献：

[1] ADEBAYO O.Cybersecurity for Ransomware Attack： Principles and Practices[M].Advances in Cybersecurity. IGI Global，2022：1-15.

[2] SARKAR S， SHARMA P. Preventing Ransomware Attacks： Countermeasures and Best Practices[M].Advances in Cybersecurity. IGI Global， 2022： 32-45.

[3] 冯淑华.勒索病毒攻击原理及防范措施[J].安全技术， 2021（4）： 83-86.

[4] 郭瑞芳，张玉鹏，苏俊.勒索病毒攻击及其防御技术研究[J].计算机科学， 2021（3）： 84-86.

[5] KUMAR V， GUPTA M， SINGH S. A review on ransomware attacks， detection and prevention techniques[J].Computer Science Review， 2020，37：100303.

【通联编辑：代影】