勒索软件详解：防护与案例分析

什么是勒索软件？

勒索软件是一种恶意软件（恶意软件），它可以以几种不同的方式呈现，影响个人系统以及企业、医院、机场和政府机构的网络。自1989年首次记录出现以来，勒索软件不断改进，变得越来越复杂。虽然简单的形式通常是非加密勒索软件，但现代勒索软件利用加密方法来加密文件，使它们无法访问。加密勒索软件也可能用于硬盘，作为完全锁定计算机操作系统的一种方式，阻止受害者访问它。最终目标是说服受害者支付解密赎金——通常以难以追踪的数字货币（如比特币或其他加密货币）要求支付。然而，没有保证攻击者会兑现支付承诺。

勒索软件在过去十年中（尤其是在2017年）变得非常流行，作为一种以财务为动机的网络攻击，目前它是世界上最突出的恶意软件威胁——据欧盟警察局（IOCTA 2018）报告。

受害者是如何被制造的？

- 网络钓鱼：一种常见的社会工程形式。在勒索软件的背景下，网络钓鱼电子邮件是最常见的恶意软件传播形式之一。受害者通常通过受感染的电子邮件附件或伪装成合法链接被感染。在一组计算机网络中，一个受害者就足以危害整个组织。
- 漏洞利用工具包：由各种恶意工具和预写的漏洞代码组成。这些工具包旨在利用软件应用程序和操作系统中的问题和漏洞作为传播恶意软件的方式（运行过时软件的不安全系统是最常见的目标）。
- 恶意广告：攻击者利用广告网络传播勒索软件。

如何保护自己免受勒索软件攻击？

- 定期使用外部源备份您的文件，以便在潜在感染被清除后可以恢复它们；
- 对电子邮件附件和链接要谨慎。避免点击来源不明的广告和网站；
- 安装值得信赖的防病毒软件，并保持您的软件应用程序和操作系统更新；
- 在Windows设置中启用“显示文件扩展名”选项，以便您可以轻松检查文件的扩展名。避免使用.exe .vbs和.scr等文件扩展名；
- 避免访问未通过HTTPS协议保护的网站（即以“https://”开头的URL）。然而，请记住，许多恶意网站也在实施HTTPS协议以迷惑受害者，仅凭协议并不能保证网站是合法或安全的。
- 访问NoMoreRansom.org，这是由执法部门和IT安全公司创建的网站，旨在破坏勒索软件。该网站为受感染的用户提供免费解密工具包以及预防建议。

勒索软件示例

GrandCrab（2018）

首次在2018年1月被发现，该勒索软件在不到一个月的时间内就制造了超过50,000名受害者，随后被罗马尼亚当局与Bitdefender和欧盟警察局合作中断（提供免费数据恢复工具包）。GrandCrab通过恶意广告和网络钓鱼电子邮件传播，是首个已知要求以DASH加密货币支付赎金的勒索软件。初始赎金从300到1500美元不等。

WannaCry（2017）

一场全球性的网络攻击，在4天内感染了超过300,000台计算机。WannaCry通过称为EternalBlue的漏洞传播，针对微软Windows操作系统（受影响最多的计算机运行的是Windows 7）。这次攻击由于微软发布的紧急补丁而被停止。美国安全专家声称朝鲜应对这次攻击负责，尽管没有提供证据。

Bad Rabbit（2017）

一种作为假的Adobe Flash更新传播的勒索软件，该更新是从受损的网站下载的。大多数受感染的计算机位于俄罗斯，感染依赖于手动安装.exe文件。当时的解密价格约为280美元（当时为0.05 BTC）。

Locky（2016）

通常通过电子邮件作为需要支付的发票分发，其中包含受感染的附件。2016年，好莱坞长老会医疗中心被Locky感染，并支付了40 BTC赎金（当时为17,000美元），以重新获得对医院计算机系统的访问权。