勒索软件全解：防护与案例分析

什么是勒索软件？

勒索软件是一种恶意软件（恶意软件），它可能以几种不同的方式呈现，影响个人系统以及企业、医院、机场和政府机构的网络。自1989年首次记录出现以来，勒索软件不断改进，变得越来越复杂。虽然简单的格式通常是非加密勒索软件，但现代勒索软件利用加密方法来加密文件，使其无法访问。加密勒索软件也可能用于硬盘，作为完全锁定计算机操作系统的一种方式，阻止受害者访问它。最终目标是说服受害者支付解密赎金——通常要求使用难以追踪的数字货币（如比特币或其他加密货币）。然而，支付后并不能保证攻击者会兑现承诺。

在过去十年中（特别是2017年），勒索软件的流行度显著增长，作为一种以财务为动机的网络攻击，目前它是世界上最突出的恶意软件威胁——据欧盟警察局（IOCTA 2018）报告。

受害者是如何被制造的？

- 钓鱼：一种常见的社会工程形式。在勒索软件的背景下，钓鱼邮件是最常见的恶意软件传播形式之一。受害者通常通过受损的电子邮件附件或伪装成合法链接而被感染。在一个计算机网络中，一个受害者就足以危害整个组织。

- 漏洞利用工具包：由各种恶意工具和预写漏洞代码组成。这些工具包旨在利用软件应用程序和操作系统中的问题和漏洞来传播恶意软件（运行过时软件的不安全系统是最常见的目标）。

- 恶意广告：攻击者利用广告网络来传播勒索软件。

如何保护自己免受勒索软件攻击？

- 定期使用外部源备份你的文件，以便在潜在感染被清除后能够恢复它们；

- 对电子邮件附件和链接保持谨慎。避免点击来源不明的广告和网站；

- 安装可信的防病毒软件，并保持你的软件应用程序和操作系统更新；

- 在Windows设置中启用“显示文件扩展名”选项，以便你可以轻松检查文件的扩展名。避免使用如.exe .vbs 和.scr 这样的文件扩展名；

- 避免访问未通过HTTPS协议保护的网站（即以“https://”开头的URL）。然而，请记住，许多恶意网站也在实施HTTPS协议以迷惑受害者，仅凭协议并不能保证网站的合法性或安全性。

- 访问NoMoreRansom.org，这是由执法机构和IT安全公司创建的网站，致力于破坏勒索软件。该网站为受感染的用户提供免费的解密工具包以及预防建议。

勒索软件示例

GrandCrab（2018）

首次在2018年1月被发现，该勒索软件在不到一个月的时间内制造了超过50,000名受害者，随后被罗马尼亚当局与Bitdefender和欧盟警察局合作破坏（提供免费数据恢复工具包）。GrandCrab通过恶意广告和钓鱼邮件传播，是首个已知要求用DASH加密货币支付赎金的勒索软件。初始赎金从300到1500美元不等。

WannaCry（2017）

一场全球性的网络攻击，在4天内感染了超过300,000台计算机。WannaCry通过一个名为EternalBlue的漏洞传播，目标是微软Windows操作系统（受影响最多的计算机运行的是Windows 7）。由于微软发布的紧急补丁，攻击被停止。美国安全专家声称朝鲜对此次攻击负责，尽管没有提供证据。

Bad Rabbit（2017）

一种伪装成Adobe Flash更新的勒索软件，从受损的网站上下载。大多数受感染的计算机位于俄罗斯，感染依赖于手动安装一个.exe文件。当时解密的价格大约为280美元（0.05 BTC）。

Locky（2016）

通常通过电子邮件作为需要支付的发票分发，其中包含受感染的附件。2016年，好莱坞长老会医疗中心被Locky感染，并支付了40 BTC的赎金（当时为17,000美元），以重新获得医院计算机系统的访问权。