勒索病毒“漫谈”（上篇）

勒索病毒（Ransomware），又称勒索软件，是一种特殊的恶意软件，又被人归类为“阻断访问式攻击”（denial-of-access attack）。其作为一种新型电脑病毒，主要以邮件、程序木马、网页挂马的形式进行传播，通过恐吓、绑架用户文件或破坏用户计算机等方式，向用户勒索钱财。

勒索病毒与其他病毒最大的区别在于攻击手法和中毒方式。部分勒索病毒仅是单纯地将受害者的电脑锁起来，而也有部分勒索病毒会系统性地加密受害者硬盘上的文件。所有的勒索病毒都会要求受害者缴纳赎金以取回对电脑、硬盘的控制权，或是取回受害者根本无法自行获取的解密密钥。由此可见，该病毒性质恶劣、危害极大，一旦感染将给用户带来无法估量的损失。

背后巨大利益驱动

2017年4月中旬，“永恒之蓝”攻击工具在网络盛传，5月不法分子通过改造此工具制作了WannaCry勒索病毒，一时间全球众多医院、高校、企业、政府及个人PC接连不断中招，受害者被要求支付高额赎金才可解密恢复文件，这是勒索病毒第一次以如此“大规模”的方式渗透进各类网络。2017年12月13日，“勒索病毒”入选国家语言资源监测与研究中心发布的“2017年度中国媒体十大新词语”。由于近些年来数字加密币的流行，勒索病毒感染正处于愈演愈烈的态势。

2018年3月，国家互联网应急中心通过自主监测和样本交换形式共发现23个锁屏勒索类恶意程序变种。该类病毒通过对用户手机锁屏，勒索用户付费解锁，对用户财产和手机安全均造成严重威胁。从2018年初到9月中旬，勒索病毒总计对超过200万台终端发起过攻击，攻击次数高达1700万余次，且整体呈上升趋势。

事实上，WannaCry不是第一个在国内出现的勒索病毒。早期的勒索病毒通常是通过钓鱼邮件、社工等方式传播，通常传播规模量比较小，随着2017年NSA方程式工具泄露，“永恒之蓝”工具被大量利用，勒索病毒开始爆发式增长。

据不完全统计，2020年，全球因勒索病毒造成的总损失高达25万亿美元，高额的收益让更多的犯罪者趋之若鹜，而以往诸如GandCrab勒索病毒，不仅高调宣布仅仅一年就获得超过20亿美元的赎金，并且已成功兑现。诸如此类事件的推波助澜，加剧了勒索事件的爆发。

根据《2022年年中网络威胁报告》显示，仅2022年1-6月全球就记录了2.361亿次勒索软件攻击，还有报告称，80%的网络安全领导者认为勒索软件是对公共安全的重大威胁，并预测勒索软件损害将从2015年的3.25亿美元增长至2031年的2650亿美元。

如何防御勒索病毒

面对勒索病毒攻击，我们首先想到使用勒索病毒防御系统，对已发生过勒索攻击的网络进行识别、定位感染源，并预防勒索病毒攻击的再次发生。这样的方式当然是十分有效的，尤其是使用国联易安自主研发的——勒索病毒防御系统防御效果尤为明显。

不过，除此之外，我们还可以通过另一种技术对勒索病毒攻击进行间接防御，那就是能够扫描识别漏洞，进而打补丁或调整策略修补漏洞，从根源上解决勒索病毒侵害——统一脆弱性管理平台。其平台主要功能：

多租户管理。不同租户间能设置符合各租户自身特点的漏洞扫描策略，并只能查看当前租户的漏洞分别情况；平台管理员能进行全局统一系统脆弱性管理和监控。

网络空间资产探测。遍历资产空间实现全网资产发现，识别网络环境中的存活主机、网络设备、数据库等相关设备及属性，自动生成网络拓扑，支持资产导出、导入以及资产数据的人工修正。

漏洞扫描。系统涵盖了空间资产探测、系统漏洞扫描、虚拟机漏洞扫描、Web漏洞扫描、数据库安全扫描、安全基线核查、工控漏洞扫描、WiFi安全检测、App安全扫描、大数据平台漏洞扫描、等保合规关联等漏洞扫描功能。

Windows安全加固。支持针对Windows操作系统的配置、网络、接入、日志、防护等方面的自动和手动安全加固。加固内容包括：配置管理（主机配置、用户策略、身份鉴别、补丁管理、软件管理），网络管理（服务端口、防火墙管理），接入管理（外设管理、自动播放、远程登录、无线网卡），日志审计，恶意代码防范（数据保护、防病毒软件）等。

报表关联。系统采用报表和图形的形式对扫描结果进行分析，可以预定义、自定义和多角度多层次的分析扫描结果。提供完善的漏洞风险级别、漏洞类别、漏洞描述、漏洞类型、漏洞解决办法。

分布式漏洞管理。全网分布式管理功能，系统支持分布式管理功能，系统能够向下级引擎下达扫描任务，接收下级引擎上传的扫描结果，进行统一分析，生成整体扫描报告。

一键升级。利用程序内置的产品升级模块，可以通过网络或者本地数据包，对漏洞库、软件进行在线升级、本地升级、定时升级。

魔高一尺，道高一丈

随着网络技术的快速发展和我们对所面临问题理解程度的日益加深，网络和信息安全已是当今众多互联网领域的突出问题之一。在众多网络和信息安全风险中，居首位者当属网络攻击。无论是个人还是组织机构，都随时可能成为网络攻击的对象，而每年网络犯罪所带来的经济损失也与日俱增。综合以往，我们从攻击对象和利益最大化的角度来看，影响最大也最恶劣的当属勒索病毒攻击。

国联易安统一系统脆弱性管理平台是由国联易安安全研究团队自主研发设计的新一代漏洞扫描管理系统，涵盖了网络空间资产探测、系统漏洞扫描、虚拟机漏洞扫描、Web漏洞扫描、网站安全监测、数据库安全扫描、安全基线核查、工控漏洞扫描、WiFi安全检测、App安全扫描、大数据平台漏洞扫描、Windows安全加固、等保合规关联、分布式管理等功能。能全面、精准地检测信息系统中存在的各种脆弱性问题，提供专业、有效的漏洞分析和修补建议。并结合可信的漏洞管理流程对漏洞进行预警、扫描、修复、审计。

“勒索病毒攻击愈演愈烈。无论是个人还是组织机构都随时有可能沦为下一个受害者。同时，随着政企数字化转型的推进，供应链安全风险日益严峻，勒索攻击手法持续进化，多重勒索成为常态，勒索攻击安全威胁将有恃无恐、有增无减。”国联易安总经理门嘉平博士表示。

关于国联易安

北京国联易安信息技术有限公司(原北京智恒联盟科技有限公司)简称“国联易安”，成立于2006年，拥有“国联易安”和“智恒联盟”两个品牌，是国内专注于保密与非密领域的分级保护、等级保护、业务连续性安全和大数据安全产品解决方案与相关技术研究开发的领军企业。公司多项安全技术补了国内技术空白，并且在政府、金融、保密、电信运营商、军队军工、大中型企业、能源、教育、医疗电商等领域得到广泛应用。

国联易安除研发生产专业安全产品外，还为客户提供全面的检测与防护方案专家咨询、源代码安全评估、安全运维值守、智能终端安全评估、安全渗透测试、专业安全培训等专业安全服务。

审核编辑 黄宇