近幾年來(lái),勒索軟件相關(guān)的安全事件在全球頻繁爆發(fā),引起了大眾的重視。2017年一種名為“WannaCry”勒索病毒席卷全球近百個(gè)國(guó)家和地區(qū)。只經(jīng)過(guò)了一個(gè)周日,WannaCry 就傳播到了 150 多個(gè)國(guó)家的近 20 萬(wàn)臺(tái)電腦。2018年11月,又一起勒索事件出現(xiàn)——舊金山MUNI城市捷運(yùn)系統(tǒng)受到勒索加密勒索軟件攻擊,所有的售票站點(diǎn)都顯示出“你被攻擊了,所有數(shù)據(jù)都被加密“,攻擊者發(fā)出公告索要100比特幣,也就是70000多美元。勒索軟件影響的客戶包括中小企業(yè)的業(yè)務(wù)信息系統(tǒng),甚至包括個(gè)人終端,移動(dòng)設(shè)備。又因?yàn)樗幌褚话愎羰录?,其發(fā)起者只想訪問(wèn)數(shù)據(jù)或者獲取資源,勒索者有時(shí)既想要數(shù)據(jù),更要錢。所以近年來(lái),勒索軟件越來(lái)越得到人們的重視。
一、勒索軟件的由來(lái)
其實(shí),早在1996年美國(guó)的Young等人就第一次提出了加密病毒的概念,并命名為Cryptovirology,進(jìn)而提出通過(guò)結(jié)合加密算法和計(jì)算機(jī)病毒可以實(shí)現(xiàn)訪問(wèn)用戶關(guān)鍵數(shù)據(jù),加密用戶文件來(lái)勒索錢財(cái)?shù)哪康?,這就是勒索軟件的雛形。勒索軟件的本質(zhì)是感染計(jì)算機(jī)并限制用戶對(duì)計(jì)算機(jī)及其文件訪問(wèn)的惡意軟件。勒索軟件是通過(guò)網(wǎng)絡(luò)勒索金錢的常用方法,它是一種網(wǎng)絡(luò)攻擊行為,可以立即鎖定目標(biāo)用戶的文件、應(yīng)用程序、數(shù)據(jù)庫(kù)信息和業(yè)務(wù)系統(tǒng)相關(guān)的重要信息,直到受害者支付贖金才能通過(guò)攻擊者提供的秘鑰恢復(fù)訪問(wèn)。隨著網(wǎng)絡(luò)技術(shù)的發(fā)展,這類加密病毒不斷發(fā)展,傳播方式日益多樣,影響范圍迅速擴(kuò)大,攻擊能力逐漸增強(qiáng)。
勒索形式主要是要求被感染用戶支付贖金以解除限制,贖金形式包括真實(shí)貨幣、比特幣或其它虛擬貨幣。比特幣具有良好的匿名性,難以追蹤。同時(shí),很多勒索軟件的交易是通過(guò)暗網(wǎng)進(jìn)行的,這種網(wǎng)絡(luò)對(duì)于傳遞的信息全程加密,匿名傳遞,追溯難度非常大。
二、勒索軟件的感染途徑
勒索軟件的常見感染方式包括:垃圾郵件附件、開發(fā)套件、釣魚網(wǎng)站、惡意廣告等。勒索軟件的攻擊對(duì)象不僅是缺乏系統(tǒng)防護(hù)的個(gè)人用戶,還包括警察局、消防隊(duì)、醫(yī)院、學(xué)校、大壩、電網(wǎng)等重要的公共基礎(chǔ)設(shè)施。
三、勒索軟件的攻擊方式
勒索軟件的攻擊手段多樣,根據(jù)是否運(yùn)用加密算法來(lái)加密用戶文件,可以分為非加密型勒索軟件和加密型勒索軟件。非加密型勒索軟件不對(duì)用戶文件進(jìn)行加密。典型的非加密型勒索軟件只是對(duì)用戶主機(jī)進(jìn)行鎖屏,或者修改分區(qū)表和主引導(dǎo)記錄MBR(Master Boot Record)。加密型勒索軟件運(yùn)用加密算法對(duì)用戶文件進(jìn)行加密。根據(jù)加密文件所用的加密算法類型可以分為對(duì)稱加密勒索軟件、公鑰加密勒索軟件和混合加密勒索軟件。
勒索病毒文件一旦進(jìn)入本地,就會(huì)自動(dòng)運(yùn)行,同時(shí)刪除勒索軟件樣本,以躲避查殺和分析。勒索軟件專門以用戶文件為攻擊目標(biāo),一般通過(guò)某種嵌入式文件擴(kuò)展名列表來(lái)識(shí)別用戶文件和數(shù)據(jù)。勒索軟件還會(huì)通過(guò)編程避免影響某些系統(tǒng)目錄,以確保負(fù)載運(yùn)行結(jié)束后,系統(tǒng)仍然保持穩(wěn)定,以使客戶能夠支付贖金。勒索病毒利用本地的互聯(lián)網(wǎng)訪問(wèn)權(quán)限連接至黑客的C&C服務(wù)器,進(jìn)而上傳本機(jī)信息并下載加密私鑰與公鑰,利用私鑰和公鑰對(duì)文件進(jìn)行加密。除了病毒開發(fā)者本人,其他人是幾乎不可能解密。加密完成后,此類惡意軟件通常會(huì)自我刪除,通過(guò)修改壁紙或留下某種形式的文檔指示受害者如何支付贖金,以重新獲得對(duì)加密文件的訪問(wèn)權(quán)限。勒索軟件變種類型非常快,對(duì)常規(guī)的殺毒軟件都具有免疫性。攻擊的樣本以exe、js、wsf、vbe等類型為主,對(duì)常規(guī)依靠特征檢測(cè)的安全產(chǎn)品是一個(gè)極大的挑戰(zhàn)。
四、勒索軟件防御技術(shù)
目前針對(duì)勒索軟件的防護(hù)技術(shù),主要分為兩大類,一是根據(jù)勒索軟件行為特征進(jìn)行檢測(cè),二是通過(guò)數(shù)據(jù)備份技術(shù)進(jìn)行數(shù)據(jù)恢復(fù)。勒索軟件的檢測(cè)技術(shù)主要通過(guò)分析勒索軟件的文件系統(tǒng)的操作、網(wǎng)絡(luò)流量或加密算法等特征進(jìn)行,利用數(shù)據(jù)備份技術(shù)實(shí)現(xiàn)數(shù)據(jù)恢復(fù)主要是通過(guò)云存儲(chǔ)、日志文件系統(tǒng)或者增加本地額外存儲(chǔ)設(shè)備等方式進(jìn)行。
五、我們可以怎么做?
針對(duì)勒索軟件的防御工作,企業(yè)和個(gè)人可以做到:定期數(shù)據(jù)備份與恢復(fù),阻止惡意的初始化訪問(wèn),搭建具有容災(zāi)能力的基礎(chǔ)架構(gòu),強(qiáng)化網(wǎng)絡(luò)訪問(wèn)控制,定期進(jìn)行外部端口掃描,建立全局的外部威脅和情報(bào)感知能力,建立安全事件應(yīng)急響應(yīng)流程和預(yù)案。
作者:徐麗娟
-
應(yīng)用軟件
+關(guān)注
關(guān)注
0文章
49瀏覽量
9045 -
勒索軟件
+關(guān)注
關(guān)注
0文章
37瀏覽量
3529
發(fā)布評(píng)論請(qǐng)先 登錄
相關(guān)推薦
評(píng)論