在网络黑客的众多牟利手段当中，勒索软件可能是最普遍的一种。这种恶意软件通常会通过受感染的邮件附件， 被篡改的网站或网页广告散布。勒索软件会对用户电脑上的文件进行加密，除非受害者交付特定数额的赎金，否则受影响的文件将会一直处于不可用的状态。

网络罪犯正通过勒索软件获取数百万美元的不法收入。根据一些网络安全专家的预计和分析，勒索软件的威胁在未来数年之内都难以平息。最近已经有多家机构遭到了严重的勒索软件攻击，其中包括马萨诸塞州的一座警察局，俄勒冈州的一座教堂， 南加州地区的几所学校，还有位于加州和肯塔基州的多家医疗中心， 其中一家医院最终向勒索者支付了 40 比特币（约合 17000 美元）的赎金。

虽然新闻媒体甚少报道针对个人的勒索软件攻击，但是美国联邦调查局(FBI)在 2015 年就收到了2500 份与勒索软件攻击相关的投诉，这些个案涉及约2400 万美元的经济损失。在大多数情况下，受害者只能选择向攻击者支付赎金，甚至连 FBI 也会建议受害者支付赎金。传统的方法和工具已经不足以应对勒索软件病毒的快速发展，我们需要采用新的方法来检测和抵挡勒索软件造成的严重影响。

在介绍应对勒索软件的这三种方式之前，先科普下几个基本概念：什么是勒索软件？传播手段及表现形式有哪些？以及勒索软件的分类？

1. 何谓勒索软件

勒索软件（Ransomware）是一种流行的木马，通过骚扰、恐吓甚至采用绑架用户文件等方式，使用户数据资产或计算资源无法正常使用，并以此为条件向用户勒索钱财。这类用户数据资产包括文档、邮件、数据库、源代码、图片、压缩文件等多种文件。赎金形式包括真实货币、比特币或其它虚拟货币。一般来说，勒索软件作者还会设定一个支付时限，有时赎金数目也会随着时间的推移而上涨。有时，即使用户支付了赎金，最终也还是无法正常使用系统，无法还原被加密的文件。

2. 主要传播手段

勒索软件的传播手段与常见的木马非常相似，主要包括以下几种：

借助网页木马传播，当用户不小心访问恶意网站时，勒索软件会被浏览器自动下载并在后台运行；
与其他恶意软件捆绑发布；
作为电子邮件附件传播；
借助可移动存储介质传播。

3. 主要表现形式

一旦用户受到勒索软件的感染，表现形式通常包括以下几种：

锁定计算机或移动终端屏幕；
借杀毒软件之名，假称在用户系统发现了安全威胁，令用户感到恐慌，从而购买所谓的“杀毒软件”；
计算机屏幕弹出如下图所示的提示消息，称用户文件被加密，要求支付赎金。

4. 勒索软件的分类

根据勒索软件所使用的勒索方式，其主要分为以下三类：

1）影响用户系统的正常使用的勒索软件

比如PC Cyborg、QiaoZhaz（Trojan/Win32.QiaoZhaz）等，其会采用锁定系统屏幕等方式，迫使系统用户付款，以换取对系统正常使用的权限。

2）恐吓用户的勒索软件

比如FakeAV（Trojan[Ransom]/Win32.FakeAV）等，会伪装成反病毒软件，谎称在用户的系统中发现病毒，诱骗用户付款购买其“反病毒软件”。又如Reveton（Trojan[Ransom]/Win32.Foreign），会根据用户所处地域不同而伪装成用户所在地的执法机构，声称用户触犯法律，迫使用户支付赎金。

3）绑架用户数据的勒索软件

这是近期比较常见的一种勒索方式，最典型的是CTB-Locker家族（Trojan[Ransom]/Win32.CTBLocker），其采用高强度的加密算法对用户文档进行加密，只有在用户支付赎金后，才提供解密文档的方法。

5. 勒索软件的3大应对之策

1）评估你的技术控制。综合的技术控制评估可以帮助贵公司回答一系列至关重要的问题。例如，我们最重要的数据位于何处？我们是否具有哪些文件的可视权或何时可以进行访问？我们是否知道具有哪些权限和特权用户？以及这些信息是否被送到一个集中的日志记录和监控系统中？

一份好的评估技术控制指南是保证全面内网安全必不可少的步骤，其中包括审计授权和未授权的设备，授权和未授权的软件以及评估你的各项安全配置等。

除了强化各类技术层面的安全控管体系建设外，也还需教育用户要多多留心，不要轻易下载、接收和开启陌生的文件及附件；使用更新了的杀毒软件来帮助识别和阻止已知的勒索软件；养成良好的安全上网行为，使用知名的安全浏览器帮助过滤掉部分不良网站等等信息安全方面的基础知识和理念。

2）强化安全应急响应管理。一旦前期的技术控制评估效果良好，接下来就需要在事件应急响应和数据恢复方面下功夫了。这时候你需要询问你的IT和网络安全管理员一些尖锐的问题，如谁是组织事件响应的负责人？更具体的说，是谁负责第一时间的响应行动？每个人分别负责哪个方面的工作？是否具有标准化的应急处理流程，尤其是处理勒索软件攻击？需要花费多长时间才能恢复在勒索软件攻击中受损的备份文件？

除了明确应急响应的负责人外，更重要的是确保你的公司有能力来恢复受损的数据和文件。在此过程中建立在线数据备份及恢复系统就显得尤为重要，以便防范万一，保障核心业务数据的安全，防范被勒索软件恶意更改。同时还需要教育用户将重要文件进行备份，以便在文件遭到损毁后能够立即恢复，使用一次性只写光盘或备份至企业云端网盘都是不错的选择。

虽然，目前有很多企业会选择备份他们的数据，但是却很少会测试这些数据备份工作是否有效。所以对数据备份和恢复系统进行测试可是必不可少的环节之一。

3）模拟攻击。现在就可以采取行动进行模拟测试了，毕竟不通过实际的攻击测试，你也不清楚究竟要从哪些方面进行准备。事实上，很多企业都不知道会发生什么，知道他们自身遭遇了真实的勒索软件攻击。

你可以在可控的环境中模拟勒索软件攻击，如此一来，以后面对真实的攻击进行的防御才是最有效的。目前市场上有很多类型的开源仿真软件可用，你可以进行考察，选择最适合自己的工具。

从桌面演习开始，行动者需要确定详细的攻击计划，包括采取什么方式、如何完成所有进攻步骤、确定责任方，最后在行动小组内展开模拟攻击。你可以在你的安全或IT团队内部组织行动小组，也可以找一个合格的第三方供应商合作。模拟攻击完成后，你就会知道需要加强哪些方面的安全防御。

但是，需要记住的是，勒索软件是不断变化的，而且可以有很多种变种。所以你需要知道自己在做什么，时刻做好准备，测试每一种可能发生的场景，以确保为你的企业寻找到最合适的防御方式，那么即使攻击发生，你的企业也能迅速从攻击中复原，最大限度的降低攻击带来的影响。

小结

网络犯罪是一桩以盈利为主导的生意，可以产生数十亿的收入。与大多数生意一样，网络罪犯有很高的积极性来寻找生财之道。他们使用诡计、勒索、攻击、威胁、以及诱惑等手段来访问您的关键数据与资源。

勒索软件并不是新鲜事物。但是其最近手段更加老练、传播方式更加隐蔽，表明其越发倾向于以意想不到的全新方式盘剥在线运行的个人与单位。

相比以往任何时候，安全不是为您的业务添加的某种工作。安全与业务经营是一个整体。确保您的合作伙伴是安全专家，懂得安全不仅仅是设备。安全是高度融合与协同的技术体系，结合了有效的策略与贯穿生命周期的准备、防护、检测、响应、以及学习方法。

安全解决方案需要共享威胁情报，以便在您的分布式环境中有效地检测威胁并作出响应；安全措施需要融入您的网络结构才能为您网络环境的演进和扩展提供无缝保护；安全措施必须能够动态适应新发现的威胁；而且安全措施绝不能妨碍您的经营活动和经营方式。