算法算法、信息與信息對話反病毒廠商 勒索軟件應(yīng)對策略

算法算法、信息與信息對話反病毒廠商勒索軟件應(yīng)對策略

毫無疑問，大多數(shù)安全制造商都是考慮欺詐軟件的認(rèn)知和預(yù)防。我刊采訪了國內(nèi)外多家知名反病毒安全廠商,聽取他們對勒索軟件的最新分析、趨勢判斷、防范建議等。受訪者:360公司首席安全官譚曉生■您認(rèn)為惡意軟件近年來呈現(xiàn)一個怎樣的發(fā)展態(tài)勢?譚曉生:惡意軟件范圍非常廣,包括廣告軟件、間諜軟件都叫惡意軟件,但勒索軟件我認(rèn)為在未來幾年會變成一個非常熱門的話題。早期的電腦病毒制作者目的就是為了出名,有些是黑客的炫技,以傳播量來看一個病毒的效果如何。后來電腦病毒里逐漸開始有一些破壞性代碼,破壞硬盤數(shù)據(jù),甚至像CIH那種破壞電腦硬件。沖擊波和震蕩波也是影響比較大的病毒,導(dǎo)致電腦不斷重啟。在2006年,互聯(lián)網(wǎng)已經(jīng)可以通過廣告盈利,大量的廣告軟件和間諜軟件開始出現(xiàn),有的甚至是正規(guī)公司做的,360把這些軟件叫“惡意軟件”而招來了官司,后來我們就換種說法,叫作“惡評軟件”,以網(wǎng)民的評價來做定義。接著是木馬的流行,和前面病毒類的惡意軟件情況不同,木馬并不以量取勝,它的目的非常明確:盜號木馬、網(wǎng)銀木馬之類,就是要偷數(shù)字信息或者金錢,木馬送出去就是要完成它的任務(wù)。2015-2016年勒索軟件發(fā)展特別快,必須引起足夠的重視?，F(xiàn)在勒索軟件在制作、傳播、獲利等環(huán)節(jié)已形成了完整的黑色產(chǎn)業(yè)鏈,成為一種非常完美的商業(yè)模式?！隼账鬈浖窃鯓影l(fā)展到今天這個形態(tài)的?譚曉生:勒索軟件是通過對用戶數(shù)據(jù)文件加密、系統(tǒng)加鎖等方式使用戶文件或系統(tǒng)資源無法正常使用,進(jìn)而向用戶實(shí)施勒索的惡意軟件。常用手段包括加密文件、修改系統(tǒng)密碼、鎖屏等。其特點(diǎn)既不同于病毒是單純的破壞,也不同于常見的木馬是盜取用戶數(shù)據(jù),而是在加密用戶資源后直接向用戶勒索錢財——獲利方式更加直接,也更加容易。勒索軟件發(fā)展至今,從最開始的鎖屏,系統(tǒng)密碼修改,后逐步演變?yōu)榉菍ΨQ加密結(jié)合對稱加密的多層加密體系,加密方案越來越完善。發(fā)展中也出現(xiàn)了一些如petya這類加密MBR的更加暴力的方式,并開始使用系統(tǒng)漏洞,各類提權(quán)繞過方案,技術(shù)方式上更加多樣。傳播形式上由之前釣魚郵件傳播,發(fā)展為掛馬,惡意下載器,各類偽裝捆綁傳播,更有甚者甚至開始鼓勵受害者進(jìn)行傳播,傳播方式可謂五花八門。一步步發(fā)展至今,勒索軟件其實(shí)就是在不斷地完善它的勒索方案傳播手段等,以達(dá)到使自己能夠通過敲詐勒索獲取更多利益的目的?！鰹槭裁凑f勒索軟件是一種完美的商業(yè)模式?譚曉生:現(xiàn)在人們的信息基本都是數(shù)字化,數(shù)據(jù)已經(jīng)成為個人乃至企業(yè)最重要的資產(chǎn)。但多數(shù)人對數(shù)據(jù)備份不重視,或者做不好,一旦中了勒索軟件如同現(xiàn)實(shí)中被人綁架了一樣,而現(xiàn)在勒索軟件用的密碼算法,如果拿不到密鑰,基本上很難破解。受害人為了數(shù)據(jù)安全往往只能妥協(xié),破財消災(zāi)。最早的勒索軟件在十多年前就已經(jīng)存在,當(dāng)時的勒索軟件主要是強(qiáng)迫用戶購買特定商品,或者向指定賬戶匯款,此類勒索軟件并未大規(guī)模流行爆發(fā)。但最近幾年比特幣為代表的匿名支付的興起,新興的勒索軟件開始大量出現(xiàn),究其原因有下面幾點(diǎn):高收益,勒索軟件具備了可以短時間大面積犯罪的可能性,在網(wǎng)絡(luò)上通過大范圍傳播,同時攻擊大量的對象。而攻擊成功后所索要的金錢,也不像現(xiàn)實(shí)中那么金額巨大,難以支付,一般勒索1~3個比特幣,一單有一到兩萬元的收益,被勒索的對象選擇給錢的概率就很大。這就給攻擊者帶來了巨大的利益,也使更多攻擊者參與進(jìn)來。低門檻,勒索軟件使用的加密,通信,支付技術(shù)都是目前比較成熟的技術(shù)手段,網(wǎng)上有大量公開的源碼和教程,制作難度低,造成很多人可以制作此類惡意軟件。追蹤難度大,此類惡意軟件通常使用掛馬,垃圾郵件傳播,以比特幣作為支付手段,解密服務(wù)器也都位于暗網(wǎng)很難進(jìn)行有效追蹤。這也降低了攻擊者自身的風(fēng)險。產(chǎn)業(yè)鏈成熟,隨著互聯(lián)網(wǎng)發(fā)展,惡意軟件傳播的產(chǎn)業(yè)鏈也逐漸成熟,從惡意軟件的制作,傳播,維護(hù),收款都有專門的從業(yè)者,分工明確。很多參與者無需具備太高的技術(shù)或者資源,也能夠參與其中獲取利益。勒索軟件已經(jīng)成為惡意軟件的一大熱點(diǎn),它雖然在傳播量上并不占優(yōu)勢,但其危害嚴(yán)重,動輒造成企業(yè)癱瘓,企業(yè)個人的重要數(shù)據(jù)丟失,而市面上的很多安全防護(hù)系統(tǒng)還不具備對其完善的攔截能力?！鋈绻f勒索軟件一旦中招往往就只能破財消災(zāi),那么我們該如何防范?企業(yè)該如何應(yīng)對?譚曉生:隨著信息化程度的不斷提升,企業(yè)機(jī)構(gòu)政府部門等對信息系統(tǒng)的依賴程度也越來越高,而勒索軟件的主要危害就是破壞信息系統(tǒng)。一旦病毒入侵,將造成重要數(shù)據(jù)損壞,或致使系統(tǒng)無法正常運(yùn)行,如果已被感染的設(shè)備連接了企業(yè)的共享存儲,那么共享存儲中的文件也可能會被加密,企業(yè)因此面臨的經(jīng)濟(jì)損失將十分沉重。相比其它惡意程序,勒索軟件攻擊主要集中在企業(yè)的數(shù)據(jù)資源,企業(yè)的各類生產(chǎn)經(jīng)營活動均依賴于此。對數(shù)據(jù)的安全威脅,輕則生產(chǎn)受到影響,造成經(jīng)濟(jì)損失,重則經(jīng)營無法繼續(xù)。之前各類惡意程序?qū)ζ髽I(yè)的攻擊也時有發(fā)生,但均沒有勒索軟件如此高的重視程度,被稱為企業(yè)的噩夢,甚至已經(jīng)有企業(yè)在囤積比特幣以應(yīng)對此類攻擊造成的損失。因此,企業(yè)用戶往往會更加積極尋求解決辦法,特別是更加積極向?qū)I(yè)安全廠商尋求幫助。目前大多數(shù)企業(yè)自身并沒有專業(yè)的安全防護(hù)體系。從技術(shù)上來看,企業(yè)的IT部門缺乏處理數(shù)據(jù)安全的經(jīng)驗(yàn)及能力;從人員上來看,企業(yè)IT從業(yè)者的主要工作是維護(hù)網(wǎng)站、系統(tǒng)的基礎(chǔ)運(yùn)維,而非專業(yè)的安全防御;從制度上來看,企業(yè)對于網(wǎng)絡(luò)安全的關(guān)注度不高,對于相關(guān)設(shè)施的投入力度也不足。因此,企業(yè)想要有效地對抗勒索軟件,需要與專業(yè)的安全機(jī)構(gòu)合作。勒索軟件關(guān)鍵在預(yù)防,惡意代碼一出現(xiàn)就能識別出來它是勒索軟件,從軟件執(zhí)行運(yùn)行的異常行為判斷出它是勒索軟件,在它試圖對文檔加密時斬斷它的行為,這些是預(yù)防的要點(diǎn)。在和勒索軟件斗爭上,要拼反應(yīng)速度,一款勒索軟件或者它的最新變種出來,我能夠最快地檢測出來它是勒索軟件,然后全網(wǎng)進(jìn)行攔截,這個是最起作用的。一個勒索軟件網(wǎng)上的生命周期特別短,它就傳播不起來。無論是企業(yè)還是個人,都應(yīng)做到:1.勒索軟件和惡意軟件的發(fā)展趨勢2.操作系統(tǒng)和IE、Flash等常用軟件應(yīng)及時打好補(bǔ)丁,以免病毒利用漏洞實(shí)現(xiàn)掛馬攻擊;3.加強(qiáng)管理培訓(xùn),普及基礎(chǔ)安全知識,如不輕易打開陌生人發(fā)來的可疑文件及郵件附件等;4.擇一款可靠的安全防護(hù)軟件,360安全衛(wèi)士及360天擎的主動防御及云查殺技術(shù)可以有效攔截各類敲詐者病毒及變種,第一時間攔截病毒入侵?！鰢鴥?nèi)的惡意軟件乃至勒索軟件有何本地化特點(diǎn)?原因是什么?譚曉生:與國外惡意軟件相比,國內(nèi)的惡意軟件更注重獲利,所以往往是做什么獲利高就做什么,而并不拘泥于惡意軟件的形式。所以國內(nèi)惡意程序中,廣告推廣程序一類比較灰色的軟件占比會更大——就是因?yàn)楂@利較為方便。至于勒索軟件,國內(nèi)最開始大規(guī)模流行的文件加密型勒索軟件是由國外流入的,受影響的主要是外貿(mào)從業(yè)人員和相關(guān)企業(yè)。攻擊者發(fā)現(xiàn)能從國內(nèi)賺到錢之后,開始出現(xiàn)專門針對國內(nèi)傳播的勒索軟件,之后由于這類惡意軟件的知名度提高,帶動了一批國內(nèi)的黑產(chǎn)人員加入到勒索軟件的制作和傳播中。國外勒索軟件最常偽裝成色情視頻、AdobeFlashPlayer和系統(tǒng)軟件更新這類軟件。而國內(nèi)勒索類軟件最常偽裝成神器、外掛及各種刷鉆、刷贊、刷人氣的軟件,這類軟件往往利用了人與人之間互相攀比的虛榮心和僥幸心理。但由于勒索軟件為了避免被追查,通常要求受害人使用比特幣支付贖金,而國內(nèi)比特幣的普及度并不高,大家對比特幣的購買和支付方法大多并不熟悉,造成一批有支付意愿的受害者無法支付。由此催生了一些頗具國內(nèi)特色的小眾勒索軟件,其加密方法往往停留在對稱加密甚至文件隱藏等低技術(shù)手段,而勒索形式也更加親民化——充Q幣甚至是微信轉(zhuǎn)賬都可以。這樣做主要是為了獲利變現(xiàn)更加直接和方便,成功率也更高。國內(nèi)發(fā)展的勒索軟件還存在一些聯(lián)系不到攻擊者,或者支付贖金之后無法正常解密的情況,這也與國內(nèi)的信用環(huán)境有關(guān)。■未來勒索軟件和惡意軟件發(fā)展趨勢如何?譚曉生:勒索軟件首先會向移動端發(fā)展,鎖屏、加密手機(jī)里的照片和信息。根據(jù)360烽火團(tuán)隊(duì)發(fā)布的《ANDROID勒索軟件研究報告》,整個產(chǎn)業(yè)鏈?zhǔn)找婵蛇_(dá)千萬元級別。此外勒索軟件有向工控系統(tǒng)發(fā)展的趨勢,如果把一個生產(chǎn)線給鎖住了,企業(yè)迫于壓力,很大可能會選擇付出金錢,這是勒索軟件制作者可以看到的場景。惡意軟件不論如何發(fā)展,手段不外乎以下幾點(diǎn):第一是偷信息,第二是做破壞,第三讓服務(wù)不可用。總體來說,現(xiàn)在的惡意軟件越來越成為一種商業(yè)模式,不法分子通過信息安全的手段來牟利,不管是偷竊大量個人信息,還是針對金融系統(tǒng)的定向攻擊,惡意軟件和黑色產(chǎn)業(yè)鏈會結(jié)合的越來越緊密。賽門鐵克受訪者:賽門鐵克公司大中華區(qū)首席運(yùn)營官羅少輝■根據(jù)賽門鐵克近年來的觀察,勒索軟件近幾年呈現(xiàn)高發(fā)態(tài)勢的原因是什么?為什么它會成為惡意軟件中的熱點(diǎn)?請列出相關(guān)報告數(shù)據(jù)。羅少輝:賽門鐵克《勒索軟件與企業(yè)2016》調(diào)查報告中指出,勒索軟件已經(jīng)成為當(dāng)今企業(yè)和消費(fèi)者面臨的最大網(wǎng)絡(luò)安全威脅之一。在2015年,賽門鐵克共發(fā)現(xiàn)100種新型勒索軟件,創(chuàng)下歷史新高。在2015年10月至11月,全球勒索軟件感染數(shù)量激增至15萬,然后逐漸減少;在2016年3月,全球勒索軟件感染數(shù)量再次超過12萬。在2016年,勒索軟件的平均贖金比2015年增長超過2倍,平均贖金達(dá)到679美元。從攻擊者的角度來講,促使勒索軟件增長的主要因素有四點(diǎn):第一,攻擊者能夠相對容易地實(shí)現(xiàn)文件加密;第二,越來越多的攻擊者采用垃圾郵件和攻擊工具包等有效載體進(jìn)行勒索軟件感染。賽門鐵克《互聯(lián)網(wǎng)安全威脅報告》第21期中曾提到,攻擊工具包變得越發(fā)先進(jìn),很多工具包中會含有最新勒索軟件家族以及其變種感染工具。不僅如此,攻擊者還會采用不同的方法發(fā)動攻擊,很多工具包中含有專用于發(fā)現(xiàn)用戶系統(tǒng)中所存在的Adobe或者IE等漏洞,之后攻擊者便會利用所發(fā)現(xiàn)的漏洞,將勒索軟件植入到用戶終端實(shí)施攻擊。第三,部分攻擊者會采用APT等高級攻擊手段對重要目標(biāo)進(jìn)行攻擊,以確保能夠成功侵入目標(biāo)企業(yè)的網(wǎng)絡(luò)。第四,勒索軟件攻擊已形成“勒索軟件即服務(wù)”模式,黑客會將從黑市中獲取的鏈接和論壇中分享的勒索程序相關(guān)服務(wù)發(fā)布到云中,從而擴(kuò)大勒索程序的傳播面積。攻擊者選擇勒索軟件為主要手段的原因有三點(diǎn):第一,黑客發(fā)現(xiàn)使用勒索軟件進(jìn)行攻擊具有高回報率,能夠輕松獲得較好的金錢利潤。第二,企業(yè)遭遇勒索后,由于擔(dān)心數(shù)據(jù)受到損害,受害企業(yè)通常會具有較為急迫的心態(tài),希望通過交付贖金盡快贖回企業(yè)信息。第三,黑客不僅對PC,筆記本電腦等一般終端實(shí)施攻擊,更是對企業(yè)的服務(wù)器端進(jìn)行攻擊。因此,企業(yè)如果感染勒索軟件文件,文件服務(wù)器中的內(nèi)容也會面臨加密風(fēng)險。■我們該如何認(rèn)識勒索軟件?它的主要特點(diǎn)是什么?是怎樣發(fā)展到今天這個形態(tài)的?羅少輝:在26年前,勒索軟件這一概念便已出現(xiàn),首次被記載的勒索軟件是1989年的AIDSTrojan。該威脅由5誤導(dǎo)應(yīng)用流行于2005年,這種軟件向受害者報告虛假的電腦問題,要求他們支付購買軟件的許可,以對電腦進(jìn)行修復(fù)?；谡`導(dǎo)應(yīng)用的欺詐手段,FakeAV在2008年和2009年開始流行。這種惡意軟件通過欺騙消費(fèi)者其電腦受到了惡意軟件的入侵,透過購買(虛假)服務(wù),將真正的病毒安裝至用戶電腦中。在2011年和2012年之間,鎖定勒索軟件(LockerRansomware)開始大行其道。攻擊者通過勒索軟件鎖定用戶的電子設(shè)備屏幕,使其無法正常使用,并要求用戶通過付費(fèi)解鎖。但從2013年開始至今,加密勒索軟件(CryptoRansomware)呈現(xiàn)出飛快地增長趨勢。加密勒索軟件將用戶設(shè)備中的重要文件進(jìn)行加密,并要求用戶付費(fèi)解密。許多用戶由于數(shù)據(jù)的珍貴性,會選擇交付贖金,但有時用戶即使交付贖金也未必能夠拿回這些數(shù)據(jù)?，F(xiàn)在,在被發(fā)現(xiàn)的新型勒索軟件中,大多數(shù)為性質(zhì)更加惡劣的“加密勒索軟件”,通過強(qiáng)效加密鎖定受害目標(biāo)的文件。在過去的十多年里,勒索軟件不斷演變——從誤導(dǎo)性應(yīng)用到偽裝殺毒軟件,到后期的鎖定勒索軟件和加密勒索軟件。隨著可穿戴設(shè)備和物聯(lián)網(wǎng)等可連接設(shè)備的快速普及,賽門鐵克發(fā)現(xiàn),勒索軟件已經(jīng)從PC輕松發(fā)展至手機(jī)、平板等移動設(shè)備,甚至可以感染可穿戴設(shè)備,例如智能手表等。值得提出的是,隨著微信、支付寶以及比特幣等多種付款方式的出現(xiàn),執(zhí)法部門現(xiàn)在更加難以追蹤攻擊者身份,這也是勒索軟件頻頻發(fā)生的原因之一。攻擊者能夠輕松加密用戶數(shù)據(jù),并拿到贖金,同時不會暴露身份。■相比其他的惡意程序,勒索軟件給企業(yè)帶來的危害是否更嚴(yán)重?您認(rèn)為未來還會出現(xiàn)哪些變化?羅少輝:賽門鐵克《勒索軟件與企業(yè)2016》調(diào)查報告中指出,個人消費(fèi)者仍然是勒索軟件的主要攻擊目標(biāo)(57%)。但長期趨勢表明,以企業(yè)為攻擊目標(biāo)的勒索軟件正在緩慢且穩(wěn)步地增長。如果企業(yè)遭遇勒索軟件攻擊,所面臨的危害不僅是巨額的勒索贖金,甚至是運(yùn)營活動的全面停止,所造成的潛在損失將不可預(yù)計,以及導(dǎo)致企業(yè)名譽(yù)受到嚴(yán)重影響等。賽門鐵克安全團(tuán)隊(duì)發(fā)現(xiàn),在針對企業(yè)的攻擊中,攻擊者往往擁有高級專業(yè)知識,能夠利用攻擊工具包侵入企業(yè)網(wǎng)絡(luò)。通過使用多種公開的黑客工具,網(wǎng)絡(luò)攻擊者能夠看到企業(yè)的網(wǎng)絡(luò)結(jié)構(gòu),并使用勒索軟件變種盡可能多的感染企業(yè)內(nèi)的計算機(jī)。勒索軟件的發(fā)展也呈現(xiàn)出新特點(diǎn)。過去,勒索軟件通過郵件感染終端入侵企業(yè)網(wǎng)絡(luò)。但隨著安全廠商不斷更新相關(guān)偵查手段和安全防護(hù)技術(shù),現(xiàn)在部分勒索軟件家族會利用電子郵件下載等方式,通過JavaScript、PHP、PowerShell和Python等腳本語言發(fā)動下載程序以躲避檢測。在成功躲避檢測后,攻擊者會通過腳本語言中的惡意鏈接或利用其啟動下載程序,從而令終端受到感染。第二個特點(diǎn),很多勒索軟件除加密終端外,還會執(zhí)行其他附加功能。CryptXXX勒索軟件會在加密終端的同時,竊取終端內(nèi)的比特幣錢包數(shù)據(jù)。Cerber勒索軟件會在加密終端數(shù)據(jù)時,將終端加入僵尸網(wǎng)絡(luò)并執(zhí)行DDoS攻擊。第三個特點(diǎn),某些勒索軟件會在警報中加入新型威脅。例如,Chimera勒索軟件會告知受害者加密文件將每隔數(shù)小時便公布于網(wǎng)絡(luò)中,迫使用戶盡快支付贖金。第四,隨著云服務(wù)的廣泛采用,未來,勒索軟件或?qū)⒃谱鳛橄乱粋€攻擊目標(biāo)。因此,云安全成為企業(yè)不可忽略的環(huán)節(jié)。賽門鐵克認(rèn)為,企業(yè)和云服務(wù)提供商都需要發(fā)展云安全,以抵御勒索軟件對云的攻擊。這其中,擁有人工智能以及機(jī)器學(xué)習(xí)技術(shù)和大數(shù)據(jù)分析十分重要。第五,賽門鐵克看到,互聯(lián)汽車或?qū)⒊蔀槔账鬈浖牧硪粋€新攻擊目標(biāo)。我們已經(jīng)看到許多極客都在嘗試突破汽車的安全保障,例如去年針對特斯拉的模擬攻擊。此外,未來黑客可能利用遠(yuǎn)程攻擊手段,來獲取智能汽車上的數(shù)據(jù),包括定位信息,以及汽車的行車路線等?！鼍唾愰T鐵克來看,國內(nèi)外勒索軟件乃至惡意軟件的發(fā)展有何主要區(qū)別?原因是什么?羅少輝:賽門鐵克《勒索軟件與企業(yè)2016》調(diào)查報告指出,美國是感染勒索軟件最嚴(yán)重的國家,占全球的28%。排名前十的國家還包括加拿大、澳大利亞、印度、日本、意大利、英國、德國、荷蘭和馬來西亞,中國在全球排名第17位。從2015年1月至2016年4月,賽門鐵克監(jiān)測的數(shù)據(jù)顯示,在中國發(fā)現(xiàn)的勒索軟件感染事件共有7931起。攻擊者選擇攻擊目標(biāo)與實(shí)施攻擊的難易程度、贖金回報率,以及受害者支付意愿有很大的關(guān)系。當(dāng)下,針對消費(fèi)者的惡意勒索軟件的比例更高(57%),這是由于很多消費(fèi)者對防范勒索軟件的安全意識較低、防護(hù)措施較差,黑客能夠輕易進(jìn)行攻擊。同時,由于勒索金額較小,消費(fèi)者為了盡快獲得密鑰會更傾向選擇支付贖金。在中國,黑客以手機(jī)作為勒索軟件的主要攻擊目標(biāo),這是由于國內(nèi)利用手機(jī)作為移動支付、社交活動的比例非常高。而針對企業(yè),由于攻擊規(guī)模相對較大,黑客需要采用專業(yè)的攻擊工具。通過對全球所發(fā)生的安全事件進(jìn)行分析,賽門鐵克發(fā)現(xiàn),對企業(yè)的攻擊具有很強(qiáng)的針對性。遭受網(wǎng)絡(luò)攻擊的企業(yè)主要為服務(wù)類企業(yè)和政府機(jī)構(gòu)。這是因?yàn)槠髽I(yè)內(nèi)部擁有大量數(shù)據(jù)與個人信息;二是金融業(yè),金融企業(yè)的主要業(yè)務(wù)是金錢相關(guān),容易成為黑客的目標(biāo);三是零售業(yè),零售企業(yè)每天都會產(chǎn)生大量消費(fèi)交易,一旦受到攻擊,黑客能夠快速掌握交易內(nèi)容,使企業(yè)造成財產(chǎn)損失?？傮w而言,無論國內(nèi)還是國外,黑客始終將能夠帶來利益價值的關(guān)鍵行業(yè)作為攻擊目標(biāo)。正是由于勒索軟件針對企業(yè)的攻擊數(shù)量上升,才會迫使企業(yè)更加重視安全防護(hù)。■如果不幸感染勒索軟件,我們該如何保護(hù)自己?羅少輝:首先,如果不幸感染勒索軟件,賽門鐵克建議用戶不要支付贖金。支付贖金的做法會促使黑客的勒索產(chǎn)業(yè)更加猖獗,從而導(dǎo)致更多的企業(yè)與個人受到勒索軟件的威脅。針對消費(fèi)者用戶,賽門鐵克建議用戶遵循“三不原則+三要措施”來抵御勒索軟件攻擊。三不要:不要輕信未知來源的郵件、網(wǎng)頁及廣告;不要輕易點(diǎn)擊可疑郵件中的附件;不要輕易點(diǎn)擊可疑的短網(wǎng)址。三要:定時更新防病毒軟件;定期對重要文件進(jìn)行備份,以及進(jìn)行病毒掃描。針對企業(yè)用戶,賽門鐵克向企業(yè)用戶提供三點(diǎn)建議:第一,預(yù)防。企業(yè)需要加強(qiáng)電子郵件網(wǎng)關(guān)的防御能力;采取主動防御漏洞手段,降低惡意軟件的入侵難度;加強(qiáng)服務(wù)器端的漏洞發(fā)現(xiàn)與管理;保持系統(tǒng)的定期更新。第二,遏制。賽門鐵克能夠提供相應(yīng)的安全防御工具,SONAR行為引擎能夠?qū)τ脩舻男袨檫M(jìn)行監(jiān)測,當(dāng)異常行為出現(xiàn),賽門鐵克會及時對用戶行為進(jìn)行攔截。此外,賽門鐵克擁有AI人工智能功能,能夠增強(qiáng)整個服務(wù)器終端的安全防御。第三,響應(yīng)。賽門鐵克能夠?yàn)橛脩籼峁┌踩录憫?yīng)服務(wù),通過遠(yuǎn)程協(xié)助企業(yè)進(jìn)行現(xiàn)場處理。針對PC端的防護(hù)建議:第一,及時更新計算機(jī)操作系統(tǒng)和軟件。通過及時更新系統(tǒng)并安裝補(bǔ)丁,對漏洞進(jìn)行修復(fù),源頭阻止惡意軟件的傳播。第二,定期對計算機(jī)內(nèi)所存儲的文件進(jìn)行備份。數(shù)據(jù)備份是應(yīng)對加密勒索軟件最好的方法。第三,安裝全方位的安全軟件。由于病毒變種速度非常快,安裝能夠提供全方位安全防護(hù)的安全軟件是必要措施。針對移動端的防護(hù)建議:第一,避免從陌生網(wǎng)站上下載APP,只從信任來源下載并安裝APP。在移動設(shè)備中,APP是造成惡意軟件感染最多的攻擊手段之一。在移動設(shè)備中,許多惡意程序會將安裝過程偽裝成開啟附件。當(dāng)用戶點(diǎn)擊時,移動設(shè)備會跳出某應(yīng)用需要更新的通知,在用戶毫無察覺的情況下安裝惡意程序。第二,定期備份移動設(shè)備中的數(shù)據(jù)。即便不幸感染勒索軟件,也能夠通過備份恢復(fù)數(shù)據(jù)。第三,安裝合適的移動安全軟件,安全軟件能夠?yàn)橛脩籼峁┛煽康陌踩挪椤！鲎鳛閲獍踩珡S商的代表,請問賽門鐵克如何看待現(xiàn)在國內(nèi)的安全市場?下一步的重點(diǎn)規(guī)劃是什么?羅少輝:近幾年,中國的安全市場正在經(jīng)歷巨大變革。2015年6月,國家草擬了《網(wǎng)絡(luò)安全法》,這是中國首部國家意義上真正針對網(wǎng)絡(luò)安全所推出的法案,法案將于2017年6月1日正式實(shí)施。這意味著,中國已經(jīng)高度重視到網(wǎng)絡(luò)安全的重要性。由于中國客戶與美國客戶的需求完全不同,賽門鐵克對國內(nèi)用戶采取了本土化策略。通過與本土合作伙伴的深入合作,賽門鐵克能夠進(jìn)一步了解國內(nèi)客戶的需求,不斷貼近中國客戶的需求,調(diào)整在中國的策略。此外,賽門鐵克不僅關(guān)注傳統(tǒng)的端點(diǎn)、服務(wù)器和數(shù)據(jù)中心安全,隨著云服務(wù)的普及,云安全也是公司未來的關(guān)注重點(diǎn)。通過與云供應(yīng)商合作,進(jìn)一步拓展在云領(lǐng)域的發(fā)展。例如,2016年7月,賽門鐵克宣布與云科發(fā)布企業(yè)云安全服務(wù)平臺。此后,賽門鐵克先后與亞馬遜、騰訊合作,為云端客戶提供賽門鐵克的安全防護(hù)。亞信安全受訪者:亞信安全技術(shù)總經(jīng)理蔡昇欽■2016年為“真正的勒索軟件之年”蔡昇欽:據(jù)亞信安全的分析數(shù)據(jù),2016年,勒索病毒造成全球企業(yè)損失達(dá)1億美元,2016年亞信安全網(wǎng)絡(luò)實(shí)驗(yàn)室截獲中國區(qū)感染勒索病毒22,144個,同比2015年增加62%。2015年截獲勒索病毒種類為29種,2016年增加到247種,增幅達(dá)到752%。同時我們觀察到,2016年勒索軟件開始往IOT設(shè)備上蔓延,試想如果今后我們在使用IOT設(shè)備時,都需要先交贖金,會是一個多可怕的體驗(yàn)場景?基于以上因素,我們將2016年稱為勒索軟件之年?！鰯?shù)字貨幣成熟和利益驅(qū)動使得勒索軟件成為熱點(diǎn)蔡昇欽:首先,數(shù)字貨幣的成熟占了很大的一部分原因。勒索病毒最早出現(xiàn)在2008年,但是到這兩年才高發(fā),因?yàn)橥高^匿名比特幣進(jìn)行支付,這讓黑客團(tuán)體很輕易地獲利同時很難進(jìn)行追蹤。由于利益的驅(qū)動,越來越多的黑客開始制作并販賣勒索軟件。例如,2016年,好萊塢長老會醫(yī)療中心支付勒索贖金US$17,000,卡爾加里大學(xué)支付贖金US$16,000,霍里鄉(xiāng)村學(xué)校支付贖金US$10,000等。其次,勒索病毒因其加密文檔后會刪除自身,而且下載勒索病毒的URL會經(jīng)常發(fā)生更換,所以很難對案件進(jìn)行調(diào)查取證,被加密的文件通常只有通過支付贖金進(jìn)行解密,形成了新的產(chǎn)業(yè)鏈模式?！隼账鬈浖l(fā)展概況蔡昇欽:勒索軟件是一種敲詐型病毒,其會通過限制用戶訪問系統(tǒng),或者通過加密系統(tǒng)中的文件,導(dǎo)致用戶無法進(jìn)入系統(tǒng),無法使用應(yīng)用、設(shè)備、文件,強(qiáng)迫用戶支付贖金。目前大多數(shù)的案件都是針對文件無法使用,但是可以預(yù)測,今后勒索病毒會針對應(yīng)用、IOT設(shè)備進(jìn)行攻擊。勒索軟件通常是通過垃圾郵件傳播,利用人性弱點(diǎn),如:好奇心、輕信、貪婪等發(fā)動社會工程攻擊。該種傳播方式成本相對低,但卻效果顯著。低成本高回報是勒索病毒一大特點(diǎn)。勒索軟件發(fā)展歷史:2008年主流勒索軟件是將受害者的屏幕鎖住,迫使他們支付贖金以便解開計算機(jī),典型的是假冒殺毒軟件,抓住受害者擔(dān)心計算機(jī)感染病毒的心態(tài),被感染的計算機(jī)會被鎖屏,提示感染病毒,需要用戶在線購買殺毒軟件。2012年恐嚇性勒索軟件代表是警察木馬程序,其專門抓住受害者違法的小辮子來恐嚇受害人付款,不然就威脅加以逮捕或處以罰款。2014年,加密勒索軟件出現(xiàn),該類網(wǎng)絡(luò)犯罪集團(tuán)的目標(biāo)是加密計算機(jī)里最寶貴的數(shù)據(jù),強(qiáng)迫受害者支付贖金,贖回數(shù)據(jù)。加密勒索軟件發(fā)展到今天,規(guī)模之大,種類之多,一方面是原因是有些勒索軟件作者會在網(wǎng)絡(luò)上公開售賣勒索軟件,使得一些沒有能力制造勒索軟件的黑客也加入到勒索病毒隊(duì)列中。另一方面,勒索軟件的開源促進(jìn)了勒索病毒發(fā)展,黑客通過修改代碼,開發(fā)出不同種類的勒索病毒,導(dǎo)致其不僅數(shù)量增加,種類也大幅增長?！鰪?個維度防范勒索軟件蔡昇欽:勒索軟件的防范不能單獨(dú)依靠終端產(chǎn)品,需要一套完整的解決方案,建議從4個維度分別建立抑制點(diǎn)。個人安全意識提升:勒索軟件一定需要有人去打開郵件,去打開網(wǎng)頁,然后點(diǎn)擊鏈接,如果我們可以有意識的規(guī)避來自郵件/網(wǎng)站的社會工程學(xué)惡意引導(dǎo),那勒索軟件的危害就能大大地降低。管道主動攔截:目前勒索軟件主要是通過郵件/網(wǎng)頁來接觸到個人,因此如果要有效地防護(hù),那在管道側(cè)的攔截手段就是必要的,同時針對勒索軟件的隱蔽性,我們所使用的攔截手段要有主動發(fā)現(xiàn)的能力。終端智能防護(hù):終端是防護(hù)的最后一道防線,這道防線的重點(diǎn)在于:具備智能行為判斷的能力,目前的勒索軟件在行為有一定的共通性,因此行為防護(hù)可以起到作用。重要數(shù)據(jù)勤備份:目前勒索軟件主要的危害是造成重要文件的不可用,因此如果我們有足夠完善的數(shù)據(jù)備用機(jī)制,可以把危害降到最低。通過部署亞信安全的郵件防護(hù)產(chǎn)品DDEI、Web防護(hù)產(chǎn)品TDA、存儲防護(hù)產(chǎn)品SafeSync,可偵測并攔截勒索軟件,如果不幸中招,還可使用SafeSync恢復(fù)歷史文檔,前提是用戶已經(jīng)部署了SafeSync?！鑫覈账鬈浖闆r蔡昇欽:目前據(jù)我們觀察到的情況,我國的勒索軟件都還是延續(xù)國外的發(fā)展情勢(還沒有看到特別中國特色的情況),主要的修改是一些本土化的內(nèi)容,這些本土化勒索病毒會提示顯示中文信息,逐步指導(dǎo)用戶購買比特幣,支付贖金?！隼账鬈浖雷o(hù)小貼士:1.采取3-2-1規(guī)則備份重要文檔,三份副本,二種不同的存儲媒體,一個不同的存放地點(diǎn)。2.不要隨意打開電子郵件附件，要在打開前確認(rèn)附件類型3.請單擊電子郵件中的未知鏈接。在你訪問之前，請確認(rèn)網(wǎng)站的評級4.全方位勒索軟件制作5.嚴(yán)格設(shè)定好網(wǎng)絡(luò)共享權(quán)限?？ò退够茉L者:卡巴斯基實(shí)驗(yàn)室大中華區(qū)總經(jīng)理鄭啟良■勒索軟件近幾年為何呈現(xiàn)高發(fā)態(tài)勢?鄭啟良:由于勒索軟件研發(fā)和使用成本很低,獲利模式也非常簡單,并且一個勒索軟件就能夠創(chuàng)造出非?？捎^的收益,勒索的贖金支付方式通常為比特幣,其匿名的支付方式使得追蹤網(wǎng)絡(luò)罪犯幾乎不可能,所以這種獲利手段對網(wǎng)絡(luò)罪犯來說非常有吸引力,造成勒索軟件近幾年呈現(xiàn)高發(fā)趨勢。■勒索軟件主要特點(diǎn)鄭啟良:勒索軟件的主要特點(diǎn)有:危害大。一旦勒索軟件進(jìn)入到用戶系統(tǒng),加密用戶數(shù)據(jù)資產(chǎn)包括文檔、郵件、數(shù)據(jù)庫、源代碼、圖片、壓縮文件等多種文件,用戶幾乎很難在不丟失數(shù)據(jù)的情況下,消除勒索軟件感染。被勒索的贖金越來越多。據(jù)統(tǒng)計2016年1季度發(fā)生的網(wǎng)絡(luò)勒索事件中,被攻擊者向黑客支付的贖金就超過2億美元,而2015年一整年僅有2400萬美元。攻擊數(shù)量快速增長。在巨額非法收入的誘惑下越來越多的惡意代碼作者開始從事勒索軟件的開發(fā)。借助比特幣等難于追蹤的支付方式的保護(hù),勒索軟件的作者也會越來越有恃無恐,加速了勒索軟件的泛濫?？ò退够鶎?shí)驗(yàn)室IT威脅演化2016第3季度報告顯示,遭受加密勒索軟件攻擊的互聯(lián)網(wǎng)用戶數(shù)量增長了超過2倍,達(dá)到821865人。■勒索軟件會給企業(yè)帶來經(jīng)濟(jì)與數(shù)據(jù)的雙重?fù)p失鄭啟良:勒索軟件會給企業(yè)帶來經(jīng)濟(jì)與數(shù)據(jù)的雙重?fù)p失,一般勒索軟件的作者會設(shè)定一個支付時限,有時贖金數(shù)目也會隨著時間的推移而上漲,并且即使用戶支付了贖金,有時也還是無法正常使用系統(tǒng),無法還原被加密的文件,造成數(shù)據(jù)丟失。當(dāng)前勒索軟件正在向大數(shù)據(jù)、云計算、物聯(lián)網(wǎng)等平臺擴(kuò)散,并且勒索軟件編寫者還在繼續(xù)其開發(fā)工作,更新預(yù)先存在的勒索軟件或者制造新的勒索軟件,我們預(yù)測,增強(qiáng)靈活性和持久性將會成為勒索軟件標(biāo)準(zhǔn)?！鲋袊睦账鬈浖顩r和國外有何主要區(qū)別?原因是什么?鄭啟良:國外流行的勒索軟件背后都有公司化運(yùn)作的黑客團(tuán)伙編寫、部署和傳播,無論從勒索軟件本身還是部署方式、傳播渠道都非常專業(yè),而且資金投入也會比較大。這使得國外的勒索軟件加密難以破解,變種速度極快,傳播范圍很廣。而國內(nèi)的勒索軟件更多的是由個人黑客編寫,由于水平和資源有限,通常為鎖定操作系統(tǒng)或改寫硬盤主引導(dǎo)記錄,而加密文件型勒索軟件數(shù)量較少。即使有加密文件型勒索軟件,由于黑客擔(dān)心個人信息泄露,會將密鑰信息保存在本地,使得解密文件成為可能。■針對勒索軟件,卡巴斯基的建議鄭啟良:1.加強(qiáng)對員工安全意識的培訓(xùn),做到不要輕信未知來源的郵件、網(wǎng)頁及廣告等,不要輕易點(diǎn)擊可疑郵件中的附件,注意附件是否為偽裝的可執(zhí)行文件;不要輕易點(diǎn)擊可疑的短網(wǎng)址,除非確認(rèn)該鏈接導(dǎo)向的是無害網(wǎng)站。2.隨時備份重要數(shù)據(jù)并定期檢查備份的可復(fù)原性,盡量將數(shù)據(jù)備份在脫離網(wǎng)絡(luò)的存儲之中;3.提前部署具有防御勒索軟件防護(hù)功能的安全產(chǎn)品,保護(hù)所有的設(shè)備和系統(tǒng),不僅是Windows系統(tǒng),企業(yè)日常使用的包括Android和郵件服務(wù)器在內(nèi)的系統(tǒng)都需要進(jìn)行保護(hù);4.實(shí)時更新操作系統(tǒng)和應(yīng)用程序上存在的最新漏洞;5.更新安全保護(hù)產(chǎn)品并更新最新版本和功能代碼庫6.打開安全保護(hù)產(chǎn)品的檢測未知威脅和惡意程序行為的功能7.加密用戶數(shù)據(jù)的勒索軟件卡巴斯基實(shí)驗(yàn)室的安全解決方案通過文件監(jiān)控、郵件監(jiān)控和網(wǎng)頁監(jiān)控功能,對已知勒索軟件進(jìn)行實(shí)時檢測和處理。通過系統(tǒng)監(jiān)控、自動漏洞利用防護(hù)(AEP)、啟發(fā)式和云安全功能,對未知勒索軟件加密行為進(jìn)行有效的監(jiān)視和阻斷。瑞星受訪者:瑞星安全專家唐威■勒索軟件近幾年為何呈現(xiàn)高發(fā)態(tài)勢?唐威:勒索軟件近幾年呈現(xiàn)高發(fā)態(tài)勢,首先是開發(fā)者有利可圖;其次,使用成熟的密碼學(xué)算法,加密手段有效解密成本高;再次,使用比特幣等虛擬貨幣當(dāng)作贖金,變現(xiàn)快追蹤困難;最后,入門門檻較低,互聯(lián)網(wǎng)上有提供一整套的勒索軟件方案供犯罪分子使用。■勒索軟件是怎樣發(fā)展到今天這個形態(tài)的?唐威:最早的一批勒索軟件病毒大概出現(xiàn)在8、9年前,那時候的勒索軟件作者還沒有現(xiàn)在那么惡毒大膽,敲詐的形式還比較溫和,主要通過一些虛假的電腦檢測軟件,提示用戶電腦出現(xiàn)了故障或被病毒感染,需要提供贖金才能幫助用戶解決問題和清除病毒,期間以FakeAV為主。隨著人們安全意識的提高,這類以欺騙為主的勒索軟件逐漸地失去了它的地位,慢慢消失了。伴隨而來的是一類locker類型的勒索軟件。此類病毒不加密用戶的數(shù)據(jù),只是鎖住用戶的設(shè)備,阻止對設(shè)備的訪問,需提供贖金才能幫用戶進(jìn)行解鎖。期間以LockScreen家族占主導(dǎo)地位。由于它不加密用戶數(shù)據(jù),所以只要清除了病毒就不會給用戶造成任何損失。由于這種病毒帶來危害都能夠很好地被解決,所以該類型的敲詐軟件也只是曇花一現(xiàn),很快也消失了。FakeAV和LockScreen都因自身不足逐漸消失了,隨之而來的是一種更惡毒的以加密用戶數(shù)據(jù)為手段勒索贖金的敲詐軟件。由于這類敲詐軟件采用了一些高強(qiáng)度的對稱和非對稱的加密算法對用戶文件進(jìn)行加密,在無法獲取私鑰的情況下要對文件進(jìn)行解密,以目前的計算水平幾乎是不可能完成的事情。正是因?yàn)橛羞@一點(diǎn),該類型的勒索軟件能夠帶來很大利潤,各種家族如雨后春筍般出現(xiàn)了,比較著名的有CTB-Locker、TeslaCrypt、CryptoWall、Cerber等等。唐威:勒索軟件對企業(yè)的危害更嚴(yán)重,企業(yè)的數(shù)據(jù)價值更大,感染后造成的經(jīng)濟(jì)損失更大。在缺少備份的情況下只有交付贖金才有可能還原數(shù)據(jù)。未來勒索軟件的變化可能會有:針對企業(yè)的定向攻擊會越來越多,物聯(lián)網(wǎng)新興設(shè)備受到的威脅增加,工控系統(tǒng)可能成為攻擊對象?！鋈绾斡行У胤婪独账鬈浖?唐威:部署必要的安全防御產(chǎn)品,重要數(shù)據(jù)一定要做好備份,提高整體安全意識,未知的郵件和程序不要運(yùn)行?！鲎鳛閭鹘y(tǒng)安全廠商的代表,瑞星如何看待現(xiàn)在的安全市場?唐威:隨著各種新技術(shù)的迅速普及,信息安全已發(fā)生了質(zhì)的變化。安全問題已經(jīng)由“點(diǎn)”發(fā)展成為“面”,現(xiàn)代的信息安全是一個系統(tǒng)工程?，F(xiàn)代企業(yè)要解決好信息安全問題,應(yīng)建立完善的信息安全管理機(jī)制,提升信息安全防范意識,從業(yè)務(wù)到服務(wù),從基礎(chǔ)設(shè)施到應(yīng)用,形成完整的防御鏈。我國的信息安全市場是一個快速增長的領(lǐng)域,年增速達(dá)到20%-40%,然而信息安全廠商往往是針對單點(diǎn)解決問題,并沒有依據(jù)用戶實(shí)際問題形成整體解決方案。瑞星目前以企業(yè)信息安全為戰(zhàn)略重點(diǎn),研究領(lǐng)域