《勒索軟件(jiàn)攻擊：特征與防範》✘₽(圖文(wén))

勒索軟件(jiàn)的(de)起源可(k™δě)以追溯到(dào) 2006 年(nián)，當時(shí)加密勒索軟∏→®¥件(jiàn)開(kāi)始出現(xiàn)，例如(rú)λα≤ TROJ_CRYPZIP.A，它會(huασσì)搜尋受害者硬盤上(shàng)文(wénα )件(jiàn)，然後将文(wén)件(jiàn)壓縮并設密碼，受害者若沒ε∏★≤有(yǒu)備份就(jiù)隻能(néng)根據留下(xià)的(de)>ε勒索訊息，支付贖金(jīn)換取密碼。
在随後的(de)幾年(nián)裡(lǐ)，勒索軟件(jiàn>‌)不(bù)斷發展演變。2011 年(nián)，勒索軟件(jiànφ✘)已經接受移動支付機(jī)制(zhì)的(de)贖金(j•™īn)付款方式。2012 年(nián)，勒索軟件(jiàn)開("₹βkāi)始利用(yòng)恐吓技(jì)倆，如(rú)假冒當地(dì)警察進行∑α(xíng)威脅。2013 年(nián)，Crypt★♠★&olocker 不(bù)僅能(néng)将整台系統鎖住而且會(hu≈€∞ì)将文(wén)件(jiàn)加密，隻☆✔÷有(yǒu)支付贖金(jīn)才能(néng)還(háiδ‌)原文(wén)件(jiàn)。
近(jìn)年(nián)來(lái)，勒索軟件↔λ(jiàn)攻擊日(rì)益猖獗。2023φ§ 年(nián)，瑞星公司發布的(de)《2♥ 023 中國(guó)網絡安全報(bào)告》中顯示，報(bà‍§o)告期內(nèi)瑞星 “星核&rdqu'®‌♣o; 平台共截獲勒索軟件(jiàn)樣本 65.59 萬個(gè)，比™ ∑ 2022 年(nián)上(shàng)漲了$φ€​(le) 13.24%；感染次數(shù)為(wèπ i) 19.68 萬次，與 2022 年(ni★✘×£án)相(xiàng)比，上(shàng)漲了π✘β(le) 0.95%。
勒索軟件(jiàn)攻擊正變得(de)越來(lái)$↔越複雜(zá)，攻擊者會(huì)使用(yòn‍£g)網絡釣魚、社工(gōng)原理(lǐσ≤↓)和(hé)漏洞利用(yòng)等多(duō)種$↓♠‍技(jì)術(shù)來(lái)攻擊目标★ ♥。同時(shí)，雙重勒索已是(shì)常态化Ω∏(huà)攻擊模式，攻擊者不(bù)再僅專注于對(duì)受害$£者文(wén)件(jiàn)進行(xíng)加密，而是(shì)更加傾向于∑​≥通(tōng)過洩露敏感數(shù)據的(de)方式作(zuò)為§Ω(wèi)敲詐勒索的(de)籌碼，這(zhè)給政府或企≈♦業(yè)受害者帶了(le)更大(dà)的(de)壓力 ∞。
例如(rú)，2023 年(nián) Lockbit 組織對(duì)全球←↑™±多(duō)個(gè)知(zhī)名企業(yè)發起了(le)勒索攻擊，涵≈♣​蓋金(jīn)融服務、科(kē)技(jì)、能(néng)源、醫(y♦¥×↔ī)療、運輸等多(duō)個(gè)産業(∞λ&Ωyè)。2023 年(nián) 6 月(y>βuè)，美(měi)國(guó)網絡安全和(hé)基礎設施局 (CIε♦↓<SA) 估計(jì)，因使用(yòng) CL0P 勒索軟件(jià×εn)而出名的(de) TA505 組織在全球共入§₽ 侵了(le)約 8000 名受害者。派拓網絡✘§發布的(de)《2024 年(nián)勒索軟件(jiàn)回顧§≥：Unit 42 洩密網站(zhàn)分(fēn)析》顯示，勒索軟件≥♦(jiàn)洩密網站(zhàn)報(bào<÷₩©)告的(de)受害者增加了(le) 49%，各勒索軟件(jiàn)£γ組織共發布了(le) 3998 個(gè)帖子(zǐ)，受害者至少(shǎo)↔©φ覆蓋全球 120 個(gè)國(guó)家(jiā)。
總之，勒索軟件(jiàn)攻擊自(zì)出現(xiàn)以來(lá↑≤§i)不(bù)斷發展演變，當前在全球範圍內(nèi)造成了(lγ '₩e)嚴重的(de)影(yǐng)響，給企業(yè)和(hé)±"φ個(gè)人(rén)帶來(lái)了(le↑ )巨大(dà)的(de)損失。

二、勒索軟件(jiàn)攻擊的(de)主要(yào¥×​σ)特征

（一(yī)）傳播方式多(duō)樣

勒索軟件(jiàn)的(de)傳播方式極為(wèi∞£ )多(duō)樣，給用(yòng)戶帶來(lái)了(le)極大(dà)的≤&(de)安全風(fēng)險。

• 借助網頁木(mù)馬傳播：當用(yòng)戶不(bù)小(xiǎ €o)心訪問(wèn)惡意網站(zhàn)時(shí)，勒索軟件(j←☆iàn)會(huì)被浏覽器(qì)自(zì)動下(xià)載并在≈↑後台運行(xíng)。據統計(jì)，每天有(yǒu)大(÷₩↓dà)量用(yòng)戶因誤訪惡意網站(zhàn)✘ε而感染勒索軟件(jiàn)。例如(rú)，一(yī)些(x♥←Ωiē)看(kàn)似正常的(de)網站(zhà∏πn)可(kě)能(néng)被黑(hēi)客植入惡意 §代碼，一(yī)旦用(yòng)戶訪問(wèn'≠)，就(jiù)可(kě)能(néng)觸發勒索軟件(jiàn)的↓★(de)下(xià)載和(hé)安裝。

• 與其他(tā)惡意軟件(jiàn)捆綁發φ©γε布：這(zhè)種方式使得(de)用(yòng)戶在安裝其他(t♠♠ā)軟件(jiàn)時(shí)，不(bù)知(zhī)不(bù)覺α β中也(yě)安裝了(le)勒索軟件(jiàn)。一(yī)些(xiē)不$¥(bù)法分(fēn)子(zǐ)會(huì)将勒索軟件(jiàn)與熱(r₹×$±è)門(mén)軟件(jiàn)捆綁在一(yī)起，•→用(yòng)戶在下(xià)載和(hé)安裝過程中很(hěn)難察覺✔β。

• 作(zuò)為(wèi)電(diàn)子(zǐ)δ±≤™郵件(jiàn)附件(jiàn)傳播：勒索軟件(jiàn)通(tōng)常通(t ±ōng)過電(diàn)子(zǐ)郵件(jiàn)進行(xínφδσg)分(fēn)發，以鼓勵收件(jiàn)人(ré∞✔ n)打開(kāi)惡意附件(jiàn)。該文(wén)λ$×件(jiàn)可(kě)以多(duō)種格式←§α交付，包括 ZIP 文(wén)件(jiàn)，PDF，Word 文(wé§>♣'n)檔，Excel 電(diàn)子(zǐ)表格等。打開(kā ↓↔ i)附件(jiàn)後，可(kě)以立即部署勒Ω✘≠₽索軟件(jiàn)。攻擊者可(kě)能(néng)會(huì)對(du✘$φì)目标進行(xíng)廣泛研究，以創建可(kě)信£♥®'且非常可(kě)信的(de)電(diàn)子(zǐ)郵件(jiàn)，增加收件≤<∞∑(jiàn)人(rén)打開(kāi)附件(jiàn)的(de)可λπ(kě)能(néng)性。

• 借助可(kě)移動存儲介質傳播：勒索軟件(jiàn)可(kě)以通(tōng)過 U 盤、移 ∑•動硬盤等可(kě)移動存儲介質傳播。當用(yòn×∑↓&g)戶将感染了(le)勒索軟件(jiàn)的(de)存儲介質插入另一(π≥"yī)台計(jì)算(suàn)機(jī)時(shí)，勒索軟件(jià∏®n)可(kě)能(néng)會(huì)自(zì)動傳播到 Ω§ (dào)新的(de)計(jì)算(suàn)機(jī)上(sh¶∏àng)。

（二）表現(xiàn)形式複雜(zá)

• 鎖定計(jì)算(suàn)機(jī)或€♣←γ移動終端屏幕：鎖屏病毒會(huì)鎖定電(diàn)腦(n↔≈ǎo)屏幕并要(yào)求付款。它會(huì)呈現(β₽γ>xiàn)一(yī)個(gè)全屏圖像并阻止所有(yǒu)其它窗∑ ↓(chuāng)口開(kāi)啓。這(zhè)種™£₽♦類型的(de)勒索病毒雖然不(bù)會(huì)加密用(yòn‌♦♣g)戶的(de)數(shù)據文(wén)件(jiàn)π÷∑×，但(dàn)會(huì)給用(yòng)±>π戶帶來(lái)極大(dà)的(de)不(bù)'±ε★便。

• 假稱發現(xiàn)安全威脅誘騙購(gòu)買 &ldquo™₩;殺毒軟件(jiàn)”：借殺毒軟件(jiàn)之名，假稱在用(yòng)戶系統發現(φ €xiàn)了(le)安全威脅，令用(yòng)戶感到(dào)恐÷£≈慌，從(cóng)而購(gòu)買所謂的(de) &l♥←‍dquo;殺毒軟件(jiàn)”。比如(rú)₹♥ FakeAV 等，會(huì)僞裝成反病毒軟件(jiàn)，謊稱在用×→​(yòng)戶的(de)系統中發現(xiàn)病毒 ↓€λ，誘騙用(yòng)戶付款購(gòu)買其 “反病毒軟件(ji&£ ♥àn)”。

• 彈出提示消息要(yào)求支付贖金(jīn)：計(jì)算(suàn)機(jī)屏幕彈出類似下(xià)圖的(deπ∑±β)提示消息，稱用(yòng)戶文(wén)件(jiàn)被÷•↑π加密，要(yào)求支付贖金(jīn)。最典型的(d¶←ε™e)案例就(jiù)是(shì) WannaCry，該類型勒索病毒是(sh♠€±ì)目前最常見(jiàn)的(de)勒索病毒。感染文(wén)件(jiàn)型∏→勒索病毒後，病毒會(huì)更改系統桌面并展示勒索支付提示。

（三）分(fēn)類明(míng)确

• 影(yǐng)響系統正常使用(yòng)：比如(rú) PC Cyborg、QiaoZhaz β♥等，會(huì)采用(yòng)鎖定系統屏幕等方式，迫使系統用(♥>yòng)戶付款，以換取對(duì)系統λ∏≥>的(de)正常使用(yòng)。已知(z÷•↓hī)最早的(de)勒索軟件(jiàn)雛形誕生(shē©®¶ng)于 1989 年(nián)，該木(mù)馬≈φ₽程序以 “艾滋病信息引導盤” 的(de)形式進入✘¥系統，采用(yòng)替換 DOS 系統文(wén)件(jiàn)的(de€'¥©)方式，實現(xiàn)開(kāi)機(jīγ™♣)記數(shù)。一(yī)旦系統啓動次數(shù)達到(dào) 9π₩♣0 次時(shí)，該木(mù)馬将隐藏磁盤的(de)多(duō×♠)個(gè)目錄，C 盤的(de)全部文(wén)件(jiàn)名也(yě)‌ 會(huì)被加密，從(cóng)而導緻系統無法啓動。

• 恐吓用(yòng)戶：比如(rú) FakeAV 等，會(huì)™↑¶僞裝成反病毒軟件(jiàn)，謊稱在用(yòng)戶的(de)系統中發現 ↔ ↔(xiàn)病毒，誘騙用(yòng)戶付款購(gòu)買©≈其 “反病毒軟件(jiàn)”。又(yòu)如♣§£☆(rú) Reveton，會(huì)根據用(yòng)戶所處地✘λ(dì)域不(bù)同而僞裝成用(yòng)戶所在地(dì)的(de♣₽φ)執法機(jī)構，聲稱用(yòng)戶觸犯法律，迫使用(≤↓yòng)戶支付贖金(jīn)。

• 綁架用(yòng)戶數(shù)據：最典型的(de)是(shì) CTB-Locker 家(♣§jiā)族，采用(yòng)高(gāo)強度的(de)加密算(suàn)法，™¶加密用(yòng)戶文(wén)檔，隻有(yǒu)♦£在用(yòng)戶支付贖金(jīn)後，才提供解密文(w¶€én)檔的(de)方法。

（四）贖金(jīn)支付方式變化(huà)

早期的(de)勒索軟件(jiàn)采用(yòng)傳統的(de)郵寄方₽ Ω式接收贖金(jīn)，會(huì)要(yào)求受害者向♠π指定的(de)郵箱郵寄一(yī)定數(shù)量的(de)贖金(jīn)≥☆÷ 。我們也(yě)發現(xiàn)了(le)要(yào)求受害者向指定銀(yδ&ín)行(xíng)賬号彙款和(hé)向指定号碼發送可(kě)以産生(shēnλ≈♠g)高(gāo)額費(fèi)用(yòng)的(de)短(duǎγ‍≥n)信的(de)勒索軟件(jiàn)。直到(dào¶©‌✘)比特币這(zhè)種虛拟貨币支付形式出現(xiàn  )後，由于它可(kě)以為(wèi)勒索軟件(jiàn)提供♥$$₩更為(wèi)隐蔽的(de)贖金(jīn)獲取方式，2013 年(n≤¶ián)以來(lái)，勒索軟件(jiàn)逐漸采用(yòng₩€"δ)了(le)比特币為(wèi)代表的(de)虛拟貨币的(de)支付方式。虛拟貨÷↑币的(de)出現(xiàn)，加速了(le)勒索軟✘₽∞§件(jiàn)的(de)泛濫。2015 年(nián) 1 月→∏✔(yuè)，Cryptowall 家(jiā)族新變種（3.0）被≤÷發現(xiàn)使用(yòng) I2P÷•∞ 匿名網絡通(tōng)信，在一(yī)天內(nèi)感染 288 個(g ™è)用(yòng)戶，該變種在加密受害者的(de)文(wén)件(jiàn)後‍φ<，向其勒索比特币，同時(shí)還(hái)有(yǒu)直接竊 γ←♥取用(yòng)戶比特币的(de)行(xíng)為(wèi)。

三、攻擊的(de)不(bù)同階段及迹象

（一(yī)）建立立足點階段

勒索軟件(jiàn)攻擊的(de)第一(yī)階段是(shì)建立立足π‌點。通(tōng)常，攻擊者會(huì)通(tōng)過電(dià‌✘δ✘n)子(zǐ)郵件(jiàn)釣魚、利用(yòng)公共 Wi-Fi 中心​≤獲取數(shù)據等方式入侵目标網絡。一(yī)旦獲得(de)初始訪問(wε♣÷εèn)權限，勒索軟件(jiàn)就(jiù)會(huì)Ωδ建立與命令和(hé)控制(zhì)服務器(qì)的(de↕↑)連接，為(wèi)後續的(de)攻擊行(xíng)動奠定基礎。
在這(zhè)個(gè)階段，攻擊者會(huì)像探索未知→♠☆(zhī)領域的(de)探險家(jiā)一(yī)樣，利用(yònγ∏g)各種手段在網絡中尋找關鍵或敏感數(shù)據的(de)存放(fσ'àng)位置。例如(rú)，黑(hēi)客可(kě)能(néng)♦♦‌會(huì)使用(yòng)遠(yuǎn)程訪問(wèσφ&n)特洛伊木(mù)馬來(lái)訪問(wèn)主機(™↔jī)，然後識别主機(jī)服務，并嘗試将這(zh✔∏è)些(xiē)連接映射回集中式應用(yòng)♥‍¥程序，如(rú)數(shù)據庫。如(rú)果攻€σ擊者能(néng)夠繞過當前的(de)訪問(wèn)規則或竊取憑據，他(t•$ā)們就(jiù)能(néng)更有(yǒu)£₽÷δ效地(dì)在網絡中移動，擴大(dà)攻擊範圍。
為(wèi)了(le)檢測這(zhè)個(gè)階段的(de)勒索軟件‌©(jiàn)攻擊，安全團隊需要(yào)識别整個(gè)網絡中奇 →π怪或不(bù)尋常的(de)用(yòng↕β'")戶和(hé)實體(tǐ)行(xíng)為(w₩>èi)。比如(rú)，訪問(wèn)其工(gōng)作(zuò)範圍之♣∑÷↓外(wài)的(de)文(wén)件(jiàn)、在網絡上(shà ₹δ​ng)安裝外(wài)部非公司批準的(de)軟件(jiàn)、查看(kà×πn) DNS 查詢等。這(zhè)些(xiē)活動可(kě)能(néng)與✔↓σ正常的(de) IT 管理(lǐ)員(yuán)活動相(xiàng)似，但(d≤π§àn)關鍵是(shì)要(yào)能(néng)夠區(qū ©δ)分(fēn)兩者的(de)區(qū)别。為(wè±♦i)此，安全團隊需要(yào)部署将用(yòng)戶行(xíβσ×♥ng)為(wèi)分(fēn)析和(hé)機(jī)器(qì)學習(xí ")相(xiàng)結合的(de)安全解決方案，例如(rú)下(xià)₹​​™一(yī)代 SIEM 解決方案。如(rú)果安全團隊看(kàn)不(bδ ù)到(dào)這(zhè)些(xiē)活動，就(jiù)無法在早期階±ε€段阻止勒索軟件(jiàn)。

（二）提升特權并橫向移動階段

權限提升和(hé)橫向移動階段是(shì)勒索軟件(jià→≈n)攻擊的(de)關鍵環節。在獲得(de)組織網$☆♦絡的(de)訪問(wèn)權限後，黑(hēi)客±↔♦會(huì)繪制(zhì)出他(tā)們可(kě)以安裝勒索軟件(jiàn)的÷<(de)所有(yǒu)地(dì)點。這(zhè) ♥一(yī)過程涉及黑(hēi)客偵察網絡中的(de)敏感信息、文(wén)件(<​  jiàn)、應用(yòng)程序或任何可(♠≈‌kě)能(néng)對(duì)公司造成損害的(de)東(dōng)西✔←∞(xī)，以便他(tā)們可(kě)以利用(yòng)網絡獲'¥‍得(de)大(dà)筆(bǐ)贖金(jīn)。
獲得(de)對(duì)可(kě)能(néng)包' ε•含更敏感信息的(de)更大(dà)數(shù)據庫的(de)訪問(wèn)權限'>♥≠，将導緻更嚴重的(de)勒索軟件(jiàn)攻≠♦ "擊，并為(wèi)黑(hēi)客帶來(lái)更大(dà)金(jīn)額‍>§的(de)贖金(jīn)。一(yī)旦黑(hēi)客訪問(wèn)了(le™↑★)包含大(dà)量敏感信息的(de)數(shù)據庫或控制(>Ωα'zhì)了(le)網絡，攻擊者将開(kāi)始在不(bù)同地(•♥dì)區(qū)部署 PuTTY 等軟件(jiàn)，進一₽ ₽ (yī)步建立他(tā)們的(de)立足點，并為(wèi)他(tā)們的β★'≥(de)勒索軟件(jiàn)創建備份，以防他(tā)≥↔們被發現(xiàn)。
檢測權限提升和(hé)橫向移動是(shì)否正在發 ∏↑∞生(shēng)的(de)一(yī)個(g€♦è)明(míng)顯迹象是(shì)，網絡中'"​π安裝了(le)新的(de)未經授權的(de)應用★•'(yòng)程序。如(rú)果下(xià)載了(le) PuTT'ε₩βY 等應用(yòng)程序，這(zhè)可(kě)能(néng)是(sh±>$<ì)一(yī)個(gè)重大(dà)危險信号，該應用(y≥♥₩òng)程序可(kě)能(néng)正在将危險文(wén)件(jiàn)£♥'傳輸到(dào)網絡。其他(tā)危害迹象包括訪問'↑Ωσ(wèn)網站(zhàn)基礎設施、查找特定的(de) DNS 地(₽↑dì)址、連接到(dào) Dropbox 等外(wài)→λ™部雲服務。然而，這(zhè)些(xiē)迹象可(kě)能(néng)很(σ hěn)難區(qū)分(fēn)，因為(wèi)這♠πε↑(zhè)些(xiē)操作(zuò)看(kàn)起來(lái)可(σσδ≥kě)能(néng)是(shì)由某個(gè)有(yǒu)權訪問(wèn∞→)敏感數(shù)據的(de)人(rén)做(zuò)δΩ< 出的(de)，但(dàn)實際上(shàng)是(s↕≥✔hì)黑(hēi)客在網絡上(shàng)模仿它們。

（三）安裝勒索軟件(jiàn)階段

一(yī)旦黑(hēi)客找到(dào)關鍵數(shù)據，他(tā)們就∏∞§(jiù)會(huì)開(kāi)始下(xià)載實際的(de)勒索€✔軟件(jiàn)有(yǒu)效載荷。在這(zhè)個 ©(gè)階段，攻擊者可(kě)能(néng)會(huì)洩露數(shù)據↔©，設置加密密鑰，然後對(duì)重要(yào)數(shù)據進行('•βxíng)加密。此階段的(de)危害迹象包括♣ ♦與命令和(hé)控制(zhì)服務器(qì)的(de)通(tō® ng)信、數(shù)據移動（如(rú)果攻擊者在加密之前洩漏了(le♥♥ ¶)重要(yào)數(shù)據）以及圍繞加密流量的(de)異常活動。
在此階段進行(xíng)檢測需要(yào)更先進的(de)安全産品₹‌≤協同工(gōng)作(zuò)。将不(bù)同類型的(↓☆¥<de)分(fēn)析模型鏈接在一(yī)起是(shì)在涉及勒索軟件(jiànΩ₽↕)時(shí)捕獲次要(yào)危害指标的(de)有(yǒu)±®效方法，因為(wèi)它們實時(shí)收集網絡上(shàngβ∏&δ)的(de)上(shàng)下(xià)文‌™(wén)，使安全團隊能(néng)夠在發生(shēng)異常行(xíng)≈®為(wèi)時(shí)識别它。如(rú)果安全警報(bào)被觸發，這(zh↕✔è)些(xiē)其他(tā)分(fēn)析可(kγ‌‍↑ě)以提供更多(duō)的(de)上(shàng)下(xià)≤₹¥文(wén)，以幫助識别更大(dà)的(de)攻φσ"擊是(shì)否以及如(rú)何發生(shēng)。但(↓π‍εdàn)許多(duō)成功的(de)勒索軟件(jià£λ±n)攻擊根本不(bù)會(huì)觸發殺毒軟件(jiàn)，因此收集用(yòn≠Ω€g)戶行(xíng)為(wèi)的(de)準确圖景并将衆多(duō)指标彙編成☆↓₹‍連貫的(de)時(shí)間(jiān)表至關重要(yào)。
雖然組織可(kě)能(néng)很(hěn↔ )難檢測勒索軟件(jiàn)攻擊，但(dàn)能(néng)夠識别©γ© 勒索軟件(jiàn)攻擊的(de)所有(yǒu)細微(wē‍±✘←i)危害迹象将幫助組織了(le)解攻擊處于哪個(gè)階 ♠≠段，以及可(kě)以采取什(shén)麽措施來(✘>≥lái)阻止它的(de)發展。

四、2017 年(nián)勒索軟件(jiàn)★¶↔™攻擊特點

（一(yī)）主要(yào)影(yǐng)響家(jiā)族

在 2017 年(nián)，向 360 互聯網安全中心求助的(de)∞↑←勒索軟件(jiàn)受害者中，Cerber、Cry€δsis、WannaCry 這(zhè)三∏✘®©大(dà)勒索軟件(jiàn)家(jiā)族的(de)受害¶€者最多(duō)，共占到(dào)總量的(de±ε §) 58.4%。其中，Cerber 占比為(wèi) 21.0%，Crys> "λis 占比為(wèi) 19.9%，WannaCry 占比為(✔©wèi) 17.5%。這(zhè)三大(dà)勒索軟件(jiàn)家(jiā)π↑↔±族在全球範圍內(nèi)造成了(le)巨大(dà)的(de)影(yǐng)✔​♠™響。

（二）五種傳播方式

1. 服務器(qì)入侵傳播：以 Crysis 家(jiā)族為(wèi)代表的(de)勒索軟件(jiànλ✔α)主要(yào)采用(yòng)此類攻擊方式。黑(hē¥≈↕₩i)客通(tōng)過弱口令、系統或軟件α (jiàn)漏洞等方式獲取用(yòng)戶名和<&®(hé)密碼，再通(tōng)過 RDP（遠(yuǎn)程桌面協≤↔γ議(yì)）遠(yuǎn)程登錄服務器(qì)，一(yī)旦登錄成功，便可(k★☆ ě)卸載服務器(qì)上(shàng)的(de)安全軟件(jiàn)并±ε®​手動運行(xíng)勒索軟件(jiàn)。造成服務器(qì)帳号密碼被破¶δ解的(de)主要(yào)原因包括系統管理($♠​lǐ)員(yuán)使用(yòng)弱密碼被暴力破解、黑™↓'∑(hēi)客利用(yòng)病毒或木(mù≠π)馬竊取密碼以及直接購(gòu)買賬号和(hé)密碼。

2. 利用(yòng)漏洞自(zì)動傳播：2017 年(nián)，通(tōng)過γγ系統自(zì)身(shēn)漏洞進行(xíng)傳播擴散成為(wèi)勒索軟‌☆↑件(jiàn)的(de)一(yī)個(gè)新特點。上(shà←♣₹ng)半年(nián)震動世界的(de)​♥"© WannaCry 勒索病毒就(jiù)是(shì)利用(yò€ ≈ng)微(wēi)軟的(de)永恒之藍(lán)（↓↕↕♠EternalBlue）漏洞進行(xíng)傳播。很(hěn)多(duō)人(​↕ rén)認為(wèi)打補丁沒用(yòng)還(hái) ®會(huì)拖慢(màn)系統，這(zh↑φè)給了(le)黑(hēi)客可(kě)乘之機(jī)↕α≤，利用(yòng)剛修複不(bù)久或大(dà)≤δ×₽家(jiā)重視(shì)程度不(bù)高(gāo)的(de)漏洞進≤ ↔∏行(xíng)傳播，用(yòng)戶未及時(shí)更新系統或安♣↑裝補丁就(jiù)有(yǒu)可(kě)能(néng)↕α在完全沒有(yǒu)預兆的(de)情況下(xià)中毒。

3. 軟件(jiàn)供應鏈攻擊傳播：軟件(jiàn)供應鏈攻擊是(shì)指利用(y♣©∑εòng)軟件(jiàn)供應商與最終用(yòng)戶之間(♥∏§™jiān)的(de)信任關系，在合法軟件(jiàn)正常傳± ®Ω播和(hé)升級過程中，利用(yòng)軟件(jiàn)供應商的(de)各種疏★ε≥忽或漏洞，對(duì)合法軟件(jiàn)進行(xíng)劫λ↕ 持或篡改，從(cóng)而繞過傳統安全産品檢查達到(dào)非法目的(de)的♦♦↔(de)攻擊類型。2017 年(nián)爆發的(de) Firebaδλ£ll、暗(àn)雲 III、類 Petya、異鬼 II、Kuzzle、X$↕​©ShellGhost、CCleaner 等後門(mén)ε© 事(shì)件(jiàn)均屬于軟件(jiànφγ×∞)供應鏈攻擊。

4. 郵件(jiàn)附件(jiàn)傳播：通(tōng)過僞裝成産品訂單詳情或圖紙(zhǐ)等重ε©‌φ要(yào)文(wén)檔類的(de)釣魚郵件(jiàn)，§×↕在附件(jiàn)中夾帶含有(yǒu)惡意代碼的(₽γ&&de)腳本文(wén)件(jiàn)。一(≤±yī)旦用(yòng)戶打開(kāi)郵件<∏♦π(jiàn)附件(jiàn)，便會(huì)執行(xíng)  裡(lǐ)面的(de)腳本，釋放(fàng)勒索≥£病毒。這(zhè)類傳播方式主要(yào)瞄準公司企業(yè)、Ω&各類單位和(hé)院校(xiào)，目的(de)是(shì)給公司業(yè≤‌'©)務的(de)運轉制(zhì)造破壞，迫使公司交付贖金(jīn)。

5. 利用(yòng)挂馬網頁傳播：通(tōng)過入侵主流網站(zhàn)的(de)服務器(qì)，在σγ正常網頁中植入木(mù)馬，讓訪問(wèn)者在浏覽網♣λ¥頁時(shí)利用(yòng) IE 或 Flash 等軟件(jiàn)漏≈$<♣洞進行(xíng)攻擊。這(zhè)類勒索軟件(jiàn × §)屬于撒網抓魚式的(de)傳播，一(yī♠§)般中招的(de)受害者多(duō)數(sε☆λhù)為(wèi)裸奔用(yòng)戶，未安裝任何殺毒軟件(jiàn)ε×>€。

（三）攻擊特點

1. 無 C2 服務器(qì)加密技(jì)術(shù)流行(xíng)：2017 年(nián)，無 C2 服務器(qì)加密技(jì)術(shγ<ù)在勒索軟件(jiàn)攻擊中流行(xíng)起來(lái)。這(z£↕hè)種技(jì)術(shù)使得(de)勒索軟件(jiàn)的(de)'₩φ↑攻擊更加難以防範，給安全防護帶來(lái)了(le)更大(dà)β®✔的(de)挑戰。

2. 攻擊目标轉向政企機(jī)構：勒索軟件(jiàn)的(de)攻擊目标逐漸轉向政企機(jī)構。政企機(jī✔∞)構通(tōng)常擁有(yǒu)大(dà)βΩ♥↑量的(de)敏感數(shù)據和(hé)重£∑"要(yào)信息，一(yī)旦被攻擊，可(kě)能(n€←éng)會(huì)造成嚴重的(de)後果。

3. 攻擊目的(de)多(duō)樣化(huà)：攻擊目的(de)不(bù)再僅僅是(shì)勒索贖金(jīφ₩☆$n)，還(hái)包括竊取敏感信息、破壞系統等€ 。這(zhè)種多(duō)樣化(huà)的(de)攻擊目∏✘♣Ω的(de)使得(de)勒索軟件(jiàn)攻擊更加複雜(z≤↑φΩá)和(hé)危險。

4. 平台化(huà)運營：勒索軟件(jiàn)開(kāi)始呈現"∞&(xiàn)平台化(huà)運營的(de)趨勢。黑(hēi)客組織‍π✘≠通(tōng)過搭建勒索軟件(jiàn)平台，招¶•募成員(yuán)，共同實施攻擊，提高(gāo)攻擊效率和(π↓₽hé)成功率。

5. 境外(wài)攻擊者多(duō)于境內(nèi)攻擊者：2017 年(nián)，勒索軟件(jiàn)攻擊的(de)源頭大(©≥≥↓dà)多(duō)來(lái)自(zì)境∞↓外(wài)。國(guó)內(nèi)攻擊者技(jì)術(shù)水(s₹× →huǐ)平有(yǒu)限，同國(guó)± ™外(wài)攻擊者相(xiàng)比，勒索軟件(jiàn)的(deγσ€)制(zhì)作(zuò)水(shuǐ)平也(yě)存在較'<大(dà)差距，部分(fēn)國(guó)內(n£∑↕₹èi)攻擊者編寫的(de)勒索軟件(jiàn)程序甚至存在¶™•很(hěn)多(duō)漏洞，較易被破解。

（四）受影(yǐng)響地(dì)區(qū)與行(x₩ λβíng)業(yè)

1. 受影(yǐng)響地(dì)區(qū)：遭遇勒索軟件(jiàn)攻擊的(de)國(guó)內(nèi)電(d♥±iàn)腦(nǎo)用(yòng)戶遍布全國(guó​£)所有(yǒu)省份。其中，廣東(dōng)占比最高(gāo)，為(¶'wèi) 14.9%，其次是(shì)浙江±"≠ 8.2%，江蘇 7.7%。排名前十省份占國(guó)內(nèi)所有(Ω¶∏≠yǒu)被攻擊總量的(de) 64.1%。

2. 受影(yǐng)響行(xíng)業(yè¥∑¥)：

• • 政企機(jī)構：抽樣調研顯示，在遭到(dào)勒索軟件(jiàn)攻擊的(de)政企‍ 機(jī)構中，能(néng)源行(xíng)業(yè)是(shì)遭 ∏™©受勒索軟件(jiàn)攻擊最多(duō)的(de)行(xíng)業(♣®∑σyè)，占比為(wèi) 42.1%，其次是(shì)醫α♥♠(yī)療行(xíng)業(yè)為(wèi) 22.8•≥↓±%，金(jīn)融行(xíng)業(yè)為(wèi) 17.8%。

• • 受害者總體(tǐ)：在向 360 互聯網安全中心求助的(de)所有(yǒu)勒索軟件'↔(jiàn)受害者中，IT / 互聯網行(xíng)業♠ (yè)的(de)受害者最多(duō)，占比為(∑∑wèi) 27.0%；其次是(shì)制(zh'φ≥¥ì)造業(yè)，占比為(wèi) 18.6%；教育行(xíng)業(yè)≤¶&♠占比為(wèi) 14.8%。

3. 重點瞄準中小(xiǎo)企業(yè)：約 15% 的(de)勒索軟件(jiàn)攻擊是(®↔™shì)針對(duì)中小(xiǎo)企業(yè)服務器(π±'qì)發起的(de)定向攻擊，尤以 Crysis、xtbl、wal∏εlet、arena、Cobra 等家(jiā)族為(wèi)代表•"™。

4. 男(nán)性及普通(tōng)職員(yuán)易 “中毒α€&”：2017 年(nián) 1 月(yuè)至 11 月(y​≥<§uè)，360 反勒索服務共接到(dào)♥←§了(le) 2325 位遭遇勒索軟件(jiàn)攻擊的(de)'•受害者求助。調研數(shù)據顯示，男(nán)性是(♦¶shì)最容易受到(dào)勒索軟件(jiàn)™‌☆♦攻擊的(de)對(duì)象，占比高(gāo)達 90.5%，而女(nǚ)性¶'↕↑占比僅為(wèi) 9.5%。從(cóng)求助的(de)受害者工(gσ♣×ōng)作(zuò)職位來(lái)看(kàn)，普通(tōn"≥•<g)職員(yuán)超過受害者總數(shù)的(de)一(yī)半以上×→(shàng)，占 51.8%，其次是(shì)經理(lǐ)、高(gāo)級 £經理(lǐ)，占 33.0%，企業(yè)中、中高(g•δ∞₩āo)管理(lǐ)層，占 13.4%，CEO、董事(shì)長(c∞'háng)、總裁等占比為(wèi) 1.8%。

5. 辦公文(wén)檔等文(wén)件(jiàn)易被加密：從(cóng)求助的(de)受害者文(wén)件(jià♣₹n)感染類型可(kě)以看(kàn)出，87.6% 是(shì)受害者電(®βσdiàn)腦(nǎo)上(shàng)的(de)辦公文(↑"δ€wén)檔被感染，其次，77.4% 的(de)圖片£<ε文(wén)件(jiàn)被感染，54.0% 的(de)視(shì)頻(pí€♠←★n)文(wén)件(jiàn)被感染，48.7% λ ¥的(de)音(yīn)頻(pín)文(wén)件(jiàn)被感染，8.2%  ≥的(de)數(shù)據庫文(wén)件(jiàn)被感染'β。在求助的(de)受害者中，已有(yǒu) 5.8% 的(de≤∞☆ε)受害者為(wèi)了(le)恢複文(wén)件(jiàn)π"₩φ而支付贖金(jīn)，另外(wài) 94.2∞&% 的(de)受害者選擇了(le)拒絕為(wèi)恢複文(wén)件(<λ♦"jiàn)而支付贖金(jīn)。

五、2023 年(nián)勒索軟件(jiàn)威脅态勢

（一(yī)）攻擊數(shù)量增長(cháng)

根據多(duō)個(gè)權威報(bào)₽π φ告顯示，截至 2023 年(nián) 10 ↓×φ月(yuè)，全球勒索軟件(jiàn)攻擊數(shù)量₩¶同比增長(cháng) 37.75%。研究÷≤人(rén)員(yuán)通(tōng)過 Zscale•♠↔r 覆蓋全球的(de)沙箱中觀察到(dào)，勒≥"‍γ索軟件(jiàn)的(de)有(yǒu)效攻擊載荷激增了(l∑♠Ωe) 57.50%。這(zhè)表明(míng)全球企業(yè)組織面✔∏臨著(zhe)更為(wèi)嚴峻的(de)勒索軟±≤件(jiàn)威脅。

（二）針對(duì)家(jiā)庭和(hé)個(gè)人(rén)的↑∑Ω(de) “雙重勒索” 及藝術(shù)等行←<≥ (xíng)業(yè)攻擊增加

研究人(rén)員(yuán)發現(xi∑÷$§àn)針對(duì)家(jiā)庭和(hé)♠×φ 個(gè)人(rén)等 C 端用(yòng)戶的(de) ♠€✘“雙重勒索” 攻擊在 202♣↓3 年(nián)激增了(le)驚人(rén)的(d↑®♣ e) 550%。此外(wài)，針對(duì)藝術(shù)、★£>β娛樂(yuè)和(hé)休閑行(xíng)業(yè)的(de)攻擊也(yě)大£$®★(dà)幅增加了(le) 433.33%。←↓在 2022 版報(bào)告中，這(zhè)些₽<≠λ(xiē)行(xíng)業(yè)的(de)攻擊基線相(β€​ xiàng)對(duì)較低(dī)，使得(de)它們在 2023♠£¥♠ 年(nián)的(de)增長(cháng)看(kàn)起來(<©π≠lái)非常明(míng)顯。這(zhè)再次強調了(le)勒∑<λ索軟件(jiàn)攻擊針對(duì)廣泛行(xíng)業↓>(yè)的(de)不(bù)斷發展本質，所有(yǒu)行(xíng✘↕♠β)業(yè)都(dōu)可(kě)能(néng)遭遇勒索軟件(jiàn ↓α)事(shì)件(jiàn)的(de)突然激增。

（三）攻擊者調整策略

1. 利用(yòng)新語言和(hé)算(suà£δ∞n)法：勒索軟件(jiàn)攻擊者正在從(cóng) C/C++ 等語言轉→¶♣向新型的(de) Golang 和(hé) Rust 語言，以優化(huà)✔ ₽加密速度和(hé)跨平台兼容性。同時(shí)，勒索軟件(jiàn)開(kā•←i)發者已經從(cóng)基于 RSA 的(de'"↔₽)加密轉向基于橢圓曲線的(de)算(suàn)法±σש，包括 Curve25519、NIST ≥♦↓>B - 233 和(hé) NIST P - 521。攻擊者還(hái)開☆₩(kāi)始使用(yòng)更高(gāo)☆δ≈級的(de)多(duō)态混淆來(lái)阻礙分(fēn)析和(hé)逃避®‍€靜(jìng)态反病毒簽名。

2. 轉向無加密勒索攻擊：傳統的(de)勒索軟件(jiàn)會(huì)對(duì)≈$受害者的(de)文(wén)件(jiàn)✘♠進行(xíng)加密，并要(yào)求支付贖金(β✔☆∑jīn)才能(néng)釋放(fàng)文(wén)δ✘件(jiàn)。然而，越來(lái)越多(duō)的(de↕π)網絡犯罪分(fēn)子(zǐ)正在轉向無加密勒索攻擊。在這(zhè)種攻擊™★☆模式中，攻擊者不(bù)再加密受害者的(de)文(wé€≥n)件(jiàn)，轉而專注于竊取敏感數(s¶₹÷hù)據作(zuò)為(wèi)勒索的(de)籌碼。這(zh♣β§è)給受害者和(hé)安全專業(yè)人(rén)員(yuán)帶來(lái)‍φ了(le)新的(de)挑戰，因為(wèi)♠≥€£傳統的(de)文(wén)件(jiàn)恢複和(hé)解₩•↕§密方法将不(bù)再适用(yòng)于對(duì)無加密勒索攻擊的(de)防護¶ 。

（四）防護建議(yì)

1. 實施最低(dī)權限訪問(wèn)策略：限制(zhì)用(yòng)戶僅能(néng)訪$δ•問(wèn)完成工(gōng)作(zuò)所需的(de)資源，防止攻擊者訪₽☆γ♦問(wèn)敏感數(shù)據或系統，即使他(tā)們危及用(yò↓↔"ng)戶賬戶。

2. 啓用(yòng)多(duō)因素身(shēn)份驗證（MFA）：為(wèi)用(yòng)戶賬戶添加額外(wài)的(de)安全層，防♣™ ¶止攻擊者在獲得(de)受損憑證後訪問(wèn)用(yòng)戶賬戶。

3. 保持軟件(jiàn)更新：一(yī)旦新的(de)安全補丁發布，應立即應用(§λ≤yòng)，以修複可(kě)能(néng)被攻擊者利用(yòng‌&)的(de)漏洞。

4. 使用(yòng)零信任架構：保護內(nèi)部應用(yòng)程序，↔←♠÷實現(xiàn)用(yòng)戶和(hé)應≠"≈用(yòng)程序之間(jiān)的(de)精細分© (fēn)割，同時(shí)使用(yòng)動态最小(xiǎo)權☆§£¶限訪問(wèn)控制(zhì)代理(lǐ)，消除橫向移動的(de)可(≥ ​kě)能(néng)性。

5. 增強對(duì)加密流量的(de)檢查能(nén₩€↑g)力：超過 95% 的(de)攻擊使用(yòng)加密通 ¶$&(tōng)道(dào)，因此組織必須檢查所有(yǒu)流量，無論γ≠其是(shì)否加密，以防止攻擊者破壞其系統。

6. 使用(yòng)先進的(de)沙箱技(jì)術(shù)：自(zì)動檢測未知(zhī)的(de)威脅載α‌荷。基于簽名的(de)檢測無法防範最新的(de)勒索軟件(jiàn)變種，先£✔✔進的(de)內(nèi)聯沙箱可(kě)以檢測未知(zhī)的​™(de)有(yǒu)效負載，并在其到(dào)達用(yò€♠"©ng)戶之前阻止其執行(xíng)。

7. 使用(yòng)內(nèi)聯數(shù)據丢失防護（DLP）：防止敏感數(shù)據洩露、丢失或曝露。

8. 使用(yòng)欺騙技(jì)術(shù)：引誘攻擊者進入陷阱。欺騙工(gōng)具≥÷★≠可(kě)以創建看(kàn)起來(lái)像有(y‌✔γǒu)價值的(de)目标的(de)資産和(hé)數(shù)據，浪費(fèi)±★攻擊者的(de)時(shí)間(jiān)和(hé)資源♥ε∞β，并阻止他(tā)們發現(xiàn)和(hé)利用(yòng)真正的<✘€$(de)漏洞。

9. 使用(yòng)雲訪問(wèn)安全代理(lǐ)（CASB）：控制(zhì)和(hé)監視(shì)雲應用(yòng♠£ ←)程序的(de)使用(yòng)情況，防止用(yòn"×₹g)戶從(cóng)雲應用(yòng)程序下(xià)載惡意文♦₩(wén)件(jiàn)，并防止數(shù)據洩露到(±✘<dào)雲端。

10. 制(zhì)定應對(duì)計(jì)劃：以便在發生(shēng)勒索軟件(jiàn)攻擊時(shí)能(né$©ng)夠快(kuài)速有(yǒu)效地(dì)采取行≈∑(xíng)動，包括數(shù)據恢複、事(shì)件(jià™γn)響應以及與客戶和(hé)員(yuán)工(gōng)的(de)溝通(tλ←>φōng)。制(zhì)定一(yī)緻的(de)安全策略，确保組織σ≤內(nèi)外(wài)的(de)所有(yǒu)用(y≥α∏↑òng)戶都(dōu)遵循相(xiàng)同的(de)安₽®" 全流程。定期進行(xíng)安全意識培訓，幫>® ‍助員(yuán)工(gōng)識别和(hé)避免勒索軟件(jiàn)攻擊。✔ ÷

六、攻擊常見(jiàn)特點

（一(yī)）網絡釣魚攻擊配合

• 攻擊方式：攻擊者經常發送看(kàn)似 “真實的(de)&r₹"±∏dquo; 網絡郵件(jiàn)，誘導用(yòng)戶β£點擊看(kàn)似合法的(de)鏈接或打開(kāi)帶有(yǒ×Ω™↔u)惡意軟件(jiàn)的(de)附件(jiàn)。例如(rú)，用↕↕(yòng)戶可(kě)能(néng)會(huì)收到(dào)一(yī∞♠→$)封郵件(jiàn)，聲稱是(shì)銀(y↓§ín)行(xíng)或其他(tā)重要(yào)機(jī)←¶構的(de)通(tōng)知(zhī)，≥£↕提醒用(yòng)戶賬戶存在安全威脅，需要(yào)通(t★®↕∞ōng)過提供的(de)鏈接解決問(wèn)題。一(yī)旦>£ ≈用(yòng)戶點擊鏈接，就(jiù)會(huì)被引導至₽∏↓$僞造的(de)網站(zhàn)，竊取用(yòng)戶的(®×"de)登錄賬号、密碼、銀(yín)行(xíng)卡号等私人(r✔שén)信息。

• 難以察覺性：這(zhè)種攻擊速度快(kuài)、成本低(dī)且容易₹€維持，一(yī)般網民(mín)不(bù)容易察☆φΩ₹覺。據統計(jì)，每年(nián)有(y®♣×ǒu)大(dà)量用(yòng)戶因網絡釣魚攻擊而遭受損失。例如(€•rú)，在 [具體(tǐ)年(nián)份]，全球因網絡釣魚攻‍©☆擊導緻的(de)經濟損失高(gāo)達 [具體(tǐ)金(jīδ€n)額]。執法部門(mén)也(yě)難以跟蹤和(hé)起訴®×∞ ，因為(wèi)網絡釣魚攻擊多(duō)為(wèi)跨國(guó)、跨境™™作(zuò)案，具有(yǒu)在網絡空(kōng)間(jiān↔π×)難以追蹤等特性。

（二）鎖定高(gāo)價值目标

• 重大(dà)攻擊事(shì)件(jiàn)：近(jìn)幾個(gè)月(yuè)來(lái)，®☆全球發生(shēng)多(duō)起重大(dà)勒索軟件(jiàn)攻擊★β事(shì)件(jiàn)，都(dōu)鎖定高(gāo)價>×值的(de)關鍵資産。如(rú) 5 月(yuè)初，美(měi)國™∏(guó)科(kē)洛尼爾管道(dào)運輸公司遭勒‍↓索軟件(jiàn)攻擊，一(yī)條輸油幹線被迫關停數(shù)日(rì)，™₩≥★導緻美(měi)國(guó)多(duō)個(gè)州和(hé)地(dì★∑φ)區(qū)一(yī)度面臨燃油供應危機♠↕↓(jī)。該公司以比特币方式向黑(hēi)客支付♦♦≥價值近(jìn) 500 萬美(měi)元贖金(jīn)。5 月(yuè∏<↔₹)底，世界肉類加工(gōng)巨頭 JBS 公司受到('≈₽dào)黑(hēi)客攻擊，其北(běi)美(měi)和(hé)澳大(β±♥βdà)利亞的(de)信息系統被 “黑(hē€​π✘i)”，部分(fēn)工(gōng)廠(ch✔πǎng)癱瘓，公司向黑(hēi)客支付相(xiàng)當于£α> 1100 萬美(měi)元的(de)贖金(jīn'¶)。

• 負面影(yǐng)響：這(zhè)些(xiē)攻擊索要(yào)的(de)贖金(jīn)數(s₩ σhù)額巨大(dà)，造成廣泛負面影(yǐ ✔ ng)響。不(bù)僅對(duì)被攻擊企業(yè≈ '↓)造成經濟損失，還(hái)可(kě)能(néngΩ¶)影(yǐng)響到(dào)相(xià∑✘☆βng)關行(xíng)業(yè)和(hé)地(dì)區(qū)的(de≈∏↓)經濟穩定。例如(rú)，科(kē)洛尼爾管道(d£≥₹ào)運輸公司被攻擊後，美(měi)國(guó)多(duō)個(gè)州和(♦πhé)地(dì)區(qū)的(de)燃油供應受到(dào)影(yǐng)響，導&← π緻油價上(shàng)漲，民(mín)衆生(shēng)活受到(dào)幹♣→φ擾。

（三）攻擊模式進化(huà)

• 團隊産業(yè)分(fēn)工(gōng)：勒索軟件(jiàn)攻擊已從(cóng)個(gè)人♣≤(rén)行(xíng)為(wèi)演變為(wèi‍")團隊産業(yè)。黑(hēi)客組織內(nèi)部往往分(fēn)∞♦工(gōng)嚴密，由勒索軟件(jiàn)供應商↕α、贖金(jīn)談判人(rén)員(yuán)、攻擊執行(xíng)>"人(rén)員(yuán)及話(huà)務員(λ♥yuán)等組成。例如(rú)，“邪惡” Ω$和(hé) “黑(hēi)暗(àn)面&rdγ→♣'quo; 均采取名為(wèi) “勒索軟件(jiàn)即服務&rd₽₽γquo; 的(de)作(zuò)案模式，上(shàng)遊團夥編寫勒索軟件♠<β(jiàn)并提供攻擊設施，下(xià)∏γ遊團夥負責實施攻擊，上(shàng)下(xià)遊 “分(✘→fēn)享” 贖金(jīn)。

• “雙重勒索” 危害：采用(yòng) “雙重勒索&rd‌♦quo; 方式，黑(hēi)客首先竊取存儲在受害者系統內(nèi)的(de ♣)敏感信息，然後對(duì)這(zhè)些(xiē)敏感數(shù∞♠<§)據加密，并要(yào)求以贖金(jīn)換‍$取密鑰；如(rú)果勒索目标拒絕支付贖金(jīn)，他(t≥ ā)們就(jiù)在網上(shàng)公布竊取的♠₩(de)數(shù)據。這(zhè)意味著(zhe)無論受害≥§者是(shì)否預先備份了(le)數(shù)據，都(dōu)可(kě)能(n↑βéng)被迫支付贖金(jīn)。中國(guó)瑞星公司 6 月(yuè)發¶±∞∑布的(de)《瑞星防勒索指南(nán)》認為(wèi)，這(zh‍•¶è)種 “複合勒索”±← 使受害企業(yè)既面臨隐私數(shù)據洩露，還(hái)∏™σβ面臨相(xiàng)關法規、财務和(hé)聲譽受損等多(duō)重風(fēng >÷↑)險。

（四）成為(wèi)金(jīn)融行(xíng)業(yè✔±‌)頭号威脅

• 攻擊目标轉變：勒索軟件(jiàn)攻擊目标從(cóng)個(gΩδè)人(rén)轉向企業(yè)和(hé)政府，金(jīn)融行(xíng)♥♠<業(yè)成為(wèi)重災區(qū)。據相(xiàng)關機(jī)構統計¶®≤♥(jì)，近(jìn)年(nián)來(lái♦σ&)遭受勒索軟件(jiàn)威脅的(de)個(gè)人(rén)用(yòng♠₹©♠)戶數(shù)量顯著下(xià)降，而企業(yè)、政府ε‌等受到(dào)勒索軟件(jiàn)威脅程度越來(lái)越高(gā☆§$≠o)。例如(rú)，2021 年(nián) ‌γ>針對(duì)金(jīn)融行(xíng)業(yè)的(de)勒索軟件(j ‌iàn)攻擊事(shì)件(jiàn)層出不(bù)窮，支付÷£÷處理(lǐ)商 AFTS、美(měi)國(guó)保險巨‌₩¥頭 CNA、全球最大(dà)保險公司法國(g↔♦>uó)安盛集團等金(jīn)融機(jī)構都(dōu)遭受了(le)勒索β•軟件(jiàn)攻擊。

• 模式規模化(huà)和(hé)專業(yè)化(h ≠<∑uà)：攻擊模式規模化(huà)和(hé)專業(yè)化(huà)φ>，黑(hēi)客組織結合 APT 攻擊，在發起勒索攻擊之前，已經λ₽潛伏和(hé)控制(zhì)目标網絡相(xiàng)當長(cháng)一(₽σ‍€yī)段時(shí)間(jiān)，直到(dào)時(shí)機♥£↔¶(jī)成熟才發起最後攻擊，讓受害者損失最大(d✘✔à)化(huà)，從(cóng)而勒索更多(d 'uō)贖金(jīn)。例如(rú)，在某些(xiē)金(jīn♥€★)融機(jī)構被攻擊的(de)案例中，黑(hēi)客組織在攻擊>∞$≤前進行(xíng)了(le)長(cháng)時(s∏••δhí)間(jiān)的(de)偵察和(hé)準備，利用(yòng)漏洞探測攻α←  擊掃描，發現(xiàn)沒有(yǒu)安裝的₽∏‍(de)補丁，為(wèi)攻擊進行(xíng)戰略準備✔≠♥α，找到(dào)敏感文(wén)件(jiàn)後進行(xíng)攻擊，影(↕'☆yǐng)響服務器(qì)安全。

• 加密和(hé)竊取 “雙重勒索&rdquo ↔Ω;：攻擊手段逐漸以加密勒索轉變為(wèi)加密和(h'β™é)竊取 “雙重勒索” 方≈÷式，危害更大(dà)。大(dà)部分(fēn)金(jīΩ♥n)融行(xíng)業(yè)的(de)勒索攻擊事(shì↔↔)件(jiàn)都(dōu)伴随文(wén)件(jiàn)竊取<$•或信息洩露，除了(le)系統破壞風(fēng)險外(wài)，還(h≠↔♥​ái)存在數(shù)據竊取和(hé)信息洩露風(f&∑ēng)險。例如(rú)，在一(yī)些(xiē)™♥ ↓金(jīn)融機(jī)構被攻擊的(de)案例中，黑(hēi)客竊取了( ≠ le)客戶醫(yī)療報(bào)告、銀(yín)行(xínσ®g)賬戶對(duì)賬單、付款記錄及合同等敏感信息，以此↕☆←要(yào)挾金(jīn)融機(jī)構支付贖金'®✘£(jīn)。

七、主流防護技(jì)術(shù)與建議(yì)

（一(yī)）主流防護技(jì)術(shù)

1. 誘餌文(wén)件(jiàn)技(jì)術(shù)：通(tōng)過部署一(yī)個(gè)幾乎¥→←不(bù)可(kě)能(néng)人(r©÷<én)為(wèi)或正常應用(yòng)訪問(wèn)的(de)文(wλσ☆ én)件(jiàn)，并通(tōng)過設定一(yī)個∞∞↔(gè)阈值進行(xíng)監控，一(yī)旦某進程對(duì)₽¥該文(wén)件(jiàn)的(de)訪問(wèn)超過&'φ₩這(zhè)個(gè)阈值，則認為(wèi)該進程為(​$wèi)異常進程，可(kě)能(néng)為(wèi)勒索軟件(jià↔ n)的(de)進程。優點是(shì)誘餌文(≈ wén)件(jiàn)識别方法所利用(yòng)的(de)勒索軟件(jià₹> •n)行(xíng)為(wèi)特征是(shì)幾乎所有(yǒu)勒∏★δ$索軟件(jiàn)均具備的(de)，所以此産品具有(yǒu)♠​¶較強的(de)普适性。缺點是(shì)無法應<↑→對(duì)基于數(shù)據竊取的(de)雙重勒索。

2. 文(wén)件(jiàn)狀态變更識别：對(duì)文(wén)件(jiàn)狀态進行(xíng)§"ε監測，一(yī)旦發現(xiàn)該文(wén)件(ji≠•₽àn)夾的(de)文(wén)件(jiàn)存♥₩↑在對(duì)大(dà)量文(wén)件(jiàn)的(de)原地(dì☆σ÷)讀(dú)寫、進行(xíng)大(dà)量創建同名不(bùλ₽ ₩)同擴展名文(wén)件(jiàn)的(dα≠←‍e)工(gōng)作(zuò)、對(duì)大(dà)量≤γ<←文(wén)件(jiàn)增加後綴等情況，則×​認為(wèi)存在風(fēng)險，需要(y¶¥ào)對(duì)文(wén)件(jiàn)進行(÷≥→αxíng)備份處理(lǐ)。優點是(shì)在文(wén)件(jiàn&∑βγ)變更時(shí)可(kě)以對(duì)文(wén)件(jiàn)進行¥×λ(xíng)備份，一(yī)旦出現(xiàn)被解鎖等情況，能(né☆¶§✔ng)夠及時(shí)有(yǒu)效恢複。缺點是(shì)無法應對(duì)λε↔&基于數(shù)據竊取的(de)雙重勒索。

3. 內(nèi)核搶占：利用(yòng)部分(fēn)勒索軟件(jiàn)在執行(xín✔©g)前會(huì)檢索是(shì)否有(yǒu)别的•Ω✘(de)勒索軟件(jiàn)在內(nèi)核處有(yǒu)σ♣&記錄這(zhè)一(yī)特點，通(tōng)過僞επ♦≠造加密标識誘騙勒索病毒退出程序。優點是(shì)對(du  ì)系統影(yǐng)響較小(xiǎo)，且能∑βσ♠(néng)應對(duì)各種類型的(de)βγ'≠勒索攻擊。缺點是(shì)隻有(yǒu)部分(fēn)勒索軟件(jiàn)會(<☆huì)執行(xíng)內(nèi)核檢測工(gōng)作(zu♠±↔€ò)，局限性較大(dà)。

4. 數(shù)據資産操作(zuò)管控：在計(jì)算(suàn)執行(xíng)環境中以文(wé&✔n)件(jiàn)夾、磁盤等方式劃分(f₽¥&↕ēn)出安全空(kōng)間(jiān)，在此空(kōng)間(jiān)內♣×<(nèi)的(de)數(shù)據資産采用(yòng)白(bái)名單的(de∑© )方式進行(xíng)資産訪問(wèn)。極限情況下(xià)，可(kě)以π≠ε'将整個(gè)設備作(zuò)為(wèi)安全空(kōng)間(jiān)£π≥，對(duì)全盤進行(xíng)保護。優點是(shì)能(néng)夠↔ π☆對(duì)任何類型的(de)勒索攻擊進行(xí☆€β÷ng)防護，具有(yǒu)較高(gāo)的(de)←♣安全性。缺點是(shì)會(huì)占用(yò♥'© ng)一(yī)部分(fēn)內(nèi)存、空(kōng)間(ji↕ ≥®ān)，且隻能(néng)對(duì)有(yǒu)限數(shù)據資源進行(φ♥ §xíng)防護，适用(yòng)于高(gāo‌  )價值數(shù)據的(de)保護。

（二）用(yòng)戶選型因素考量

1. 是(shì)否是(shì)勒索攻擊的(de)主要(yào)目标範圍✘ ：雖然存在對(duì)特定企業(yè)的(de)定向¶•®勒索攻擊，但(dàn)大(dà)部分(fēn)勒索攻擊通(tōng)₩β±∏常将定向攻擊定為(wèi)對(duì)某個(gè)≤∏₩§行(xíng)業(yè)、某個(gè)行(xíng)業(yè)或某個(gè)地≈γ​™(dì)區(qū)進行(xíng)攻擊。因此，自↔☆(zì)身(shēn)所處的(de)行(xíng)業(yè)、♣±'σ所處的(de)地(dì)域等都(dōu)會(huì)對(duì)自(↕₹☆zì)己造成影(yǐng)響。

2. 是(shì)否有(yǒu)充足的(de)預算(s∏≠uàn)：在進行(xíng)安全建設時(shí)，預算(suàn)是∞β(shì)否充足一(yī)直是(shì)企業(yè)必須要(yà♥α¶o)面對(duì)的(de)問(wèn)題。勒索軟件('₩♣jiàn)防護是(shì)已具備基本防護能λ•±(néng)力後，針對(duì)特定安全風(fēng)險進行(xíng≈±<•)的(de)防護手段。如(rú)果沒有(yǒu)足夠充足的(de)預算(su ™àn)，首要(yào)考慮的(de)是(shì)做(zuò)好(hǎo§ε₽)整體(tǐ)防禦，獨立勒索軟件(jiàn)防護技(jì)術(sh® ♠$ù)可(kě)以融合在終端安全防護、數(shù)據安全防護等防護能(néng)★± ​力之內(nèi)。

3. 是(shì)否曾經被成功攻擊：企業(yè)被成功攻擊讓别的(de)攻擊者認為(wèi)其容易被攻破；企±★¶業(yè)支付贖金(jīn)則讓别的(de)攻擊者認為(wèi)其更>π≥∞容易支付贖金(jīn)。企業(yè)被重複勒索的(de)現(xiànδ∑₩)象時(shí)有(yǒu)發生(shēng)，如(rú) 2021 年(ni‌♥‌án) 9 月(yuè)日(rì)本科(kē)∏ 技(jì)巨頭奧林(lín)巴斯被 Blac​∏♦σkMatter 勒索軟件(jiàn)攻擊，而在 10 月(yuè) 10 日←¥δ(rì)，奧林(lín)巴斯又(yòu)被 Maca♥"↕w 勒索。

（三）防護建議(yì)

用(yòng)戶可(kě)以在整體(tǐ)安全防護之上(shà α ng)，采用(yòng)有(yǒu)針對(du÷φ♣ì)性的(de)勒索軟件(jiàn)防護技(jì)術↕>(shù)。主流的(de)勒索軟件(jiàn)防護産品大(dà)緻分(fē>♠÷÷n)為(wèi)針對(duì)系統安全的(de)防護以及針對(duì)文↑™&₽(wén)件(jiàn)安全的(de)防護。企業(yè)在進行(xíng±₹)勒索軟件(jiàn)産品選型時(shí)，需要↕©(yào)判斷自(zì)身(shēn)更需要(yào)何種網絡安全産<₽∑©品。如(rú)果對(duì)業(yè)務連♥♠‌續性要(yào)求高(gāo)，建議(yì)選擇基于誘餌文α≠Ω(wén)件(jiàn)的(de)勒索防護産品；如(rú)果對(duì)數( §shù)據安全性要(yào)求高(gāo)，建議(<'↕πyì)選擇基于文(wén)件(jiàn)狀态變更識别的>÷β(de)勒索防護産品或數(shù)據資産∏‌♠操作(zuò)管控産品。
此外(wài)，為(wèi)了(le)更好(hǎo)地(dì)防₹₩‌範勒索軟件(jiàn)攻擊，企業(yè)還(hái)可(kě)以采取σ∞δ©以下(xià)措施：

1. 定期備份數(shù)據：将數(shù)據備份到(dào)外(w™'∞ài)部硬盤驅動器(qì)或雲服務器(qì)是(shì)防範勒索軟件(j★♠γδiàn)攻擊的(de)基本舉措之一(yī)。備份的(de)頻(pín≠≤ )率和(hé)範圍需要(yào)根據實際情況進行("₩xíng)合理(lǐ)的(de)規劃，确保備份的(de)及時€δ(shí)性和(hé)全面性。

2. 更新系統和(hé)軟件(jiàn)：保持系統和(hé)軟件(jiàn)§$​§的(de)及時(shí)更新是(shì)✔×提高(gāo)網絡安全的(de)有(yǒ♠✘δu)效手段之一(yī)。及時(shí)安裝操作(zuò)α✘系統和(hé)軟件(jiàn)的(de)更新，可(kě)以修複已επ 知(zhī)的(de)安全漏洞，降低(dī)系統受到(dà≈↕αo)攻擊的(de)概率。

3. 部署安全軟件(jiàn)：部署信譽良好(hǎo)的(d₹ e)安全軟件(jiàn)對(duì)于防範勒索軟件(jiàn)攻擊至關β∏↕∏重要(yào)。殺毒軟件(jiàn)、反惡意軟件(jiàn)工(gōδ<≠ng)具等安全軟件(jiàn)能(néng)夠有(yǒu)效地(§$♣dì)檢測和(hé)清除潛在的(de)威脅，提供實時(shí×™ )的(de)安全保護。

4. 加強網絡安全教育：加強網絡安全教育是(shì)φβ↑¥提高(gāo)用(yòng)戶防範意識的(de)重要(yào)'☆ β途徑。通(tōng)過培訓，用(yòng)戶β×<‌能(néng)夠更好(hǎo)地(dì)識别潛在的(de)威脅，了(le)解<λ防範勒索軟件(jiàn)攻擊的(de)基本知(zhī)識和(hé)技 £₹γ(jì)能(néng)。

5. 采用(yòng)網絡隔離(lí)的(de)策略：在企業(yè)網絡環境中， >π采用(yòng)網絡隔離(lí)的(de)策略可(kě)以有(yǒδ♣♣£u)效地(dì)限制(zhì)勒索軟件(jiàn)攻擊的(de)傳播範圍。将♣∞₩→網絡劃分(fēn)為(wèi)多(duō >÷)個(gè)區(qū)域，合理(lǐ)設置網絡&♣訪問(wèn)權限，可(kě)以減緩攻擊的(de)擴散♥≥速度，降低(dī)整體(tǐ)受到(dào)攻擊的σ‍ ‍(de)風(fēng)險。

6. 實施網絡監控：實施網絡監控是(shì)發現(xiàn)和(hé)應 ☆對(duì)勒索軟件(jiàn)攻擊的(de)重要(yào)手段。通€∞(tōng)過監控系統活動，及時(shí)發現(xσ iàn)異常行(xíng)為(wèi)，可(kě)以在攻擊€♥≈擴散之前采取措施進行(xíng)阻止。

7. 制(zhì)定緊急應對(duì)計(jì)劃：在遭受到(<>Ωdào)勒索軟件(jiàn)攻擊時(shí)，擁有(λ±↕yǒu)一(yī)個(gè)明(míng)确的(de)↑δ緊急應對(duì)計(jì)劃至關重要(yào)。♣γ 該計(jì)劃應該包括聯系安全專家(jiā)、斷網、₩σ↔通(tōng)知(zhī)相(xiàng)關人(rén)員(yuán∞♥≈♣)等一(yī)系列步驟，以最小(xiǎo)化(huà)受到(dào)攻擊的(€πλλde)損失。

8. 加強物(wù)理(lǐ)安全：在防範勒索軟件(jiàn)攻擊中，✘‌☆不(bù)僅要(yào)關注網絡層面的(de)安全，還(hái)§ ÷需要(yào)加強物(wù)理(lǐ)安全>→∏ε。對(duì)服務器(qì)房(fáng)間(&↔jiān)、網絡設備等進行(xíng)物(wù)理(l&εǐ)安全措施，防止未經授權的(de)人(rén)員(yuán)物(÷δwù)理(lǐ)上(shàng)接觸設備，提高(gāo)φ♥≠÷整體(tǐ)系統的(de)安全性。

墨者安全 防護盾

墨者安全作(zuò)為(wèi)專業(yè)級别安全₽δ防護專家(jiā)，在應對(duì) Webs≤£≠hell 風(fēng)險隐患方面展現(¥£ xiàn)出了(le)卓越的(de)能(néε®∏ng)力。其擁有(yǒu)全面的(de)檢測機(jī™↓↑)制(zhì)，能(néng)夠精準識别 Weγ÷↑©bshell 的(de)各種類型和(hé)變體(tǐ)，‌‌÷無論是(shì)複雜(zá)的(de)大(dà​≠φπ)馬，還(hái)是(shì)隐蔽的(de)內(nèi)存馬，都→φ(dōu)難逃其敏銳的(de)監測。
墨者安全防護盾具備強大(dà)的(de)實時(shí)∏•監控功能(néng)，對(duì)服務器(qì)✘&φ的(de)各項活動進行(xíng) 7*24 ε∑‍小(xiǎo)時(shí)不(bù)間(jiān)斷的(de)監視(sγ₩hì)。一(yī)旦發現(xiàn)任何可(kě)疑的(de)>"δ♥ Webshell 活動迹象，立即發出警報(bào)，并迅速采取隔離(lí)↑δ≤和(hé)清除措施，将風(fēng)險扼殺在萌芽狀态。
在防護策略上(shàng)，墨者安全防護盾采用(yòng)了(le)多(π"duō)層次的(de)防禦體(tǐ)系。不(bù)僅能(né✔×✔ng)夠在網絡層面阻擋外(wài)部的(d‌×​σe)惡意訪問(wèn)和(hé)攻擊，還(hái)能(néng)深入系統內( "δ✘nèi)部，對(duì)服務器(qì)的(de)文(wén)件(jiàn)♣'系統、進程等進行(xíng)深度檢查和(hé)保護，→​α确保 Webshell 無法植入和(hé)運行(xíng)。
同時(shí)，墨者安全防護盾擁有(yǒu)>£€快(kuài)速的(de)應急響應能(néng)力。當 Webshell 攻擊ε •事(shì)件(jiàn)發生(shēng)時(s≈ γhí)，專業(yè)的(de)安全團隊能(néng)夠迅速介入，§♥σ進行(xíng)深入的(de)分(fēn)析和(hé)處δ★♠♦理(lǐ)，最大(dà)程度減少(shǎo)攻擊帶來(lái)的(de)損•§  失，并幫助用(yòng)戶快(kuài)速恢複∞π₽服務器(qì)的(de)正常運行(xíng)。
墨者安全防護盾還(hái)注重用(yòng)戶教育和(hé•₽φ∑)培訓，為(wèi)用(yòng)戶提供關于 Webshell ≥ε€防範的(de)專業(yè)知(zhī)識和(hé)最佳實踐，幫助用(≠‍✘$yòng)戶提升自(zì)身(shēn)的(de)安全意識™₽¥®和(hé)防範能(néng)力，共同構建堅實的(de)網絡安'♠©全防線。