知物由学 | 如何从勒索软件的攻击中全身而退

欢迎访问 网易云社区 ，了解更多网易技术产品运营经验。

“知物由学”是网易云易盾打造的一个品牌栏目，词语出自汉·王充《论衡·实知》。人，能力有高下之分，学习才知道事物的道理，而后才有智慧，不去求问就不会知道。“知物由学”希望通过一篇篇技术干货、趋势解读、人物思考和沉淀给你带来收获的同时，也希望打开你的眼界，成就不一样的你。 当然，如果你有不错的认知或分享，也欢迎通过邮件 投稿 ：zhangyong02@corp.netease.com 

原文： How To Survive A Ransomware Attack -- And Not Get Hit Again

作者： Kate O'Flaherty

2017年，WannaCry（蠕虫病毒）因为攻陷了NHS（英国国家医疗服务体系）从而一举成名，并且自此之后，类似的勒索软件还在继续攻击企业里面的系统。根据权威安全研究机构Symantec（赛门铁克）的相关报道称，从2013年以后，病毒感染率每年都在稳步上升，2017年达到创纪录水平。

在刚刚过去的这几个月的时间里，勒索软件严重影响了多个组织，这其中就包括美国的PGA[1]（全球通用证书项目）组织以及位于阿拉斯加地区的Matanuska-Susitna学院[2]，迫使政府工作人员只能使用打字机来完成日常工作。

迫于这样的情势下，政府开始关注勒索软件的影响也就不足奇怪了，因为勒索软件一旦锁定用户的设备或者数据，最终的解决方案只能是支付赎金。英国的国家网络安全中心（NCSC）甚至还发布了如何降低被勒索软件攻击的相关建议[3]。与此同时，英国政府为了应对勒索软件，还在网络安全方面做出了重大调整，政府宣称这些简单的措施可以使得线上网络更加安全。

据安全研究人员称，与其它威胁相比，勒索软件的数量的确有所下降。然而勒索软件仍然是一个非常现实的威胁：攻击数量的确在下降，但是攻击的目标却更具有针对性了。 “现在来看，2017年和2018年的主要差异是勒索软件更具针对性的趋势加强，”Glasswall Solutions的战略总监Matt Shabat说到， “与其通过相对呆板的方法去寻找大规模的攻击目标，这些病毒的制作者们似乎正在寻找一种更为精确的感染渠道，更有目标性，并且最终会让感染者们妥协从而交赎金。”

识别勒索软件

勒索软件的攻击有两种方式。第一种就是对电脑或者网络中的某个文件进行加密；第二种就是锁定用户的屏幕。“像WannaCry这种类似于蠕虫式的勒索软件，一旦进入网络，就会横向扩散到其它机器而不会受到攻击者或受感染用户的干扰，”NCSC发言人说。

有时，恶意软件会以勒索的形式出现，但在支付赎金后，文件不会被解密。 这种恶意软件就被称为“wiper”恶意软件。

勒索软件通常会要求将比特币这种加密货币作为“赎金”。在很多情况下，勒索的金额不会很大，都是适度的，从而让整个支付过程以最快最廉价的方式完成。

勒索软件攻击的规模范围和自动化性质使其不断获利。“他们是有选择性的攻击，通常不针对特定的个体或系统，因此任何部门或组织都可能受到感染。” NCS发言人说。

一般来说，如果某家公司遭遇到勒索软件的攻击，他们根本就察觉不到。受感染的计算机将无法访问，因为密钥文件已经被他们加密了，同时屏幕上还会显示出关于赎金的说明。

Sophos的高级技术专家Paul Ducklin表示，大多数勒索软件会在文本编辑器或浏览器中弹出付费页面，“但也有很多会将电脑的桌面壁纸更改为付费页面的图案。”

令人遗憾的是，被感染者们刚想妥协时却已经晚了，特别是如果勒索软件在全网范围内已经传播，所有桌面都被劫持以后更为如此，Malwarebytes的恶意软件分析师Chris Boyd说。 “主要原因基础社会工程不完善，还有就是针对人力资源部门的虚假电子邮件，其中包含可疑的附件。”

辨别警告标志：勒索软件和电子邮件网络钓鱼

“目前为止电子邮件仍然是恶意病毒传播的最佳渠道”，作为EMEA的网络安全策略师Adenike Cosgrove说。她说对于网络犯罪分子来说，最简单的方法就是“通过简单而复杂的社会工程策略”从而利用人类的脆弱性。她解释说：“网络犯罪分子已经找到了新的方法来利用人类的本能，这种本能就是好奇心和信任，最终会导致善意的人们落入到攻击者的手中。其出现形式可能是一个伪装的URL或看似没有病毒的附件，但只需点击一下即可，勒索软件就会立即得手。

赛门铁克的威胁研究员Dick O'Brien表示，大多数勒索软件都是通过大量的垃圾邮件进行传播的，其中就包含每天发送的数十万封电子邮件。

勒索软件也可能通过网站传播，这些网站实际上已经被攻陷，然后以托管所谓的漏洞利用 工具 包为名。“实际上这是一种可以扫描访问者计算机的工具，这种工具可以检查电脑是否正在运行具有已知漏洞的软件，”O'Brien说。“只要发现漏洞，它将利用其中任意一个从而在受害者的计算机上下载并安装勒索软件。”

在少数情况下，有些团伙试图侵入公司网络并且尽可能多的感染计算机，企业会成为他们的首选目标。

相关文章：

【推荐】  从golang的垃圾回收说起（上篇）