勒索攻击：网络安全的新威胁(图文)

勒索攻击的发展历程见证了网络安全威胁的不断演变。1989 年，全球首个勒索病毒 —AIDS 木马诞生，它以记录用户设备重启次数，超过 90 次就加密文件并要求邮寄 189 美元赎金的方式开启了勒索攻击的篇章。
在 1989 至 2009 年的萌芽期，勒索攻击软件数量增长缓慢，攻击力度小、危害程度低。2006 年我国首次出现勒索攻击软件 Redplus 勒索木马，它会隐藏用户文档，要求用户将赎金汇入指定银行账号。
2010 年以后，勒索软件进入活跃期。几乎每年都有变种出现，攻击范围不断扩大，攻击手段持续翻新。2013 年以来，比特币成为勒索赎金支付手段，加速了勒索攻击的发展。2014 年出现了针对 Android 平台的勒索攻击软件，标志着攻击者的注意力向移动互联网和智能终端转移。
2015 年后，勒索攻击进入高发期。2017 年 WannaCry 勒索攻击在全球范围内大规模爆发，至少 150 个国家、30 万名用户受害，造成超过 80 亿美元的损失。至此，勒索攻击正式走入大众视野并引发全球关注。
总的来说，勒索攻击在这三个阶段中，从最初的个人化行为逐渐演变为产业化黑产链。其传播途径也从早期的钓鱼邮件、挂马等方式，发展到利用软件供应链、针对特定企业制定攻击策略等多样化手段。勒索攻击的目标也从个人转向政府、金融、教育、医疗等关键行业和领域，对全球网络安全构成了严重威胁。

二、勒索攻击的主要特点

（一）隐蔽性强且危害显著

勒索攻击善于利用各种伪装手段达到入侵目的。在感染初期，它可能会默默潜伏在系统中，进行准备工作，如复制自身、扫描并定位重要文件等，用户难以察觉其存在。例如，一些勒索病毒会伪装成合法的软件更新、邮件附件或下载链接，欺骗用户点击，增加感染风险。同时，勒索攻击的目标也越来越明确，不再仅仅是为了获取钱财，而是更加侧重窃取商业数据和政治机密。这给企业和政府带来的危害不仅仅是经济损失，还可能涉及到国家安全和商业竞争等方面。一旦重要数据被窃取，可能会对企业的核心竞争力和国家的安全稳定造成严重影响。

（二）变异较快且易传播

勒索病毒的种类繁多且不断变异，变体数量增长迅速。2015 年，全球勒索软件变种数量只有 29 个，到 2016 年，该数量已上升至 247，同比增长 752%。如今，大型勒索团伙自制病毒的变体更是数不胜数。这种快速变异使得传统的安全检测工具难以有效应对，为病毒的传播提供了便利。同时，勒索病毒的传播速度也非常快。它可以通过网络、可移动存储设备等多种途径迅速传播到其他计算机或系统中。一旦在某个网络环境中发现该病毒的存在，就需要立即采取措施防止其进一步扩散。例如，2020 年全球多个国家遭受一种勒索软件的攻击，在短短两天的时间里，仅中国就已有近 3 万家机构被攻陷。

（三）攻击路径多样化

勒索攻击从过去的被动攻击转为主动攻击，利用多种方式进行攻击。一方面，它可以利用系统漏洞，如弱口令、远程代码执行等网络产品安全漏洞，攻击入侵用户内部网络，获取管理员权限，进而主动传播勒索病毒。另一方面，它还可以通过诱导员工泄露信息的方式进行攻击。例如，利用钓鱼邮件传播勒索病毒，将勒索病毒内嵌至钓鱼邮件的文档、图片等附件中，或将勒索病毒恶意链接写入钓鱼邮件正文中，一旦用户打开或点击，病毒就会自动加载、安装，进而威胁整个网络安全。此外，攻击者还可以利用软件供应链传播勒索病毒，利用软件供应商与软件用户间的信任关系，攻击入侵软件供应商相关服务器设备，在合法软件正常传播、升级等过程中，对合法软件进行劫持或篡改，传播勒索病毒。

（四）攻击目标多元化

勒索攻击从电脑端向移动端扩展，攻击目标涵盖政府、企业关键业务系统和服务器等。随着移动互联网的发展，越来越多的人开始使用移动设备进行办公和生活，这也使得移动设备成为了勒索攻击的新目标。同时，政府和企业的关键业务系统和服务器一直是勒索攻击的重点目标。攻击者将目标重点聚焦在这些关键业务和服务上，通过攻击这些系统和服务器，获取重要数据，进行勒索。例如，德国杜塞尔多夫医院服务器遭攻击后，一位病人被迫转送至其他医院后死亡，成为公开报道的第一起因勒索软件导致人死亡的事件。这表明勒索攻击不仅会造成经济损失，还会威胁到民众的生命安全。

三、勒索攻击的表现形式

（一）文件加密类勒索攻击

文件加密类勒索病毒以 RSA、AES 等多种加密算法对用户文件进行加密，并以此索要赎金。一旦感染，极难恢复文件。该类勒索病毒以 WannaCry 为代表，自 2017 年全球大规模爆发以来，其通过加密算法加密文件，并利用暗网通信回传解密密钥、要求支付加密货币赎金等隐蔽真实身份的勒索病毒攻击模式引起攻击者的广泛模仿，文件加密类已经成为当前勒索病毒的主要类型。
文件加密类勒索攻击主要通过多种渠道传播。利用安全漏洞传播时，攻击者利用弱口令、远程代码执行等网络产品安全漏洞，攻击入侵用户内部网络，获取管理员权限，进而主动传播勒索病毒。目前，攻击者通常利用已公开且已发布补丁的漏洞，通过扫描发现未及时修补漏洞的设备，利用漏洞攻击入侵并部署勒索病毒。例如，据统计，许多企业因未及时修补漏洞而遭受文件加密类勒索攻击，导致大量重要文件被加密，业务陷入停滞，造成了严重的经济损失。
利用钓鱼邮件传播也是常见方式之一。攻击者将勒索病毒内嵌至钓鱼邮件的文档、图片等附件中，或将勒索病毒恶意链接写入钓鱼邮件正文中，通过网络钓鱼攻击传播勒索病毒。一旦用户打开邮件附件，或点击恶意链接，勒索病毒将自动加载、安装和运行。据相关数据显示，约有 7.4% 的勒索攻击是通过邮件传播的。

（二）系统加密类勒索攻击

系统加密类勒索病毒同样通过各类加密算法对系统磁盘主引导记录、卷引导记录等进行加密，阻止用户访问磁盘，影响用户设备的正常启动和使用，并向用户勒索赎金，甚至对全部磁盘数据进行加密。一旦感染，同样难以进行数据恢复。例如，2016 年首次发现的 Petya 勒索病毒，对攻击对象全部数据进行加密的同时，以病毒内嵌的主引导记录代码覆盖磁盘扇区，直接导致设备无法正常启动。
此类攻击的传播渠道与文件加密类类似。利用安全漏洞传播时，攻击者利用系统漏洞入侵用户网络，部署系统加密类勒索病毒。利用远程桌面入侵传播也是常见方式，攻击者通常利用弱口令、暴力破解等方式获取攻击目标服务器远程登录用户名和密码，进而通过远程桌面协议登录服务器并植入勒索病毒。一旦成功登录服务器，获得服务器控制权限，可以服务器为攻击跳板，在用户内部网络进一步传播勒索病毒。

（三）屏幕锁定类勒索攻击

屏幕锁定类勒索病毒对用户设备屏幕进行锁定，通常以全屏形式呈现涵盖勒索信息的图像，导致用户无法登录和使用设备，或伪装成系统出现蓝屏错误等，进而勒索赎金。但该类勒索病毒未对用户数据进行加密，具备数据恢复的可能。例如，WinLock 勒索病毒通过禁用 Windows 系统关键组件，锁定用户设备屏幕，要求用户通过短信付费的方式支付勒索赎金。
其传播方式主要有利用移动介质传播。攻击者通过隐藏 U 盘、移动硬盘等移动存储介质原有文件，创建与移动存储介质盘符、图标等相同的快捷方式，一旦用户点击，自动运行勒索病毒，或运行专门用于收集和回传设备信息的木马程序，便于未来实施针对性的勒索。

（四）数据窃取类勒索攻击

数据窃取类勒索病毒与文件加密类勒索病毒类似，通常采用多种加密算法加密用户数据，一旦感染，同样极难进行数据恢复。但在勒索环节，攻击者通过甄别和窃取用户重要数据，以公开重要数据胁迫用户支付勒索赎金。据统计，截至 2021 年 5 月，疑似 Conti 勒索病毒已经攻击并感染全球政府部门、重点企业等 300 余家单位，窃取并公开大量数据。
此类攻击主要通过软件供应链传播。攻击者利用软件供应商与软件用户间的信任关系，通过攻击入侵软件供应商相关服务器设备，利用软件供应链分发、更新等机制，在合法软件正常传播、升级等过程中，对合法软件进行劫持或篡改，规避用户网络安全防护机制，传播勒索病毒。

四、勒索攻击的防范建议

（一）个人防范措施

个人在网络使用中应始终保持高度的安全意识。首先，坚决不打开来源不明的网站。许多不良网站常常被勒索软件攻击者利用，发起挂马、钓鱼等攻击。一旦访问这些网站，就可能为勒索病毒入侵打开通道。据统计，约有 [X]% 的勒索病毒攻击与访问不可靠网站有关。
其次，对于来源不明的邮件，尤其是包含可疑链接或附件内容的邮件，绝对不能点击。勒索软件攻击者常常利用热点问题发送钓鱼邮件，甚至会利用攻陷的熟人邮箱发送，增加迷惑性。如果收到可疑邮件，应直接拨打电话向发件人核实。
再者，不要安装来源不明的软件。从不明网站下载安装软件或安装陌生人发送的软件，都可能导致勒索病毒伪装成正常软件进入设备。据相关数据显示，约 [X]% 的个人设备感染勒索病毒是由于安装了不明来源软件。
同时，不要随意插拔来历不明的存储介质，如 U 盘、移动硬盘、闪存卡等。这些存储介质可能携带勒索病毒，一旦插入设备，就可能自动运行病毒程序。
此外，个人还应做好数据备份工作。重要的文件、照片、视频等数据应定期备份至外部硬盘、云存储等安全的地方。这样，即使设备遭受勒索攻击，也可以通过备份恢复数据，减少损失。例如，采用定期全量备份与增量备份相结合的方式，既能保证数据的完整性，又能减少备份所需的时间和存储空间。

（二）企业防范措施

企业作为勒索攻击的重要目标，更应重视数据加密和备份以及加强安全防护。
在数据加密方面，企业可以采用强加密算法对重要数据进行加密。例如，使用 AES-256 等高级加密算法，确保即使数据被窃取，也难以被破解。同时，对加密密钥进行严格管理和保护，防止密钥泄露。
备份是企业防范勒索攻击的关键措施之一。企业应建立定期备份数据的制度，包括全量备份、差异备份和增量备份的组合。备份数据应存储在与主系统隔离的安全位置，如离线存储设备或云备份。据调查，有定期备份数据习惯的企业在遭受勒索攻击后，恢复数据的成功率可提高 [X]%。
加强安全防护方面，企业应定期更新操作系统和软件，及时安装安全补丁，修复已知的安全漏洞，减少被勒索病毒利用的机会。安装可靠的安全软件，如杀毒软件、反恶意软件工具等，并保持其及时更新，以提供实时的安全保护。
企业还应加强员工的网络安全意识培训，提高员工对勒索病毒等网络威胁的识别和防范能力。通过培训，让员工了解如何识别钓鱼邮件、恶意软件，以及如何安全处理敏感数据等。
此外，企业可以采用网络隔离的策略，将网络划分为多个区域，合理设置网络访问权限，减缓勒索病毒攻击的扩散速度。实施网络监控，及时发现异常行为，在攻击扩散之前采取措施进行阻止。
制定应急响应计划也是企业防范勒索攻击的重要环节。应急响应计划应包括事件检测和报告、应急响应团队的组建和职责分配、事件分析和评估、应急措施的实施、数据恢复和系统修复等内容。定期演练和测试应急响应计划，确保在遭受勒索攻击时能够迅速有效地应对和恢复。
 

墨者安全 防护盾

墨者安全作为专业级别安全防护专家，在应对 Webshell 风险隐患方面展现出了卓越的能力。其拥有全面的检测机制，能够精准识别 Webshell 的各种类型和变体，无论是复杂的大马，还是隐蔽的内存马，都难逃其敏锐的监测。
墨者安全防护盾具备强大的实时监控功能，对服务器的各项活动进行 7*24 小时不间断的监视。一旦发现任何可疑的 Webshell 活动迹象，立即发出警报，并迅速采取隔离和清除措施，将风险扼杀在萌芽状态。
在防护策略上，墨者安全防护盾采用了多层次的防御体系。不仅能够在网络层面阻挡外部的恶意访问和攻击，还能深入系统内部，对服务器的文件系统、进程等进行深度检查和保护，确保 Webshell 无法植入和运行。
同时，墨者安全防护盾拥有快速的应急响应能力。当 Webshell 攻击事件发生时，专业的安全团队能够迅速介入，进行深入的分析和处理，最大程度减少攻击带来的损失，并帮助用户快速恢复服务器的正常运行。
墨者安全防护盾还注重用户教育和培训，为用户提供关于 Webshell 防范的专业知识和最佳实践，帮助用户提升自身的安全意识和防范能力，共同构建坚实的网络安全防线。