1、勒索病毒介紹

　　最早的勒索病毒源自美國國安局。一個叫“shadow broker”的黑客組織從美國國安局下屬單位竊取數(shù)據(jù)的時候，順手從國安局的武器庫里偷出來一些黑客工具，直接就公開到了互聯(lián)網(wǎng)上。

　　公開之后，有黑客基于這些工具開發(fā)勒索病毒，進行敲詐勒索。第一批人嘗到甜頭之后，越來越多的人開始效仿，開發(fā)變種病毒。從此，勒索病毒開始席卷全球，災(zāi)難開始爆發(fā)。

　　勒索病毒就長上面這樣。服務(wù)器中了勒索病毒之后，服務(wù)器上的文件會被加密，無法打開。病毒完成加密之后，會在界面上彈出勒索信息：你的文件都被加密了，只有拿到私鑰，才能解密。支付幾個比特幣的贖金，就給你解密的私鑰。

　　這種加密的破解難度很高，所以很多公司無可奈何之下，只能選擇支付贖金。

　　2、勒索病毒為什么能肆虐

　　（1）病毒變種多，難以查殺

　　勒索病毒變種非常多，變化很快。殺毒軟件一般是根據(jù)已知的病毒庫去對比特征、發(fā)現(xiàn)病毒的。新開發(fā)的病毒的特征沒那么快進入病毒庫，所以很多新病毒，殺毒軟件識別不出來。

　　一般勒索病毒的開發(fā)者發(fā)布病毒之前，肯定也會自己測一下，常見的殺毒軟件殺不了，才去展開攻擊。所以，面對勒索病毒，現(xiàn)有防病毒手段難以奏效。

　　（2）傳染性極強

　　勒索病毒可以通過漏洞傳播，國內(nèi)大量用戶使用盜版系統(tǒng)，補丁更新不及時，導(dǎo)致漏洞廣泛存在。

　　用戶中毒后，勒索病毒會自動掃描其他設(shè)備的漏洞，所以傳播性極強。

　　（3）病毒開發(fā)者難以追蹤

　　勒索過程一般是用比特幣結(jié)算的，比特幣是去中心化的，沒有一個總的服務(wù)器可以查詢賬戶對應(yīng)的個人信息，所以基本追蹤不到黑客本人。世界上這么多勒索病毒，現(xiàn)在都沒幾個開發(fā)者落網(wǎng)。

　　成本低而且收益高，所以搞勒索病毒的人越來越多。

　　3、勒索病毒的傳播原理

　　勒索病毒可以通過漏洞、郵件、程序木馬、網(wǎng)頁掛馬等形式傳播。利用漏洞進行傳播是勒索病毒最常見的傳播方式。

　　最早的勒索病毒只是一個軟件，現(xiàn)在勒索病毒技術(shù)上越來越強大，已經(jīng)變成云服務(wù)了（RaaS，Ransomware-as-a-Service勒索軟件即服務(wù)）。云服務(wù)讓勒索病毒更加強大。例如，加密所用的密鑰是從云端獲取的，勒索信息在后臺可以實時編輯等等。

　　（1）傳播目標

　　從操作系統(tǒng)方面看，傳播目標中Windows和Linux都有。重災(zāi)區(qū)是Windows XP、Windows 7等老舊系統(tǒng)。雖然微軟官方都已經(jīng)不再維護了，但是國內(nèi)很多的機關(guān)單位仍在大量的使用這些老舊的系統(tǒng)。

　　個人電腦和企業(yè)服務(wù)器都是勒索病毒的目標。企業(yè)服務(wù)器多暴露在公網(wǎng)，所以比個人電腦更容易被攻擊。

　　（2）入侵

　　勒索病毒攻擊一般始于網(wǎng)絡(luò)端口掃描。找到網(wǎng)絡(luò)內(nèi)高價值服務(wù)器、數(shù)據(jù)庫后，利用漏洞進入目標服務(wù)器。

　　著名的勒索病毒W(wǎng)annaCry就是利用了Windows的smb協(xié)議（文件共享）的漏洞進行傳播的。掃描445端口，發(fā)現(xiàn)漏洞之后，就能在電腦里執(zhí)行任意代碼，植入后門程序，然后繼續(xù)掃描傳播。

　　WannaCry使用Doublepulsar后門程序向目標電腦傳輸木馬和其他下一步所需的工具，遠程安裝并運行。

　　傳輸過程是加密的，安全設(shè)備很難檢測到惡意軟件的傳輸。

　　為什么第一批病毒受害者多為高校、醫(yī)院等機構(gòu)呢？就是因為很多勒索病毒是利用445端口進行攻擊。

　　由于國內(nèi)曾多次出現(xiàn)利用445端口傳播的蠕蟲病毒，部分運營商對個人用戶封掉了445端口。但是教育網(wǎng)并無此限制，存在大量暴露著445端口的機器，因此成為攻擊的重災(zāi)區(qū)。

　?。?）獲取密鑰

　　勒索病毒的加密算法幾乎都比較復(fù)雜，需要獲取“密鑰”才能進行加密。而且要保證對每個用戶使用不同的密鑰。

　　所以，勒索病毒利用漏洞入侵目標之后，首先要從自己的服務(wù)器端獲取密鑰，才能開始加密。

　　為了隱藏自己，勒索病毒跟服務(wù)端的通信一般都是通過Tor協(xié)議進行通信，或者是經(jīng)過多層代理服務(wù)器的跳轉(zhuǎn)然后進行通信。這兩種方式都可以防追蹤，避免服務(wù)器被別人發(fā)現(xiàn)。

　　所以，WannaCry利用后門進入目標電腦之后，第一件事就是安裝一個tor客戶端，再通過tor客戶端與自己的服務(wù)器通信。

　　勒索病毒會上傳當前設(shè)備的信息，比如系統(tǒng)版本等，勒索病毒服務(wù)器根據(jù)設(shè)備信息來判斷下發(fā)什么樣的加密方式和密鑰。

　?。?）收集目標文件

　　勒索病毒會進行一些準備工作，為下一步文件加密做好準備。

　　例如，勒索病毒會停掉數(shù)據(jù)庫和服務(wù)器，釋放其所占用的資源，以便對這些數(shù)據(jù)進行加密。

　　勒索病毒會使用工具破壞服務(wù)器內(nèi)的安全軟件，例如關(guān)閉Windows Defender。

　　最后勒索病毒一般會對被攻擊計算機上的文件進行遍歷，對比文件的擴展名，找到最有價值的數(shù)據(jù)進行加密。

　　不同的病毒會以不同的文件為目標，WannaCry的目標包括office文檔、代碼、視頻、圖片、程序、密鑰、數(shù)據(jù)庫文件、虛擬盤等等。

　　（5）文件加密

　　勒索病毒的加密過程很快。受害者的文件會被篡改文件后綴。加密后的各類文件都無法正常打開，只有支付贖金才能解密恢復(fù)。

　　例如，Ripid病毒對文件進行加密之后，就會添加。rapid拓展名。并在每個文件夾中創(chuàng)建“How Recovery Files.txt”提示文件，讓受害者知道如何進行付款。

　　（6）勒索信息

　　勒索病毒的最后一步就是展示勒索信息。

　　例如，WannaCry會在加密文件之后，運行鎖屏程序，并進行重啟，用戶再次進入電腦時就會看到彈出的勒索信息。

　　比較諷刺的是一般勒索病毒的體驗會做的特別的好。

　　例如，一般勒索信息都支持多語言切換。

　　做勒索病毒的人里面還有很多營銷大師。

　　例如，48小時內(nèi)未支付，贖金翻倍。如不交贖金，則會將數(shù)據(jù)公開拍賣。企業(yè)即使在有文件備份的情況下，為了數(shù)據(jù)不被泄露，也不得不交付贖金。

　?。?）其他進攻手段

　　僵尸網(wǎng)絡(luò)、銀行木馬等與勒索病毒的合作也越來越多，例如MegaCortex勒索病毒會通過Qakbot銀行木馬傳播，Ryuk勒索病毒會通過Trickbot銀行木馬傳播。

　　甚至有人會在“暗網(wǎng)”招收不同地區(qū)的代理進行合作，利用RDP弱口令滲透、釣魚郵件、軟件捆綁、漏洞等多種手段進行傳播。

　　例如，STOP勒索病毒會藏匿在激活工具、下載器、破解軟件內(nèi)，“微信支付”勒索偽裝成薅羊毛軟件等。

　　5、如何防御勒索病毒

　　防御勒索病毒沒法單純依賴殺毒。因為病毒剛開發(fā)出來的時候，殺毒軟件的病毒庫還沒收錄。這時的殺毒軟件是無法識別勒索病毒的。

　　既然沒法徹底殺死，那么面對勒索病毒，最好的辦法是做好防控。

　　“零信任”是目前最好的做訪問控制的安全架構(gòu)。

　　6、零信任怎么防御勒索病毒

　　（1）網(wǎng)絡(luò)隱身，減少攻擊面

　　暴露在互聯(lián)網(wǎng)上的端口，如135、139、445、3389等等，都非常容易成為勒索病毒攻擊的目標。一旦運行在這些端口上的服務(wù)沒有及時升級，被勒索病毒找到漏洞，就很容易攻擊進來。

　　零信任架構(gòu)的網(wǎng)關(guān)一般都具備網(wǎng)絡(luò)隱身的能力，可以限制這些端口的暴露面。網(wǎng)關(guān)上的防火墻跟用戶身份綁定，端口只對合法用戶開放，對其他人關(guān)閉。

　　零信任網(wǎng)關(guān)會檢查流量中的身份信息，合法的流量才允許通過。

　　勒索病毒發(fā)出的流量中沒有合法的身份信息。所以，勒索病毒的所有請求都會被拒絕。勒索病毒針對445端口發(fā)起攻擊的話，會發(fā)現(xiàn)445端口根本無法建立連接。對勒索病毒來說，零信任網(wǎng)關(guān)的所有端口都是關(guān)閉的，完全無法掃描到任何漏洞。

　　隱身技術(shù)的更多細節(jié)可以參考我的另一篇文章《零信任里的隱身黑科技》。

　?。?）切斷病毒的遠程通信

　　勒索病毒一般需要連接到服務(wù)端來獲取加密密鑰。

　　零信任可以對服務(wù)器的出口做訪問控制策略。服務(wù)器出口方向只開放真正需要訪問的外部IP和端口，這樣可以防止勒索病毒連接遠端服務(wù)器下載密鑰信息。

　　這樣，就可以阻斷勒索病毒與服務(wù)端的通信，勒索病毒無法獲取密鑰和其他工具，自然就無法進行后續(xù)的攻擊了。

　　（3）微隔離，避免橫向擴散

　　零信任的理念是始終假設(shè)威脅已經(jīng)存在。如果有一個服務(wù)器已經(jīng)中毒了，那么我們應(yīng)該做的是不讓這個服務(wù)器傳染其他服務(wù)器。

　　微隔離技術(shù)是零信任架構(gòu)的重要組成部分，可以實現(xiàn)服務(wù)器之間的訪問控制。

　　微隔離技術(shù)能實現(xiàn)比普通的防火墻更細粒度的管控。利用微隔離技術(shù)，可以給每個設(shè)備建立訪問規(guī)則。

　　默認情況下，所有連接都會被拒絕。零信任只授予完成工作所須的最小權(quán)限。只有少數(shù)服務(wù)器可以訪問那些敏感端口。

　　這樣就限制了病毒的二次傳播和橫向蔓延。

　　實施微隔離不是一蹴而就的，可以先對敏感性高的，或者風(fēng)險性高的服務(wù)器進行隔離。通過建立可視化視圖，可以理清服務(wù)器間的依賴關(guān)系，先對網(wǎng)絡(luò)中的關(guān)鍵節(jié)點進行控制。

　　更多細節(jié)可以參考我的另一篇文章《用微隔離實現(xiàn)零信任》。

　　（4）用戶設(shè)備的持續(xù)驗證

　　勒索病毒可能會通過釣魚郵件、網(wǎng)頁掛馬等方式進入用戶電腦。

　　零信任架構(gòu)中通常會有一個客戶端軟件，安裝在用戶電腦上?？蛻舳藭ㄆ趻呙?。

　　一旦發(fā)現(xiàn)病毒入侵跡象，立即通知管控平臺和網(wǎng)關(guān)，將用戶變?yōu)椴豢尚艩顟B(tài)。零信任網(wǎng)關(guān)立即阻斷這個用戶的所有連接，并且在白名單中將用戶剔除，不再允許用戶訪問任何資源，直到用戶清理完病毒為止。

　　如果用戶電腦上沒有發(fā)現(xiàn)病毒，但是有其他安全漏洞，那么這個用戶也會因為可信等級過低而被隔離。

　　例如，用戶電腦上的病毒庫比較老舊，或者操作系統(tǒng)沒有升級到最新，或者開啟了高危的服務(wù)端口，或者安裝了沒有簽名的軟件等等。用戶有一項沒有滿足就扣10分。如果用戶低于80分，就無法訪問敏感數(shù)據(jù)。一旦信任分低于60分，那么用戶就會被徹底隔離。

　　（5）多因子身份認證

　　如果用戶密碼過于簡單，那么勒索病毒有可能通過破解密碼，直接獲取系統(tǒng)權(quán)限，進而感染、傳播。

　　零信任包含身份認證系統(tǒng)，這相當于在業(yè)務(wù)系統(tǒng)外面又加了一層防護罩。用戶必須先通過零信任的身份驗證，才能獲取權(quán)限連接到業(yè)務(wù)系統(tǒng)。

　　零信任的身份認證可以做統(tǒng)一的加強。例如，禁止用戶使用弱口令，禁止不同端點使用相同或相似的密碼。增加多因子認證。用戶登錄時要求插入Ukey，或者用戶訪問敏感數(shù)據(jù)前要求輸入短信驗證碼等等。

　　（6）異常行為識別

　　中了病毒的設(shè)備跟普通用戶在行為方式上有很大不同。

　　例如，病毒需要不停地探測身邊的其他設(shè)備，尋找漏洞，進行傳播。再比如，當病毒入侵到一個設(shè)備之后，必然會創(chuàng)建新的管理員賬號，并開始復(fù)制各類攻擊工具。

　　零信任架構(gòu)中的用戶行為識別系統(tǒng)可以檢測到這種行為特征。發(fā)生異常行為時，會立即觸發(fā)一次強認證。病毒必然無法通過認證。此時，網(wǎng)關(guān)就可以對認證失敗的病毒設(shè)備進行隔離，阻斷該設(shè)備一切連接。

　　整個事件會在后臺記錄，發(fā)出告警。IT團隊可以及時找到異常設(shè)備，進行漏洞修復(fù)和數(shù)據(jù)恢復(fù)。

　　7、其他補救方式

　　零信任是一個逐步建設(shè)的過程，業(yè)務(wù)系統(tǒng)沒有全部接入零信任之前，怎么避免中招？

　?。?）重要數(shù)據(jù)定期備份

　　正所謂有備無患，對用戶來說，有了備份，文件被勒索病毒加密了也可以快速恢復(fù)。

　　但是對企業(yè)來說，單純靠備份是不夠的。因為如果勒索病毒攻進來了，業(yè)務(wù)辦公肯定要受到嚴重影響，備份只能幫助挽回數(shù)據(jù)損失，耽誤的業(yè)務(wù)宕機時間是無法彌補回來的。

　　備份時，要注意最好是進行遠程異地的備份。或者是存在一個單寫多讀的存儲設(shè)備上，只能寫入一次，可以多次讀取。避免備份本身被感染。

　　為了真的出問題時能快速響應(yīng)，最好定期進行應(yīng)急演練。做足準備，才能保證真出問題的時候，快速恢復(fù)到正常狀態(tài)。

　　（2）系統(tǒng)漏洞補丁自動升級

　　實施零信任后，可以有效地隱藏漏洞，但其實漏洞仍然存在，企業(yè)還是應(yīng)該盡可能地打補丁修復(fù)。

　　8、中毒后如何解除

　　勒索病毒重點在于防，但是已經(jīng)中招的話，也可以碰碰運氣。如果是很老的病毒的話，是可以解除的。

　?。?）去MalwareHunterTeam的官網(wǎng)上傳病毒樣本，確認病毒屬于哪個家族

　　（2）上網(wǎng)搜索相應(yīng)的解密工具，例如卡巴斯基等公司都出過勒索病毒解密工具集。

　　如果是最新的病毒，可能是解除不了的。所以重點其實還是在于預(yù)防。

　　9、總結(jié)

　　勒索病毒的變種越來越多，勒索病毒已經(jīng)成為了一種常見的威脅。零信任幫你可以縮小攻擊面，降低勒索病毒帶來的傷害。如果你不希望有一天要靠備份文件重建系統(tǒng)的話，最好還是盡早實施零信任或類似架構(gòu)為好。