自2017年Wannacrypt勒索軟件出現(xiàn)后，勒索軟件引起了人們的廣泛注意。2018年Satan勒索軟件變種攜永恒之藍卷土歸來。2019年勒索軟件Globelmposter的新變種爆發(fā)，在國內廣泛傳播。隨勒索軟件變種的出現(xiàn)以及新勒索軟件爆發(fā)的態(tài)勢，勒索軟件對網(wǎng)絡安全的影響不可小覷，甚至有可能產生不可挽回的結果。相對而言，勒索軟件的出現(xiàn)，并不是偶然現(xiàn)象，而是存在很長一段時間。但是在網(wǎng)絡安全的應對模式上，并沒有做出相應的改進，大部分情況下，依然選用老舊的標準和方法來實施，這種現(xiàn)象的發(fā)生，很容易導致網(wǎng)絡安全水平不斷下降，而且在解決勒索軟件的根源上，難以創(chuàng)造出較高的成績。新時代的社會和科技發(fā)展速度不斷加快，勒索軟件的解決，以及網(wǎng)絡安全體系的完善，必須從全新的層次來出發(fā)，確保各項工作的可靠性、可行性大幅度的提升。

　　一

　　勒索軟件全球泛濫背后的原因

　　勒索軟件伴隨著網(wǎng)絡犯罪技術的發(fā)展而發(fā)展，它快速迭代并迅速傳播，目前網(wǎng)絡勒索已成為對攻擊者而言“錢景可觀”的優(yōu)選獲利途徑，它在全球呈現(xiàn)高發(fā)態(tài)勢和大規(guī)模泛濫絕非偶然。

　　網(wǎng)絡監(jiān)管力度不夠導致勒索軟件頻頻出現(xiàn)。從客觀的角度來分析，勒索軟件的出現(xiàn)，并不是偶然情況，近幾年的案例報道和案件發(fā)生概率都在不斷增加，同時也給人們敲響了警鐘。如果沒有在網(wǎng)絡安全的方式、方法上做出革新，勢必導致勒索軟件的攻擊行為進一步加重，很容易對社會和諧的發(fā)展造成嚴峻的阻礙。分析認為，網(wǎng)絡監(jiān)管力度不高，是比較重要的原因。首先，網(wǎng)絡監(jiān)管工作在實施過程中，并沒有長時間的按照嚴打策略來完成，僅僅是做出了短期內的網(wǎng)絡監(jiān)管和應對。這種現(xiàn)象的發(fā)生，導致很多勒索軟件都可以存在較長的潛伏期。在嚴打結束后，勢必會迅速崛起，之后對網(wǎng)絡造成的負面影響以及對財產造成的損失，都無法快速彌補。其次，在網(wǎng)絡監(jiān)管工作的實踐過程中，懲處力度較輕，大部分情況下都是通過經濟處罰來完成，表現(xiàn)為小懲大誡的特點，這就導致很多不法分子表現(xiàn)出有恃無恐的態(tài)度，并且在辯護時，能夠拿出更多的證據(jù)，以至于勒索軟件的解決難以從根源上完成。

　　網(wǎng)絡安全意識淡薄讓勒索軟件輕松得手。勒索軟件雖然來勢迅猛，但并非不可防范，真正讓其屢屢得手的主因是用戶網(wǎng)絡安全意識普遍比較淡薄，缺乏必要防護策略，如重要文件的備份、病毒查殺、補丁更新、老舊設備淘汰換新等。據(jù)統(tǒng)計360安全中心2017至2019年每年都會接到上千多位勒索軟件受害者的求助，其中絕大多數(shù)受害者都沒有正常使用安全軟件進行防護，甚至有不少受害者電腦沒有安裝任何安全軟件，導致勒索軟件能夠輕易入侵感染。一些政企機構員工的安全意識也明顯不強，內部安全管理存在紕漏，安全措施缺位，導致整體安全防御能力薄弱。另外，安全監(jiān)控軟件的病毒檢測能力也存在問題，對付大量新型勒索軟件略顯乏力。在No tPety a來襲時，研究人員測試的60款安全軟件中，只有2款軟件在第一時間檢測到了這種勒索軟件，這種情況間接給不法分子的攻擊行動提供了可乘之機。

　　網(wǎng)絡技術快速進步促使勒索能力不斷升級。勒索軟件技術的發(fā)展使其在加密方式、傳播手段、躲避檢測等方面不斷更新。當前最流行的加密勒索軟件早已拋棄可被破解的對稱加密算法，普遍采用非對稱的強加密算法，除了付費獲得密鑰，別無其他解密方法。勒索軟件新變種層出不窮，每個變種都添加一些新技術，擁有加強的新功能，越來越多利用組合模式的傳播手段和多種高級技術躲避查殺，致使破解難度越來越大，而且破解速度遠遠跟不上新病毒或變種的推出速度。新技術的更迭讓勒索軟件“如虎添翼”，得以跨越安全防線，達到感染用戶的目的。

　　攻擊低成本高回報助長勒索軟件盛行。勒索軟件的制作成本較低，多數(shù)情況下不需要增加投入就可進行持續(xù)攻擊，而被加密的往往是對企業(yè)機構、政府部門和個人具有重要作用的系統(tǒng)和數(shù)據(jù)，有些關鍵敏感數(shù)據(jù)甚至是企業(yè)的經濟命脈，一旦泄露或損毀，將造成無法挽回的損失，支付贖金往往成為一種無奈的選擇。幾十美元甚至幾美元的制作成本有時可獲得數(shù)萬美元乃至更多的贖金。低犯罪成本和高回報率讓錢財勒索這一網(wǎng)絡犯罪行為在大數(shù)據(jù)時代具有極大的誘惑力，吸引越來越多的攻擊者參與其中。

　　比特幣和匿名網(wǎng)絡間接充當非法活動“保護傘”。勒索攻擊活動之所以如此猖獗，一部分原因是以比特幣為代表的匿名支付手段和匿名通信網(wǎng)絡被攻擊者惡意利用。比特幣是一種去中心化的虛擬數(shù)字貨幣，不受央行和任何金融機構的控制，可有效隱藏攻擊者的身份，可以說，比特幣的出現(xiàn)為網(wǎng)絡勒索提供了低風險、易操作、便捷性強的贖金交易和變現(xiàn)方式，成為網(wǎng)絡犯罪活動的主要支付形式。攻擊者對比特幣的青睞促使比特幣價格暴漲，引發(fā)了更多利用勒索軟件向用戶勒索比特幣的攻擊事件。除支付手段外，允許匿名通信的洋蔥網(wǎng)絡也協(xié)助掩蓋了攻擊的來源。病毒制作者常將勒索服務器搭建在暗網(wǎng)，通過洋蔥網(wǎng)絡與受害者進行通信。這些手段先進實用，又唾手可得，將網(wǎng)絡勒索的非法活動保護在“匿名”的羽翼之下，讓追蹤溯源變得異常困難。

　　二

　　勒索軟件攻擊特點

　　勒索軟件給網(wǎng)絡安全帶來的威脅清晰可見，但它并未隨著防御手段的升級和完善而偃旗息鼓，相反，病毒在與安全防御技術的對抗過程中不斷優(yōu)化自身，復雜性和多樣性持續(xù)增長，更新迭代速度明顯加快，試圖以更隱蔽的形式發(fā)動更猛烈的攻勢，來獲取更大的利益。勒索軟件在發(fā)展演變過程中呈現(xiàn)出以下特點。

　　（1）攻擊目標多樣化

　　一是從電腦端到移動端。勒索軟件大多以電腦設備為攻擊目標，其中Windows操作系統(tǒng)是重災區(qū)。數(shù)據(jù)表明，當前電腦端的勒索軟件數(shù)量仍在上升，盡管增速有所放緩。但隨著移動互聯(lián)網(wǎng)的普及，勒索軟件的戰(zhàn)場開始從電腦端蔓延至移動端，并且有愈演愈烈的趨勢。俄羅斯卡巴斯基實驗室檢測發(fā)現(xiàn)，2017年有161個國家的11萬多個用戶遭到移動勒索軟件的攻擊，移動勒索軟件安全包多達54.4萬個，并且更有逐年增大之勢。二是從個人用戶到企業(yè)設備。個人設備在勒索軟件攻擊目標中一直占據(jù)較高比例。但隨著傳統(tǒng)勒索軟件盈利能力的持續(xù)下降，對更高利潤索取的期待驅使黑客將攻擊重點進一步聚焦在企業(yè)的關鍵業(yè)務系統(tǒng)和服務器上。比如勒索軟件Rrebus就通過加密153臺Linux服務器，輕松從韓國Web托管公司Nayana收取了高達100萬美元的贖金。在被針對的企業(yè)目標中，中小企業(yè)因安全架構單一，更容易被攻破。震驚全球的WannaCry攻擊事件中，中小企業(yè)就是主要受害者。

　　（2）攻擊目的復雜化

　　一是以勒索軟件為掩護，實施網(wǎng)絡破壞或間諜行動。從傳統(tǒng)角度來看，勒索攻擊不外乎是要達到向受害者索要金錢的經濟目的。但實際案例顯示，日益猖獗的勒索軟件正在成為其他網(wǎng)絡攻擊者的利用手段，一些勒索軟件徒有“勒索”之名，本質上只是充當了網(wǎng)絡破壞行動或間諜行動的掩護，以掩蓋攻擊者的真實目的。最典型的案例莫過于NotPetya事件，該軟件作者精心設計制作了傳播、破壞的功能模塊，通過竊取憑證讓病毒大肆傳播，而勒索贖金模塊卻制作粗糙、漏洞百出，受害者甚至根本無法成功支付贖金。另外，攻擊者還通過改寫硬盤的主引導記錄，導致對用戶數(shù)據(jù)的編碼不可逆。這款惡意軟件的代碼和其他證據(jù)表明，NotPetya很可能是一次精心策劃的以勒索軟件攻擊作為偽裝的故意破壞性攻擊事件。除破壞目的，攻擊者也可能借勒索之名實施網(wǎng)絡間諜活動，使事件響應人員將工作重點放在文件解密上，而非集中精力調查真實的被攻擊緣由。二是以勒索軟件為手段，實現(xiàn)多重牟利目的。盡管目前大多數(shù)勒索軟件只是對文件進行加密，發(fā)送加密密鑰從而進行解密，并從受害者那兒獲得贖金。但隨著勒索軟件攻擊手段的花樣翻新，勒索軟件樣本也可能會在加密數(shù)據(jù)前采取較多惡意行動，如進行滲透操作，竊取企業(yè)服務器中的關鍵敏感數(shù)據(jù)。一方面對受害企業(yè)施加壓力，迫使其支付贖金恢復數(shù)據(jù)所有權；另一方面還可以在地下暗網(wǎng)上出售這些敏感數(shù)據(jù)，從而獲得更多潛在利益。這種邊勒索、邊竊取、邊倒賣敏感資料的攻擊行為越來越受到黑客青睞。

　　（3）攻擊方式專業(yè)化

　　傳播加密手段更加多元。首先，借助更多的漏洞、更隱蔽的方式進行初始傳播，并越來越多地利用社交媒體作為傳播方式， 如通過 在推特、微博等網(wǎng)站上分享的惡意內容誘惑受害者點擊惡意鏈接。其次，部分勒索軟件吸收了蠕蟲病毒的特點，自我復制能力越來越強，比如WannaCry、NotPetya等就以感染的設備為跳板，然后利用漏洞或“管理員共享”功能在網(wǎng)絡中自動滲透，攻擊局域網(wǎng)內的其他電腦，形成“一臺中招，一片遭殃”的情況。再次，針對各企業(yè)對于軟件供應鏈的管理弱點，通過行業(yè)供應鏈攻擊傳播勒索軟件的案例也時有發(fā)生?；臃碌氖侄我炎層脩舴啦粍俜?，同時加密能力也在升級，比如2018年10月被發(fā)現(xiàn)擴散到國內的Satan勒索軟件最新變種V4.2就升級了加密算法，促使殺毒軟件原有的解密方案隨病毒升級而失效。該病毒利用服務器組件的漏洞進行攻擊傳播，會對硬盤中的重要數(shù)據(jù)文件進行全部加密。Satan依靠差異化攻擊手段，不僅使企業(yè)用戶損失慘重，而且個人用戶亦被波及。

　?。?）攻擊范圍擴大化

　　從地理區(qū)域看，攻擊范圍擴展至全球。WannaCry勒索軟件攻擊潮爆發(fā)之前，攻擊者普遍傾向于攻擊信息化程度較高、網(wǎng)絡設施發(fā)達的國家和地區(qū)，因為這些國家和地區(qū)對網(wǎng)絡的依賴程度基本決定了攻擊者更容易獲取到錢財利益。而攻擊也多是小范圍內發(fā)生的事件，影響程度有限。但WannaCry打破了攻擊行為的針對性和本地化特征，是歷史上第一次全球范圍爆發(fā)的大規(guī)模惡意程序攻擊。隨后NotPetya “壞兔子”等其他勒索軟件繼續(xù)延續(xù)了WannaCry的全球影響威力。種種攻擊事件表明，“不甘寂寞”的勒索軟件已從小規(guī)模感染轉變?yōu)榇蠓秶鷤鞑?，甚至擴展到了許多信息化水平不高的國家和地區(qū)，這些地區(qū)的用戶在應對勒索軟件方面經驗不足，且勒索軟件攻擊者在這些地區(qū)的競爭不激烈，牟利反而容易得多。從行業(yè)領域看，攻擊范圍拓展至全領域。金融、醫(yī)療、交通、能源、通信、制造、教育等諸多關鍵基礎設施和重要行業(yè)領域無一幸免。全球多家金融機構、波音飛機制造公司、美國科羅拉多交通部、亞特蘭大市政府網(wǎng)絡、北卡羅來納州政府服務器、印第安納州漢考克地區(qū)醫(yī)院系統(tǒng)、烏克蘭能源和煤炭工業(yè)部等均成為勒索軟件的受害者。更令人擔憂的是，醫(yī)院遭到惡意軟件勒索的概率正在上升，而醫(yī)院受到攻擊造成的影響會遠比大多數(shù)其他機構更為可怕，甚至危及病人的生命安全。

　　三

　　勒索軟件及網(wǎng)絡安全的防控對策

　　（1）加強硬件維護

　　對于網(wǎng)絡安全而言，硬件是非常重要的組成部分，同時能夠對網(wǎng)絡的塑造，以及勒索軟件的解決，都提供較多的保障。硬件維護工作在今后的實施過程中，必須按照較高的指標來完成，不能總是推送低廉的產品和基礎的功能，需要不斷加快硬件的更新速度，為勒索軟件的解決，以及網(wǎng)絡安全水平的提升，努力奠定堅實的基礎。對于硬件方面的安全策略主要從硬件本身入手，一方面要加強使用意識，對于相關硬件的權限設置要做到正確有效，不能出現(xiàn)基本功能上的漏洞，如芯片加密、硬盤讀取權限、路由器訪問權限等都是日常容易忽視的權限管理。再者對于計算機的硬件保護也需要達到一定的要求，比如在利用U盤、光盤等存儲介質對計算機數(shù)據(jù)進行數(shù)據(jù)讀取、寫入時，需要保證相關移動存儲介質的安全性，盡量使用具備寫保護功能的U盤，保護文件傳輸安全。

　?。?）加強軟件改善

　　從目前掌握的情況來看，無論是勒索軟件的解決，還是在網(wǎng)絡安全水平的提升方面，都需要在軟件的改善力度上不斷下功夫?，F(xiàn)如今的軟件類型和下載方式不斷加快，很多軟件在操作和應用過程中，都表現(xiàn)出傻瓜式的特點，倘若用戶本身的專業(yè)知識不足，再加上軟件的漏洞較多，很容易導致勒索軟件的傳播范圍不斷擴大，導致網(wǎng)絡安全內部的故障持續(xù)性的轉變，會大幅度提升應對的難度。例如，在使用計算機期間要注意網(wǎng)頁的內容是否正常。而網(wǎng)絡服務器后臺也需要在問題出現(xiàn)時第一時間調取相關資料，查找出現(xiàn)問題的計算機是否存在入侵與非法訪問的現(xiàn)象，通過機制來保證網(wǎng)絡系統(tǒng)的安全。此外在傳輸過程中還可以使用數(shù)據(jù)傳輸加密技術。數(shù)據(jù)傳輸加密技術作為一種在傳輸過程中對信息加密的方法，可以有效保證數(shù)據(jù)在傳輸過程中信息的安全性。

　?。?）加強安全意識的培養(yǎng)

　　網(wǎng)絡安全的發(fā)展和進步，成為了時代的重要考量內容，也對國家的生產、生活進步產生了重大的影響。如果我們在未來的工作中，繼續(xù)按照老舊的標準和方法來工作，不僅會造成嚴重的經濟損失，還會導致勒索軟件的繁雜程度大幅度地提升，容易對今后的工作實施層面造成無法解決的困難。因此，加強安全意識的培養(yǎng)，必須從長遠的角度出發(fā)。首先，需要通過相應的規(guī)章制度管控上機操作人員的數(shù)量，通過專人專機制度保證計算機在系統(tǒng)內最大限度地由個人負責；其次，培養(yǎng)操作人員的安全意識還體現(xiàn)在操作意識上，培養(yǎng)科學、安全、正確的軟件使用習慣是作為操作人員必須具備的基本素質。值得注意的是，在安全意識的培養(yǎng)過程中，必須對大眾的一些行為做出更好的警惕，要加強日常的電腦及網(wǎng)絡監(jiān)管工作，這樣才能更好地處理潛在性的問題。

　　四

　　結束語

　　我國對網(wǎng)絡安全的重視程度不斷提升，在勒索軟件的防控體系上，正在不斷健全，各項工作的開展都可以選用合理化的模式來完成，并沒有造成嚴重的疏漏現(xiàn)象。今后，應繼續(xù)在勒索軟件的控制、解決過程中，按照正確的方式和手段來完成，針對網(wǎng)絡用戶的謹慎態(tài)度做出良好的提升，在技術手段上、監(jiān)管手段上不斷優(yōu)化和完善，為勒索軟件的解決，以及網(wǎng)絡安全的進步，做出更加卓越的貢獻。