近两年来，勒索病毒事件可谓层出不穷。公共交通方面，2018年2月，SamSam勒索软件感染科罗拉多州交通部，科罗拉多州当局最终为清除该感染花费了150万美元费用；2018年12月，莫斯科新缆车的计算机系统遭遇勒索病毒入侵。工业互联网方面，2019年1月，新型勒索软件LockerGoga攻击挪威铝制造巨头公司Norsk Hydro，造成其关闭网络之后仅仅几天，又被发现疑似入侵了另外两家美国化学公司Hexion和Momentive的计算机网络，政府事物方面，2019年3月9日发现的一款恶意软件袭击了英格兰与威尔士联邦警署(PFEW)，2019年3月11日开始，我国多地政府及医院遭遇勒索病毒攻击。

勒索病毒的早期防治及痛点

说起勒索病毒，其实最早从2006年开始就进入了中国大陆，国家计算机病毒应急处理中心统计显示，当年感染581例。而真正让其“家喻户晓”则是2017年著名的“永恒之蓝”病毒的爆发，其范围之广，涉及系统之重要，让所有IT管理者闻之色变，遂掀起了一轮勒索病毒防范高潮。

笔者从事网络安全研究达三十年之久，认为目前我国的早期勒索病毒防治，一般可以概括为六个字：“补改关装规”。也即是，打补丁：及时更新系统补丁，修补漏洞；改口令：对系统内服务器、主机均强行实施复杂密码策略，杜绝弱口令；关端口：尽量关闭不必要的文件共享及不必要的系统服务端口；装软件：安装终端防护软件及防病毒软件，并保证病毒库最新；重规划：合理规划网络区域，强化业务数据备份等。

然而手忙脚乱一阵，政企客户的IT运维和信息安全管理人员仍提心吊胆。究其原因，无外乎两方面：一是“敌暗我明”，所谓勒索病毒、恶意软件及其变种层出不穷，隐藏技术和攻击手段难以预知，“防不胜防”；二是传统防范措施防病毒软件已日渐苍老，“不堪大用”，靠特征比对，简单行为分析已难以识别和防范勒索等新的威胁。

勒索病毒防治战略：知彼知己，百战不殆

勒索病毒，早期其实称谓勒索软件或勒索程序，是恶意软件或者叫恶意代码的一种，严格讲，是一种木马而不是病毒，木马和病毒是两种截然不同的威胁。

首先是隐蔽性。本质上病毒极具感染性，且感染易发现。而木马则出于本身“任务”的特殊性要隐藏其行踪，以便“开展工作”。从这一点来讲，木马更强调隐蔽和伪装，近期发现的Clop勒索病毒会冒用有效的数字签名，骗取系统及防病毒软件的信任，披上“合法外衣”，令一般的防治手段形同虚设。

其次是危害性。病毒一般以破坏系统文件或控制系统为目标，而木马则带有明确的目标性。目标多为钱财、数据或政治利益，危害性更大。勒索病毒之所以被称为勒索，正是由于其索取利益的目标特征；

再次是复杂性。从已知的勒索病毒及其变种来看，传播手段包括利用系统漏洞、利用垃圾邮件、广告以及U盘等，可以说无论系统在线或是单独内网，均可能被感染；而从加密手段上，最新发现的勒索病毒会采用非对称高强度加密文件，理论上破解毫无可能；

还有是广泛性。勒索病毒已有感染事例涵盖了世界各地各个国家，政府、高校、交通、制造、医院、能源、军工等，可以说无孔不入，尤其近期在我国主要以政府、医院、教育和制造等行业被感染事例较多。

中了勒索病毒，被加密的数据文件是否可以找回？第一种是按照勒索病毒感染后留下的线索提交“赎金”，可能拿到解开数据文件的密钥，从而恢复数据文件，但仅仅是可能，这个可能性目前看相当小，一般应急处置时网络安全专家都会建议直接格式化硬盘重做系统；另一种是利用数据恢复类软件，针对勒索病毒加密数据文件后将原数据文件删除的机制，努力恢复硬盘上的原文件。众所周知，此种方法要求硬盘第一时间“封盘”—感染后不做任何读写动作，可找回的几率很小。

勒索病毒防治战术：工欲善其事，必先利其器

既然勒索病毒如此“狡猾狠毒”，该以何法处之呢？近期无论是传统防病毒厂商还是传统网络安全厂商，均在各自产品中增加了EDR（终端检测与响应）技术与功能，来应对勒索病毒危害，EDR突出对终端的检测与响应，其中检测是根本，传统检测手段主要依靠“特征库比对”，而EDR则突出“行为检测”，对系统中进程的行为进行实时检测以发现潜在威胁。一般性的关键系统文件访问、系统进程调用、网络访问等行为容易被检测，而对于勒索病毒及其变种则难以通过简单的检测奏效，因其为隐藏行踪，除了前文提到的取得“合法身份”变种之外，对于一些传统行为检测技术的防范也是勒索病毒必修之功课，如何检测并识别勒索病毒及其变种成为EDR首要技术任务。这里笔者，提出一个“三管齐下”的防治策略。

一是依托沙箱技术。“Sandboxie(又叫沙箱、沙盘)是一个虚拟系统程序，允许在沙盘环境中运行浏览器或其他程序，因此运行所产生的变化可以随后删除。它创造了一个类似沙盒的独立作业环境，在其内部运行的程序并不能对硬盘产生永久性的影响。作为一个独立的虚拟环境，可以用来测试不受信任的应用程序或上网行为。”利用沙箱技术，可以测试多数恶意代码程序，并令其“现出原形”，以做好防范。缺点是沙箱技术虚拟的系统环境相对简陋，对于一些高级木马变种尤其是勒索病毒已知变种来看，反沙箱检测技术已经很成熟，所以沙箱技术本身已显落后。

二是依托蜜罐技术。蜜罐技术本质上是一种对攻击方进行欺骗的技术。通过布置一些作为诱饵的主机、网络服务或者信息，诱使攻击方对它们实施攻击，从而可以对攻击行为进行捕获和分析，了解攻击方所使用的工具与方法，推测攻击意图和动机，能够让防御方清晰地了解他们所面对的安全威胁，并通过技术和管理手段来增强实际系统的安全防护能力。看起来蜜罐技术可以高明很多，作为靶机，诱使攻击方展开攻击，且不说是否能骗过勒索病毒及其变种，令其展开攻击并被有效收集。当下，蜜罐逃逸技术也已经很成熟，蜜罐被狡猾的入侵者反利用来攻击别人的例子也屡见不鲜，只要管理员在某个设置上出现错误，蜜罐就成了“打狗的肉包子”。

三是仿真诱捕技术。“兵者，诡道也。故能而示之不能，用而示之不用，近而示之远，远而示之近；利而诱之，乱而取之，实而备之，强而避之，怒而挠之，卑而骄之，佚而劳之，亲而离之。攻其无备，出其不意。此兵家之胜，不可先传也。”──《孙子兵法》。仿真诱捕，古有研究。而作为网络防御技术，前几年也有相关专家作过研究论证，作为EDR的晋级时代，仿真诱捕技术再次被启用，构建高仿真系统，设置勒索病毒感染“陷阱”，“诱捕”勒索病毒发作现身，这针对具有反沙箱、蜜罐逃逸技术特征的恶意代码变种具有奇效。

结语

目前，恶意代码检测与防御系统（简称LEDR），采用机器学习及大数据分析技术、高级行为分析技术和漏洞利用检测技术，结合有效的威胁情报信息，针对类似于勒索病毒等高级威胁提供及时检测和快速响应。尤其是LEDR利用高仿真诱捕技术，可以有效检测并识别恶意代码攻击（包括勒索和0day）。确保了政企客户的网络系统安全高效的正常运营。

（原文刊登在《网络安全技术与应用》杂志 2019年第10期 总第226期

作者：门嘉平，单位：北京国联易安信息技术有限公司 ）

[责任编辑：快讯]