阿里移動安全

就在11月28日，又一起勒索事件出現(xiàn) —— 舊金山MUNI城市捷運系統(tǒng)受到勒索加密勒索軟件攻擊，所有的售票站點都顯示出“你被攻擊了，所有數(shù)據(jù)都被加密“，攻擊者發(fā)出公告索要100比特幣，也就是70000多美元。

勒索軟件不管對個人網絡用戶和企業(yè)用戶來說,是個越來越顯嚴重的犯罪問題。受影響的客戶包括中小企業(yè)的業(yè)務信息系統(tǒng)，甚至包括個人終端，移動設備。據(jù)美國FBI的一份報告顯示，2016年，勒索軟件的非法收入可能達到10億美元。這一巨大的收入數(shù)字，很大一部分都是由企業(yè)繳納的贖金組成。

當用戶因為勒索軟件導致業(yè)務中斷，企業(yè)通常會認為支付贖金是取回數(shù)據(jù)最劃算的辦法。但尷尬的是，這些支付出去的贖金，通常會被直接用于下一代勒索軟件的開發(fā)。所以很多企業(yè)正在無奈地用“金錢澆灌著勒索軟件的花朵”。正因如此，勒索攻擊正以驚人的速度不斷發(fā)展，勒索軟件家族也正在不斷的進化。

勒索事件之所以如此可怖，是因為它不像一般攻擊事件，其發(fā)起者只想訪問數(shù)據(jù)或者獲取資源，勒索者有時既想要數(shù)據(jù)，更要錢。這也是為什么在很多勒索事件中，受害者被騙取了錢財，但未拿回自己的數(shù)據(jù)。

當前國內外諸多研究機構已經專門針對勒索軟件的現(xiàn)狀、趨勢，并做了詳細的信息收集和分析研究，微軟還專門針對勒索軟件在其安全中心開辟了專欄版塊，從所有的機構數(shù)據(jù)來看，勒索軟件卷土重來的趨勢愈演愈烈，本文將重點討論如何保護企業(yè)，幫助他們更好地應對這種威脅。

一、什么是勒索軟件？

Radsomware（勒索軟件）是通過網絡勒索金錢的常用方法，它是一種網絡攻擊行為，可以立即鎖定目標用戶的文件、應用程序、數(shù)據(jù)庫信息和業(yè)務系統(tǒng)相關的重要信息，直到受害者支付贖金才能通過攻擊者提供的秘鑰恢復訪問。說直白一點，有點像大家的IPHONE突然間“被掛失”了，然后攻擊者打來電話索要贖金，然后才幫你解鎖。而勒索軟件攻擊的這個“IPHONE”，則是系統(tǒng)、服務器。

勒索軟件專門以用戶文件為攻擊目標，同時會避免破壞系統(tǒng)文件。其中的原因是，這一方面可以確保用戶會收到相關的通知，以告知他們的文件所遭到的攻擊，另一方面，用戶也能夠通過一定的方法支付贖金以取回他們的文件。對文件進行加密后，此類惡意軟件通常會自我刪除，并留下某種形式的文檔 —— 這個文檔會指示受害者如何支付贖金，并重新獲得對加密文件的訪問權限。某些“變體”還會向受害者設定支付時限，并威脅如果在此時限之前未收到付款，則將刪除密鑰/解密工具，否則則會增加贖金的價格。

勒索軟件的發(fā)送方式通常包括：漏洞攻擊包、水坑式攻擊、惡意廣告，或者大規(guī)模的網絡釣魚活動。一旦發(fā)送成功，勒索軟件一般通過某種嵌入式文件擴展名列表來識別用戶文件和數(shù)據(jù)。勒索軟件還會通過編程，避免影響某些系統(tǒng)目錄（例如 Windows 系統(tǒng)目錄或某些程序文件目錄），以確保負載運行結束后，系統(tǒng)仍然保持穩(wěn)定，以使客戶能夠支付贖金。

翻譯：鎖定和加密您的數(shù)據(jù)和徹底改變文件后綴名，并留下聯(lián)系方式

圖1.大部分加密文件可以鎖定目前主流的文件格式類型