近幾年，勒索病毒頻繁發生，從2017年的WannaCry到2021年的incaseformat以及PC巨頭宏碁被索要3.25億天價贖金等等，我們不難發現勒索病毒逐漸趨於產業化並且越發具有針對性，這也導致很多人“談勒索色變”。今天我們就來談談大熱的勒索病毒,它真的那麼可怕嗎？到底怎樣才能保護電腦不被勒索呢？這篇文章將帶您找到答案。

勒索病毒簡介

勒索病毒，一種新型電腦病毒，主要以RDP爆破、漏洞利用、郵件、程式木馬、網頁掛馬的形式進行傳播。這種病毒利用各種加密演算法對檔案進行加密，使使用者資料資產或計算資源無法正常使用，並以此為條件向使用者勒索錢財。該病毒性質惡劣、危害極大，一旦感染將給使用者帶來無法估量的損失。

勒索病毒發展史

1989年

AIDS Trojan史上首個勒索病毒。

2006年

江民科技發現國內首例勒索病毒，命名為“敲詐者” 。

2013年

勒索病毒使用AES和RSA對特定檔案型別進行加密，使破解幾乎不可能。

2014年

以Koler為首的家族勒索病毒最早出現在Android平臺。

2016年

出現首個帶有中文提示的勒索軟體Locky。

2017年5月

以WannaCry為代表的蠕蟲式勒索病毒及其病毒變種大面積爆發。

2018-2020年

以GandCrab、

GlobeImposter、Crysis為代表的勒索病毒仍然活躍，各種變種層出不窮，虛擬貨幣支付贖金的方式更多樣化。

2021年

PC廠商宏碁遭受REvil組織攻擊，索要3.25億天價贖金。

容易感染勒索病毒的使用者

1. 缺乏安全意識，系統沒有啟動自動更新，長期沒有更新系統補丁包；

2. 沒有安裝有效防毒軟體，病毒庫長期沒有更新；

3. 隨意開啟不明來源郵件的附件、連結等；

4. 使用來源不明或者公用的隨身碟、行動硬碟接入電腦；

5. 訪問不良網站或者隨意亂點廣告連結等都會容易被感染病毒。

勒索病毒感染後的症狀

首先就是電腦桌面背景被修改，其次文件、影片和照片等多種檔案被加密上鎖，無法開啟使用，接著病毒會彈出支付贖金提示。

勒索病毒的危害

1. “蠕蟲”病毒傳播，感染速度非常快，會在短短几個小時內造成大範圍電腦中毒。

2. 變種衍生迅速，對常規的防毒軟體具有免疫性。

3. 攻擊樣本以exe、js、wsf、vbe等型別為主，對常規依靠特徵檢測的安全產品是一個極大的挑戰。

4. 導致電腦資料丟失，一些重要的資料丟失，損失是無可估量的。

5. 會直接造成企業巨大的經濟損失。

勒索軟體主要的勒索方式以綁架使用者資料為主。已經被感染使用者，想要恢復被加密鎖死的檔案幾乎是不可能的，儘管你支付贖金，也未必能獲得解密金鑰，因為勒索病毒有一個天生的大BUG——在加密之後作者無法分清每臺電腦，因此就算給了贖金也無法提供一對一的金鑰。而應對勒索病毒最好的方法就是做好事前預防。

個人電腦防勒索方案

1.勒索病毒主要透過加密使用者檔案給使用者帶來巨大損失，因此一定要做好備份！備份！備份！（重要的事情說三遍）

2. 多臺機器，不要使用相同的賬號和密碼，以免出現“一臺淪陷，全網癱瘓”的慘狀；

3. 安裝防毒軟體，保持監控開啟，及時更新病毒庫；

4. 關閉非必要的服務和埠如135、139、445、3389等高危埠。

5. 提高安全意識。不隨意點選陌生連結、來源不明的郵件附件，儘量從安全可信的渠道下載和安裝軟體；

企業防勒索方案

對於企業使用者來說，針對勒索類的安全威脅防護可以選擇江民赤豹近衛終端安全防禦系統（赤豹EPP），一招輕鬆解決勒索病毒問題。

江民赤豹近衛終端安全防禦系統（赤豹EPP）

能夠解決企業各類網路環境下補丁下載與安全更新問題，能夠適應網際網路、內網WSUS、隔離網路等多種環境，有效提升企業資訊系統整體漏洞防護等級。

同時，針對破壞力極強的勒索病毒，在正常防禦手段的基礎上，從靜態防禦和動態防禦兩個維度專門定製了勒索軟體的圍獵矩陣，覆蓋勒索病毒破壞前、破壞中、破壞後全生命週期。

事前：白名單環境預防勒索

透過檔案可信認證體系，禁止非授權程式啟動，阻止加密行為。

事中：機器學習完善勒索專用模型

1.透過AI引擎進行大規模的勒索樣本訓練，形成一個針對勒索病毒的專有檢測模型。

2.專用工具防備萬一，繼承大量金鑰，完善成專用解密工具，防備不時之需。

事後：溯源分析找到事件源頭

回溯攻擊全貌，透過復現供給鏈，找到攻擊源頭解決隱患。

靜態防禦包括勒索病毒專用AI模型，增強對勒索病毒的檢測能力；動態防禦包括行為狩獵和勒索誘捕，行為狩獵捕捉勒索病毒執行的API行為序列和批次修改檔案格式頭的可疑行為，勒索誘捕對勒索病毒操作誘餌檔案的可疑行為進行捕捉。

今天的分享就到這裡了

下期我們來聊聊“EDR的那些事兒”