算法算法、信息与信息对话反病毒厂商 勒索软件应对策略.docxVIP

算法算法、信息与信息对话反病毒厂商 勒索软件应对策略 毫无疑问，大多数安全制造商都是考虑欺诈软件的认知和预防。我刊采访了国内外多家知名反病毒安全厂商, 听取他们对勒索软件的最新分析、趋势判断、防范建议等。 受访者:360公司首席安全官谭晓生 ■您认为恶意软件近年来呈现一个怎样的发展态势? 谭晓生:恶意软件范围非常广, 包括广告软件、间谍软件都叫恶意软件, 但勒索软件我认为在未来几年会变成一个非常热门的话题。 早期的电脑病毒制作者目的就是为了出名, 有些是黑客的炫技, 以传播量来看一个病毒的效果如何。后来电脑病毒里逐渐开始有一些破坏性代码, 破坏硬盘数据, 甚至像CIH那种破坏电脑硬件。冲击波和震荡波也是影响比较大的病毒, 导致电脑不断重启。 在2006年, 互联网已经可以通过广告盈利, 大量的广告软件和间谍软件开始出现, 有的甚至是正规公司做的, 360把这些软件叫“恶意软件”而招来了官司, 后来我们就换种说法, 叫作“恶评软件”, 以网民的评价来做定义。 接着是木马的流行, 和前面病毒类的恶意软件情况不同, 木马并不以量取胜, 它的目的非常明确:盗号木马、网银木马之类, 就是要偷数字信息或者金钱, 木马送出去就是要完成它的任务。 2015-2016年勒索软件发展特别快, 必须引起足够的重视。现在勒索软件在制作、传播、获利等环节已形成了完整的黑色产业链, 成为一种非常完美的商业模式。 ■勒索软件是怎样发展到今天这个形态的? 谭晓生:勒索软件是通过对用户数据文件加密、系统加锁等方式使用户文件或系统资源无法正常使用, 进而向用户实施勒索的恶意软件。常用手段包括加密文件、修改系统密码、锁屏等。其特点既不同于病毒是单纯的破坏, 也不同于常见的木马是盗取用户数据, 而是在加密用户资源后直接向用户勒索钱财——获利方式更加直接, 也更加容易。 勒索软件发展至今, 从最开始的锁屏, 系统密码修改, 后逐步演变为非对称加密结合对称加密的多层加密体系, 加密方案越来越完善。发展中也出现了一些如petya这类加密MBR的更加暴力的方式, 并开始使用系统漏洞, 各类提权绕过方案, 技术方式上更加多样。传播形式上由之前钓鱼邮件传播, 发展为挂马, 恶意下载器, 各类伪装捆绑传播, 更有甚者甚至开始鼓励受害者进行传播, 传播方式可谓五花八门。一步步发展至今, 勒索软件其实就是在不断地完善它的勒索方案传播手段等, 以达到使自己能够通过敲诈勒索获取更多利益的目的。 ■为什么说勒索软件是一种完美的商业模式? 谭晓生:现在人们的信息基本都是数字化, 数据已经成为个人乃至企业最重要的资产。但多数人对数据备份不重视, 或者做不好, 一旦中了勒索软件如同现实中被人绑架了一样, 而现在勒索软件用的密码算法, 如果拿不到密钥, 基本上很难破解。受害人为了数据安全往往只能妥协, 破财消灾。 最早的勒索软件在十多年前就已经存在, 当时的勒索软件主要是强迫用户购买特定商品, 或者向指定账户汇款, 此类勒索软件并未大规模流行爆发。但最近几年比特币为代表的匿名支付的兴起, 新兴的勒索软件开始大量出现, 究其原因有下面几点: 高收益, 勒索软件具备了可以短时间大面积犯罪的可能性, 在网络上通过大范围传播, 同时攻击大量的对象。而攻击成功后所索要的金钱, 也不像现实中那么金额巨大, 难以支付, 一般勒索1~3个比特币, 一单有一到两万元的收益, 被勒索的对象选择给钱的概率就很大。这就给攻击者带来了巨大的利益, 也使更多攻击者参与进来。 低门槛, 勒索软件使用的加密, 通信, 支付技术都是目前比较成熟的技术手段, 网上有大量公开的源码和教程, 制作难度低, 造成很多人可以制作此类恶意软件。 追踪难度大, 此类恶意软件通常使用挂马, 垃圾邮件传播, 以比特币作为支付手段, 解密服务器也都位于暗网很难进行有效追踪。这也降低了攻击者自身的风险。 产业链成熟, 随着互联网发展, 恶意软件传播的产业链也逐渐成熟, 从恶意软件的制作, 传播, 维护, 收款都有专门的从业者, 分工明确。很多参与者无需具备太高的技术或者资源, 也能够参与其中获取利益。 勒索软件已经成为恶意软件的一大热点, 它虽然在传播量上并不占优势, 但其危害严重, 动辄造成企业瘫痪, 企业个人的重要数据丢失, 而市面上的很多安全防护系统还不具备对其完善的拦截能力。 ■如果说勒索软件一旦中招往往就只能破财消灾, 那么我们该如何防范?企业该如何应对? 谭晓生:随着信息化程度的不断提升, 企业机构政府部门等对信息系统的依赖程度也越来越高, 而勒索软件的主要危害就是破坏信息系统。一旦病毒入侵, 将造成重要数据损坏, 或致使系统无法正常运行, 如果已被感染的设备连接了企业的共享存储, 那么共享存储中的文件也可能会被加密, 企业因此面临的经济