近期，趨勢科技在國內(nèi)再次收到大量勒索軟件新變種的感染報告，病毒會將自身偽裝成郵件附件進行傳播。郵件附件一旦被運行，用戶計算機上的所有文檔會被加密，用戶需要按照要求支付“贖金”，否則文件將有可能永遠無法打開。由于這種網(wǎng)絡(luò)欺詐金額巨大，且防范困難，趨勢科技提醒個人消費者與企業(yè)務(wù)必要留意此類威脅的演變，并采用定制化的治理策略進行化解。

勒索軟件威脅巨大 傳統(tǒng)網(wǎng)絡(luò)安全防護手段瀕臨失效

作為一種有著持續(xù)影響力的欺詐手段，勒索軟件在西方國家早已經(jīng)“臭名昭著”，它們以“綁架(非法加密)”用戶文件為手段，直接敲詐用戶巨額錢財，并且這種流行“瘟疫”正從西方國家迅速擴展到國內(nèi)。犯罪分子勒索的金額常常高達600-2000元，即使支付了這些費用，黑客也可能會進行后續(xù)的勒索，獲取大量非法收益后銷聲匿跡。

【受害者只有支付“贖金”才能恢復(fù)文件】

一旦勒索軟件進入到終端，文件被黑客加密，就幾乎無法通過第三方手段進行解密。趨勢科技中國區(qū)技術(shù)總監(jiān)蔡昇欽指出：“犯罪份子使用了標準機制對受害者的數(shù)據(jù)進行加密，其復(fù)雜的加密方式，幾乎無法通過暴力破解等第三方解密方式進行破解，用戶只能被迫支付‘贖金’，外連到黑客不斷變化的C&C服務(wù)器才能拿到解密的密鑰。“

【犯罪分子會通過加密編譯器對軟件進行加密】

更加可怕的是，勒索軟件可以輕松繞過傳統(tǒng)防毒軟件的防線。經(jīng)過對勒索軟件代碼的分析，趨勢科技安全研究人員發(fā)現(xiàn)，犯罪分子使用了加密編譯器對軟件進行了加密，這使得很多根據(jù)靜態(tài)特征碼工作的防毒軟件對這種病毒失效。采用多種反病毒引擎的可疑文件分析服務(wù)網(wǎng)站VirusTotal分析結(jié)果顯示，在加密編譯之后，網(wǎng)站檢測到的可疑文件數(shù)量從49個(總數(shù)為51個)下降為1個!這意味著絕大多數(shù)經(jīng)過編譯后的勒索軟件都無法被傳統(tǒng)防病毒軟件發(fā)現(xiàn)。

那么，在勒索軟件不斷蔓延的情況下，用戶應(yīng)該如何應(yīng)對呢?

作為全球服務(wù)器安全、虛擬化及云計算安全領(lǐng)導(dǎo)廠商，趨勢科技分別針對普通消費者和企業(yè)級用戶提供了有效的治理方案。

個人用戶：養(yǎng)成良好習(xí)慣，安裝云安全防毒軟件

任何一個普通用戶，都可能受到勒索軟件的威脅，所以用戶都需要養(yǎng)成良好的網(wǎng)絡(luò)使用習(xí)慣。首先，不要輕易打開來陌生人的電子郵件，也不要隨意點擊電子郵件中的不明鏈接。其次，當打開郵件附件時，要注意查看附件擴展名，exe、scr等可執(zhí)行文件都具備高度的風(fēng)險性，一定要謹慎下載。

另外，個人用戶可以安裝PC-cillin 2015等具備勒索軟件防護功能的防護軟件，阻擋勒索程序進入到終端。PC-cillin 2015可以根據(jù)勒索軟件的惡意行為，自動檢測郵件和惡意網(wǎng)址包含的勒索軟件，確保重要文件不被黑客“加密”。

針對個人用戶對文檔管理的“好習(xí)慣”，蔡昇欽建議：“用戶最好能養(yǎng)成定期備份重要文件的好習(xí)慣，備份的最佳做法是采取3-2-1規(guī)則，即至少做三個副本，用兩種不同格式保存，并將副本放在終端以外的介質(zhì)上。”

企業(yè)用戶：采用定制化防御，“多管齊下”方能有效治理

勒索軟件威脅的影響范圍正在變得越來越大，不僅個人用戶(特別是那些電腦上存儲有重要文件的用戶)需要加深對該類型軟件的防范意識，企業(yè)用戶更要有所應(yīng)對，研發(fā)文檔、銷售數(shù)據(jù)、數(shù)據(jù)庫文件一旦被加密，損失和影響都將超出您的預(yù)期。

趨勢科技的研究人員發(fā)現(xiàn)，在地下黑客經(jīng)常光顧的“地下市場”，一些勒索軟件的加密編譯器不但標定了不同的價碼，而且還可以根據(jù)不同需要定制化的加工“加密編譯器”。這樣一來，幾乎每個用戶收到的文件都是獨一無二的，這使得感染量在不斷增多。另外，犯罪分子往往會將其偽裝成垃圾郵件的附件發(fā)送到用戶的郵箱，如果用戶終端在疏于防范的企業(yè)內(nèi)部，黑客很有可能會以此形成“單點突破”、發(fā)動APT攻擊，即使企業(yè)“服軟”后交付贖金，也會造成無可挽回的重要信息泄露。

對于更復(fù)雜的企業(yè)網(wǎng)絡(luò)環(huán)境，蔡昇欽表示：“有效應(yīng)對此類威脅的重要手段之一，便是采用動態(tài)的沙盒分析技術(shù)。這項技術(shù)可以克服基于特征碼檢測的不足之處，其運作原理可以先檢查整個文件結(jié)構(gòu)、尋找篡改和惡意代碼注入的跡象，然后在受害者相同環(huán)境的沙盒中模擬可疑文件，以此了解勒索軟件的作用域、行為和影響。”

為此，趨勢科技建議企業(yè)用戶采用定制化治理策略，通過趨勢科技全球云安全智能防護網(wǎng)絡(luò)(TrendMicro Smart Protection Network , SPN)或部署本地支持SPN的深度威脅發(fā)現(xiàn)平臺(Deep Discovery， DD)產(chǎn)品，實時掌握全球各地相同的勒索軟件攻擊，發(fā)現(xiàn)勒索軟件采用的C&C惡意鏈接，實現(xiàn)有效地偵測和阻斷。其中，DD系列中TDA采用了“三層式”的偵測方法，第一層是初步偵測，第二層是沙盒模擬分析，第三層是事件關(guān)聯(lián)，目的就是為了發(fā)掘這種隱匿性的攻擊活動。而作為定制化防護策略的重要產(chǎn)品之一，用戶可以采用趨勢科技推出的深度威脅郵件安全網(wǎng)關(guān)Deep Discovery Email Inspector，檢測和阻止勒索軟件通過郵件途徑進入到網(wǎng)絡(luò)。

【“多管齊下”可有效降低勒索軟件帶來的風(fēng)險】

若要防范勒索軟件被APT攻擊利用，單一的安全產(chǎn)品很難奏效。因此，用戶還需要使用行為分析、網(wǎng)頁信譽評估、郵件動態(tài)分析等技術(shù)來檢測郵件中的未知樣本，在實時監(jiān)控系統(tǒng)中的發(fā)現(xiàn)惡意行為，這是有效治理的前提，更是防威脅于未然的基礎(chǔ)。