​本文通过深入的介绍和分析勒索病毒威胁的规律,旨在强调:在设计应对勒索病毒攻击的方案时，必须注重严密性、可落地性，应遵循“减少接触、及时阻断、底线防御”这三条原则，设计部署防御勒索病毒攻击的有效防御解决方案。勒索病毒威胁只增不减

自2016年底席卷全球的互联网数据库勒索风潮起，到2017年5月12日爆发的WannaCry勒索，勒索病毒正式被大众熟知，成为全球范围内主流的网络安全威胁力量，医疗行业则是受勒索病毒威胁最为严重的行业之一。据美国电信巨头Verizon统计，2017年勒索病毒在全网所有的恶意软件攻击中的占比高达39%，令人惊讶的是，其在医疗行业中的占比远高于平均值，飙升到了85%，2017年之后，勒索病毒威胁更是保持只增不减的趋势，一直维持在高位。

在这个过程中，勒索病毒不断在发展和变化。从攻击对象上，其从广谱式无差别勒索攻击迅速过渡至面对企业和政府的集中式攻击。从攻击金额上，其赎金诉求从几百美金上涨至几百万美元……短短三年时间，勒索病毒通过各种传播方式和演进措施，已经在全球形成完全成熟的勒索产业链，影响甚广。面对勒索病毒的爆发式上涨，我们必须改变过往的认知，将勒索病毒作为独立的网络安全场景进行防范，充分思考其带来的各类危害。

下图是lumu公司发布的勒索威胁情报情况，主要阐述了勒索事件带来的影响和受害者在被勒索时所采取的措施：

❖36%的受害者在遭受勒索病毒入侵后选择支付了赎金，而其中17%的受害者支付了赎金却依然无法恢复数据；

❖勒索病毒给企业带来了巨大的困扰，如北美69%，亚太55%的企业曾报告其受到了勒索病毒的影响。

勒索威胁情报情况

医疗行业是受勒索病毒入侵感受较为直观、频繁的行业，也是受影响最深刻、广泛的行业。面对频繁发生的勒索事件以及时时刻刻存在的勒索威胁，医院需要思考和选择，勒索后是否需要迫于无奈交付巨额赎金？是否需要能够承担业务戛然而止带来的损失？是否在遭受勒索病毒前提前做好事前防范……面对全球形势下的勒索威胁，通常医院的决策决定了其在遭受勒索病毒攻击后的生存能力。

下图为美创科技在8、9月发布的勒索月报，阐述了勒索病毒在当月入侵的行业占比：

美创科技8月、9月勒索月报

可以直观地看到，医疗行业在众多受影响的行业中占比还是相对较大，是勒索病毒威胁的重灾区，除此之外，像教育、互联网企业、政府机构、金融、能源等行业也都受到不同程度的影响，总而言之，各类报告、数据、事实都在印证：勒索病毒威胁广泛存在，是否被勒索只是概率问题。

勒索病毒威胁为何会成为网络安全主流威胁

2016年为勒索病毒元年，2017年，WannaCry成为了网络安全史上影响最大的安全事件之一，大众真正开始为其带来的危害与影响感到恐慌，勒索病毒至此成为网络安全主流威胁之一。

事实上，勒索病毒成为网络安全主流的威胁，还有更为隐秘的原因：勒索软件/服务是黑色产业链的颠覆性创新。在勒索病毒出现之前，黑色产业链的盈利模式主要还是靠数据买卖、攻击服务等方式，意味着黑客（即卖家）在交易关系中，首先需要找到合适的买家，而受买卖关系渠道（如只能在暗网中交易）、买家低价求助等条件的限制，黑客的收益、兴趣也都会有所折损，例如部分黑客在尝到微小收益的甜头后选择收手。

但勒索病毒突破了以往黑色产业链的模式，解决了寻找买家变现的问题，即：通过加密文件，让被勒索者被迫成为买家，让被勒索者自己迫于数据破坏和业务终止带来无奈，逼迫其支付赎金。由于勒索病毒的门槛较低，勒索入侵事件在短时间内成为了一个人人可参与、易参与的高回报产业，这种低门槛、高收益的高级商业模式从本质上决定了勒索攻击必然会成为网络安全最主流的威胁。

以上特征决定了只要勒索攻击如此来钱快的商业模式不被摧毁/破解，如果没有更好的黑产商业模式可颠覆式地替代勒索攻击的盈利模式，那么黑客的野心会一直存在，也意味着通过勒索病毒进行入侵的事件会不断蔓延生产，每个人、每个单位组织都会有更大的概率亲眼目睹、感受勒索攻击带来的危害。当前勒索病毒攻击防御的困境

从入侵的技术手段来看，勒索病毒与传统的网络攻击方式相比，并没有特别出彩的内容，但是从影响的后果来看，其简单粗暴的入侵方式（即加密文件）让受害者无法从以“检测和响应”为基础的传统网络安全架构中找到合适的方式应对，尤其是大多数受害者目前主要还是以“人工响应”为主，事前检测不到、事中缺少机制拦截管控、事后响应速度慢等问题，让现有的机制纰漏无所遁形。

这是因为，传统的网络攻击往往伴随着复杂的攻击工程，如需要通过端口扫描、网络嗅探、服务器密码爆po、SQL注入尝试等一系列工作进行步步渗透，这一复杂的探索过程给以“检测和响应”为主的安全架构留下了相对充足的响应时间，允许有一定程度的响应时间延迟以让防御者及时做出响应。

但勒索病毒攻击并不需要如此复杂的环境检测，其通常利用既有的漏洞特征，如0DAY漏洞进行全网扫描，做无目标/既定目标的破坏性操作，使响应时间趋于零，让受害者无法及时应对。这种对于响应方式进行改变的攻击使得勒索防御异常困难，对此，通常有三种选择可以有效应对：

❖不让恶意软件到达目标，即无法接触目标、无法运行；

❖在勒索病毒启动破坏动作（加密）的时候，立即阻止其行为；

❖破坏后，通过已有备份进行数据恢复，以辅助业务恢复正常。

但从实用性而言，第1条几乎是不可能完成的任务。让病毒无法进入系统一直以来都是棘手的问题，通过网络、U盘、内部人员等行为都有可能让恶意软件有机可乘，目前尚无100%完美无暇的方案。这就决定了这条应对措施依然只能依赖概率，但显然，求助于概率使得问题永远无法被完美解决，即这条措施变得不可信赖。

而第3条，在被勒索后，受害者需要面临长期的业务中断和数据丢失问题，想要找回数据，需要确保备份和生产环境分离，如异地备份、离线备份，保证生产库和备份库不被同时勒索。

综合以上，在设计应对勒索病毒攻击的方案时，必须注重严密性、可落地性，因此较为周全的解决方案应当做到以下三条原则：

• 减少接触

通过减少恶意软件接触目标（如办公PC、服务器、终端等）的机会，来减少被勒索的概率。

• 及时阻断

通过及时阻断勒索病毒入侵行为，避免勒索病毒带来进一步的伤害，让攻击失效。

• 底线防御

通过备份、容灾等备用方案，保证被勒索后依然有数据可以恢复。

应对勒索病毒攻击的有效防御解决方案

当前，常见的勒索病毒解决方案还是以杀毒软件为主，即：通过将静态文件特征、恶意软件行为特征加入至黑名单，通过检测和拦截进行防御。但勒索病毒的变异特征较为明显，会通过更新/修改自身代码以绕过杀毒软件的查杀，因此，面对变种病毒，这些以黑名单为主的产品需要频繁地更新特征库，以适应病毒的变化，而分析病毒、更新病毒库等操作无形中拉长了响应时间，为病毒提供了充足的运行时间窗口，这也使得这种防御模式更为被动。

针对以上困境，美创科技始终将目标聚焦于勒索病毒最本质的特点：即黑客主要以加密数据文件为手段，向受害者所要赎金。那么无论勒索病毒特征如何变化，它始终需要对数据文件进行加密操作，这其中就包括读取文件、写入文件、删除文件、复制文件等操作，相对于上文所述的勒索病毒动态变化，这里提到的读写操作可以被认为是静态不变、固定的特征。从以上特征来看，结合美创多年来倡导的零信任理念，可对文件、文件的操作行为进行细粒度的权限控制，目前这一方式已在美创诺亚防勒索产品中得到落地，其中主要的防御功能有：

1）文件控制：对操作不同文件类型的应用进行识别、控制。勒索病毒在加密时，有一个较为明显的特征：即同一个勒索病毒应用程序会对多种文件类型进行加密操作。针对这一特征，我们设定特定的文件类型只能由特点的应用进行操作。举个例子，数据库文件只能由数据库相关的合法应用进行操作，如果勒索病毒/其它未经授权的应用（无论是否正版，只要是未经授权的）进行操作时便会进行拦截。

2）应用授权：设定特定的应用对特定文件的操作权限。主要是为了防止勒索病毒假冒正常应用对文件进行加密。当我们对不同应用都设置了不同的文件控制权限时，即使勒索病毒假冒成功，我们也能够通过细粒度的文件操作权限进行控制，如防删除等，将影响缩小至可控范围内。

3）应用控制：通过部分特征来描述应用，建立应用信任白名单和黑名单，对于黑名单应用进行直接拦截，这一部分吸取传统的勒索病毒解决方案的优点，可快速精确地识别勒索病毒。

4）诱饵文件：设置特定的诱饵文件并对其进行监控，当出现应用对诱饵文件进行操作时，触发相关安全响应，如隔离病毒、查杀病毒进程、邮件短信告警等。

除以上防御策略外，针对服务器上运行的较为固定应用程序的重要数据库服务器，勒索病毒入侵后，病毒的应用程序区别于固定运行的合规程序。因此，可设置相关策略，对所有新增的应用进行隔离，实现对其余应用的“零信任”，从而在勒索病毒到达之前实现防御效果。

提升数据安全以应对勒索病毒新套路

但根据勒索病毒手段攻击的演变，当前已有部分用户拒绝支付赎金，黑客恼怒进而选择直接进行数据公开的案例，预计未来也是勒索病毒发展的方向之一。

美创医疗数据安全解决方案

同时，勒索病毒攻击也意味着受害者数据环境存在不同程度的漏洞，带来更严重的趋势，如内部人员利用核心数据进行勒索，建议及时进行数据安全建设，以保障核心资产的安全。美创作为数据安全行业的领导者，已有丰富的实战应对经验，可提供全方位的解决方案，帮助用户提升整体数据安全水平。