“知物由学”是网易云易盾打造的一个品牌栏目，词语出自汉·王充《论衡·实知》。人，能力有高下之分，学习才知道事物的道理，而后才有智慧，不去求问就不会知道。“知物由学”希望通过一篇篇技术干货、趋势解读、人物思考和沉淀给你带来收获的同时，也希望打开你的眼界，成就不一样的你。当然，如果你有不错的认知或分享，也欢迎通过邮件投稿 ：zhangyong02@corp.netease.com 

原文：How To Survive A Ransomware Attack -- And Not Get Hit Again

作者：Kate O'Flaherty

2017年，WannaCry（蠕虫病毒）因为攻陷了NHS（英国国家医疗服务体系）从而一举成名，并且自此之后，类似的勒索软件还在继续攻击企业里面的系统。根据权威安全研究机构Symantec（赛门铁克）的相关报道称，从2013年以后，病毒感染率每年都在稳步上升，2017年达到创纪录水平。

在刚刚过去的这几个月的时间里，勒索软件严重影响了多个组织，这其中就包括美国的PGA[1]（全球通用证书项目）组织以及位于阿拉斯加地区的Matanuska-Susitna学院[2]，迫使政府工作人员只能使用打字机来完成日常工作。

迫于这样的情势下，政府开始关注勒索软件的影响也就不足奇怪了，因为勒索软件一旦锁定用户的设备或者数据，最终的解决方案只能是支付赎金。英国的国家网络安全中心（NCSC）甚至还发布了如何降低被勒索软件攻击的相关建议[3]。与此同时，英国政府为了应对勒索软件，还在网络安全方面做出了重大调整，政府宣称这些简单的措施可以使得线上网络更加安全。

据安全研究人员称，与其它威胁相比，勒索软件的数量的确有所下降。然而勒索软件仍然是一个非常现实的威胁：攻击数量的确在下降，但是攻击的目标却更具有针对性了。 “现在来看，2017年和2018年的主要差异是勒索软件更具针对性的趋势加强，”Glasswall Solutions的战略总监Matt Shabat说到， “与其通过相对呆板的方法去寻找大规模的攻击目标，这些病毒的制作者们似乎正在寻找一种更为精确的感染渠道，更有目标性，并且最终会让感染者们妥协从而交赎金。”

识别勒索软件

勒索软件的攻击有两种方式。第一种就是对电脑或者网络中的某个文件进行加密；第二种就是锁定用户的屏幕。“像WannaCry这种类似于蠕虫式的勒索软件，一旦进入网络，就会横向扩散到其它机器而不会受到攻击者或受感染用户的干扰，”NCSC发言人说。

有时，恶意软件会以勒索的形式出现，但在支付赎金后，文件不会被解密。 这种恶意软件就被称为“wiper”恶意软件。

勒索软件通常会要求将比特币这种加密货币作为“赎金”。在很多情况下，勒索的金额不会很大，都是适度的，从而让整个支付过程以最快最廉价的方式完成。

勒索软件攻击的规模范围和自动化性质使其不断获利。“他们是有选择性的攻击，通常不针对特定的个体或系统，因此任何部门或组织都可能受到感染。” NCS发言人说。

一般来说，如果某家公司遭遇到勒索软件的攻击，他们根本就察觉不到。受感染的计算机将无法访问，因为密钥文件已经被他们加密了，同时屏幕上还会显示出关于赎金的说明。

Sophos的高级技术专家Paul Ducklin表示，大多数勒索软件会在文本编辑器或浏览器中弹出付费页面，“但也有很多会将电脑的桌面壁纸更改为付费页面的图案。”

令人遗憾的是，被感染者们刚想妥协时却已经晚了，特别是如果勒索软件在全网范围内已经传播，所有桌面都被劫持以后更为如此，Malwarebytes的恶意软件分析师Chris Boyd说。 “主要原因基础社会工程不完善，还有就是针对人力资源部门的虚假电子邮件，其中包含可疑的附件。”

辨别警告标志：勒索软件和电子邮件网络钓鱼

“目前为止电子邮件仍然是恶意病毒传播的最佳渠道”，作为EMEA的网络安全策略师Adenike Cosgrove说。她说对于网络犯罪分子来说，最简单的方法就是“通过简单而复杂的社会工程策略”从而利用人类的脆弱性。她解释说：“网络犯罪分子已经找到了新的方法来利用人类的本能，这种本能就是好奇心和信任，最终会导致善意的人们落入到攻击者的手中。其出现形式可能是一个伪装的URL或看似没有病毒的附件，但只需点击一下即可，勒索软件就会立即得手。

赛门铁克的威胁研究员Dick O'Brien表示，大多数勒索软件都是通过大量的垃圾邮件进行传播的，其中就包含每天发送的数十万封电子邮件。

勒索软件也可能通过网站传播，这些网站实际上已经被攻陷，然后以托管所谓的漏洞利用工具包为名。“实际上这是一种可以扫描访问者计算机的工具，这种工具可以检查电脑是否正在运行具有已知漏洞的软件，”O'Brien说。“只要发现漏洞，它将利用其中任意一个从而在受害者的计算机上下载并安装勒索软件。”

在少数情况下，有些团伙试图侵入公司网络并且尽可能多的感染计算机，企业会成为他们的首选目标。

如何抵御勒索软件

如果你被勒索软件袭击了，你会怎么做？

“许多勒索软件的代码质量很差，有些软件甚至连主密钥都被泄露了，因此在线查看一下是否已经有人建立了解密工具这种做法很值得尝试，”博伊德说。他的公司Malwarebytes针对某些版本的Petya和Chimera发布了独立版本，“当然还有更多的版本”。

无论做什么努力，最后同意支付赎金是一个错误的做法。事实上，国家犯罪署鼓励工业界和公众不要支付赎金。

“我们强烈建议不要支付赎金，因为一旦同意的话就是鼓励诈骗者继续他们有利可图的商业模式，” Boyd表示赞同。

ESET的网络安全专家Jake Moore说他的观点就是建议不要付钱。“但当我看到那些CEO们双手抱着头略显无奈的样子问我，‘我们还能做什么呢’，这时他们已经意识到自己必须要妥协了。”

然而，即使付完钱你也没办法确保数据就能要的回来，某些情况下如果完成付款，这些数据还有可能被“撕票”。“同意给网络犯罪分子支付赎金也就相当于给更大规模的网络攻击提供了资金，因此必须在此重申支付赎金并不是最终的解决之道，” Moore说。

解决方案远不止支付赎金这么简单。据Cybereason的内容与安全研究副总裁Lital Asher-Dotan说，某些组织将会设置一个比特币钱包用来支付赎金，这个过程可能需要几天时间。

未来如何避免勒索软件的攻击

未来如果想避免被勒索软件攻击，那么就需要提前做一些预防准备，例如事件响应计划和对员工的风险培训。

但是Boyd表示大多数企业或者组织并不会就安全基础知识对员工进行培训。 “很少会有企业给员工发送关于一些常见的诈骗方法的邮件，也很少会有企业告知员工有哪些已有的安全工具可以用来阻止勒索软件的攻击”

事实上企业应该培训员工如何识别出勒索软件的攻击。这会降低企业成为受害者的概率，员工一旦发现被攻击也可以立即发出警报，埃森哲安全公司总经理Rick Hemsley说。 “其实员工是企业抵挡勒索软件攻击的最强防线。攻击者只需要点击一下就可能攻陷所有员工的电脑，因此让所有人时刻处于警备状态可能会将一次风险转危为安。”

Gowling WLG的主管Helen Davenport表示，能够及时发现隐藏的攻击这点很重要。 “将攻击扼杀在摇篮里这点非常可取。如果在源头上能够立马处理掉那些被破坏或加密的文件提示，攻击的范围将会减少很多。“

及时备份，这个做法可能人人都知道，但往往也最容易被忽略。Boyd说，即使没有其它措施，但是如果企业做好了充分的的备份流程，那么只需要将文件覆盖回原来的版本就可以，这种做法也最简单。

RYAZAN，俄罗斯 - 2017年6月28日：一个年轻人的剪影反对红色背景的与投射的消息与Petya勒索有关; 2017年6月27日，Petya勒索软件病毒的一种变种袭击了俄罗斯，乌克兰和其他国家公司的计算机网络攻击。 Alexander Ryumin / TAS（照片由Alexander RyuminTASS通过Getty Images拍摄）

Moore说，测试恢复时间是其中非常关键的一部分。“我给很多公司提过建议，做一次'勒索软件袭击'模拟。因为有的公司声称只需要一个小时就可以在线恢复文件，但经过测试发现想要恢复文件实际上需要三天或更长时间。这可能会造成另一个问题，将恶意软件带来的危害进一步扩大。”

点击免费试用网易云易盾安全服务。