一文剖析什么是勒索软件

勒索软件

勒索软件又称勒索病毒，是一种特殊的恶意软件，又被归类为“阻断访问式攻击”（denial-of-access attack），与其他病毒最大的不同在于攻击手法以及中毒方式。勒索软件的攻击方式是将受害者的电脑锁起来或者系统性地加密受害者硬盘上的文件，以此来达到勒索的目的。勒索软件一般通过木马病毒的形式传播。

勒索软件的类型根据勒索软件对受害者系统采取的措施，主要可以分为以下几类：

绑架用户数据：使用加密算法（如AES、RSA等）将用户的文件进行加密，用户在没有秘钥的情况下无法操作自己的文件。用户可以访问设备，但是对设备内的数据无法操作。典型勒索软件有：WannaCry、GlobeImposter、CryptoLocker，TeslaCrypt等

锁定用户设备：不加密用户的文件，但是通过修改一些配置或者系统文件，使得用户无法进入设备。典型勒索软件有：NotPetya等

锁定用户设备和绑架数据：既加密用户文件，又锁住用户设备。典型勒索软件有：BadRabbit等

勒索软件的入侵方式

如何防御勒索软件

1、主机侧防护：推荐通过组织级的IT基础设施方案来统一设置主机并针对员工进行信息安全教育。主要的主机侧防护措施包括但不限于：

开启系统防火墙，利用防火墙阻止特定端口的连接，或者禁用特定端口

升级最新的杀毒软件，或者部署专杀工具

更新补丁，修复勒索软件所利用的含漏洞软件

各项登录、鉴权操作的用户名、密码复杂度要符合要求

设置帐户锁定策略

阻止宏自动运行，谨慎启用宏

仅从指定位置下载软件

不要打开来源不明邮件的附件和链接

定期做好异地备份

在Windows文件夹中设置显示“文件扩展名”，可以更轻易地发现潜在的恶意文件

2、网络侧防护：设置以防火墙为基础的多层安全防御体系，避免攻击者突破一层防御之后长驱直入。针对勒索软件在网络侧的防护，华为通过如下分层防御体系进行防护：

通过在防护墙上部署严格的安全策略，限制用户对网络和应用的使用

通过IPS、AV、URL，发现和阻断已知威胁

通过沙箱联动，发现未知威胁

通过HiSecInsight、诱捕，避免横向扩散

部署日志审计系统，用于调查取证和攻击溯源

如何处置勒索软件

常见的勒索软件处置建议，相关措施包括但不局限于：隔离被勒索的设备、清除勒索软件、解密、调查取证、重装系统等。

编辑：jq