从《黑客入侵21家公司勒索5.01个比特币，被判5-8年有期徒刑》开始

最近看到某公众号发文：《黑客入侵21家公司，勒索5.01个比特币：三人分别被判处八年、五年、五年零三个月》

事实上，案件发生在2020年，宣判发生在今年4月。

据新闻报道：

在“净网2020”专项行动中，南通、启东公安机关联手成功破获一起公安部挂牌督办的大规模生产破坏计算机信息系统实施犯罪的案件网络勒索，鞠某、谢某被捕。 、Tan等三名嫌疑人，其中Ju是多个比特币勒索病毒的创造者。

在我的印象中，这是国内第二起因传播勒索病毒被逮捕判刑的案件（可能有遗漏，请指正），也是国内第一例因传播比特币勒索病毒而被判刑的案件。 多么快乐啊。

先回顾一下第一个案例：发生在2018年12月1日，有用户反映自己的电脑中毒，被勒索：

随后，在腾讯卫士项目保安团队的支持下，公安机关于12月5日将被告人罗某抓获，最终于2019年9月3日，被东莞市第三人民法院判处有期徒刑6年6个月。人民法院。

当然，第一个案例和第二个案例有很大的区别：第一个案例使用微信支付作为敲诈勒索的手段，非常容易定位，被抓到也就不足为奇了。 但是，很难跟踪和定位用于勒索的比特币。 因此，无论是在国内还是在全球范围内，比特币勒索软件生产者和传播者的案例都非常少。 同时，比特币勒索病毒是目前最主流的勒索病毒形式。

此外，近日，美国当地最大的燃油管道运营商Colonial Pipeline、爱尔兰医疗系统、国内某房地产公司等均遭到勒索软件攻击，这也让勒索软件再次被推入公众视线，成为热门话题。

跟着这个案例，以及最近的热点事件，也是时候跟大家聊一聊勒索病毒到底是怎么回事了。 本文主要从以下几个方面来谈勒索：

一、勒索病毒简介

二、勒索软件技术及传播分析

三、勒索病毒的产业形态

4. 勒索软件防御方案

5. 勒索软件解决方案

01

勒索软件简介

所谓勒索病毒，就是让你无法正常使用电脑或文档或其他应用数据文件（如数据库），只有支付赎金才能解除电脑异常状态的病毒。

勒索软件种类繁多，主要包括：

如：

硬盘加密：

锁屏勒索软件：

添加开机密码：

添加开机密码（MBRLocker）：

文档类加密：

数据库加密：

移动平台上的勒索：

已知最早的勒索病毒出现于1989年，名称为“艾滋信息木马”。 2005年，出现了第一个国产勒索病毒“Redplus”。 2013年，勒索比特币的勒索病毒CryptoLocker开始出现，从此进入了新的勒索病毒时代。

目前，对文档进行加密并使用虚拟货币（比特币）支付赎金的勒索病毒是最主流的勒索病毒形式。

02

勒索软件技术和传播分析

本文主要介绍文件加密勒索病毒的技术手段。 许多安全公司和安全研究人员会经常更新最主流勒索软件的技术报告。 本文不会讨论技术细节。 事实上，纯勒索病毒的技术细节分析报告对真正的受害者没有太大的指导意义，因为目前主流的勒索病毒家族都无法解密。 真正有教益的是还原攻击的攻击方式，以及如何进行针对性的加固。

目前，勒索病毒的加密方式已经非常成熟，勒索病毒制作者无需修改加密算法。 总之，目前勒索病毒的加密算法主要是非对称加密算法（如RSA2048）加对称加密算法（如DES），其中使用非对称加密算法生成密钥，使用对称加密算法加密文件。 . 主要流程如下：

此外，一些攻击者还会使用现成的常规加密工具（如BestCrypt）来加密文件。 使用正规的加密工具对文件进行加密，可以降低黑客自身的开发成本，更容易逃避安全软件的检查。 杀。

从通信方式来看，现在的攻击方式和通信方式与早期相比发生了很多变化。

早期的勒索病毒攻击主要针对C端用户，因此主要使用的攻击手段较为普遍，包括钓鱼攻击、挂马、捆绑、蠕虫等。

此后，目标逐渐转向一些高价值群体，比如律师、金融等。 攻击手段包括鱼叉攻击、水坑攻击、供应链攻击等。 然后对服务器进行更多的攻击，攻击手段包括漏洞、密码爆破等。

目前，勒索软件攻击越来越倾向于APT比特币代理平台，更多的APT攻击团伙也加入了勒索软件攻击的行列。 总之，目前勒索病毒的攻击没有固定的攻击模板，攻击者会针对不同的攻击对象制定不同的攻击策略和攻击技巧。

另外，勒索软件针对的攻击平台并不局限于windows，linux、android等都有可能被勒索软件攻击。 因此，云上的Linux服务器和主机都不能掉以轻心。

03

勒索软件的产业形态

勒索软件行业目前拥有成熟庞大的产业链。 各链从业人员各司其职。

主要角色包括以下几类：

1. 勒索软件制造者

主要负责勒索软件的编写和制作，通过在“暗网”或其他地下平台出售病毒代码，接受病毒定制，或出售病毒生成器，配合勒索者分一杯羹。

目前的商业模式非常成熟。 事实上，RAAS（Ransomware-as-a-Service）商业模式从2017年就已经出现，RaaS商业模式的兴起让从业者无需任何专业技术知识也能毫不费力地发起勒索软件攻击，这也是泛滥的主要原因勒索软件市场。

2.勒索者

从病毒作者处获取定制版勒索软件或勒索软件原程序，自定义病毒勒索信息后获取自己的专属病毒，与勒索软件作者分享收益。

3. 沟通渠道提供者

勒索软件作者通过购买相关渠道分发勒索软件。 并且通信渠道提供商帮助勒索者传播勒索软件病毒。

4.代理

向受害人谎称自己可以解密各个勒索病毒加密的文件，赎金为勒索者索要赎金的50%甚至更低，实则配合勒索者赚取差价。

为了证明这个作用的存在，笔者在2018年也做了相应的研究，研究的来源是某公司当时被勒索病毒攻击。 公司通过百度搜索找到了服务商，成功解密了加密文件，也有了正式的商务合同：

于是我们也通过搜索引擎进行搜索，发现了大量的解密服务商：

查看官网内容，可以发现它支持各种勒索病毒家族的解密，包括当时最主流的家族：

为了证明服务商是否真的有解密能力，伪造受害者，联系代理：

事实证明，确实可以解决。 但实际上，根据上面的勒索病毒分析我们可以知道，大部分的勒索病毒都需要私钥才能破解，而私钥往往只有攻击者自己拥有。

此外，还联系了攻击者以进一步确认代理角色的存在：

因此，我们基本可以断定，这类解密公司实际上是勒索者的代理人，利用国内用户购买数字货币的不便和相对便宜的价格，吸引受害人联系解密，从中赚取差价。过程。 根据一家解密公司官网公布的记录显示，一家解密公司充当中介敲诈勒索，月收入300万元。

其实这个角色的出现在某种意义上是有一定价值的：

例如，很多个人或公司被勒索后，想支付赎金，但又无能为力，因为他们不知道如何购买比特币或其他数字货币。 这时候通过代理进行交易就很方便了。 此外，还可以通过代理商获得相应的优惠。 例如，如果最初的攻击者勒索 1 个比特币，通过代理，可能只需要 0.5 个比特币甚至更低。

04

针对勒索软件的防御方案

从解决方案的角度来看，不同人员的需求是不同的。 这里主要从甲乙双方的角度来分析。当然个人用户也很少，个人用户很少会考虑支付赎金，除非电脑里的数据价值很大。 一般通过重装系统和更换杀毒软件即可解决。

在甲方看来，被勒索病毒攻击后，最重要的是如何解密，从而恢复企业的服务和正常运营，无论是通过支付赎金还是其他技术手段； 其次比特币代理平台，如何防止再次被黑客勒索攻击，以及后续的防御、加固、运维等手段；

而乙方更关心的是如何建立针对勒索病毒的安全体系，包括猎杀、检测、防御、解密、产品解决方案、分析溯源等，一整套解决方案。

本文主要从乙方的角度进行探讨，其实甲方需要的答案已经包含在内。

1.勒索软件的发现

对于已知的勒索病毒家族，安全研究人员会提取相应的特征（包括文件的二进制特征、独特的行为特征等）来进行样本搜寻。

对于未知的勒索病毒，更通用的猎杀方式是：将一些诱饵文件放入沙箱或蜜罐中，通过检查诱饵文件是否被修改（如哈希比较）来判断是否受到了勒索病毒的攻击。 捕获修改诱饵文件的恶意文件。

2.勒索软件检测

安全研究人员提取相应的勒索软件签名来检测它们。 当然很多启发式引擎和机器学习引擎也可以检测到一些勒索病毒样本（当然这部分检测可能不是针对勒索病毒的，也没有很好的可解释性，可能会给出后续的自动化分析，比如soar，社区分析等带来一些麻烦）。

但实际上，勒索病毒的种类很多，文件类型也很多（PE、JScript等），反查和对抗的也不少。 而且其功能在api序列等特性上与普通文件加密软件并无太大区别，因此在检测层面解决勒索病毒也不是一个现实的问题。

3. 防御勒索软件

防御分为传播链防御和勒索病毒自身防御两部分。

1）传动链

其实这部分防御并不是针对勒索病毒的，任何网络攻击都应该在这个防御范围之内。 因为现在的勒索病毒攻击越来越APT化，而且没有固定的攻击模板，有的团伙甚至使用0day进行攻击，所以100%防御并不容易。 仅从以下几个角度提供一些参考：

尽量从传播源头上阻止或阻止进一步传播和传播。

2）勒索行为本身

勒索病毒本身的行为比较简单，比如只对文件进行操作。 但有些勒索病毒还有其他操作，如删除卷影等。

4. 勒索病毒的备份与还原

前面说了，再强的探测能力和防御计划，也有被攻破的可能。 那么100%的检测和防御是不现实的。 因此，需要一个自下而上的解决方案：备份。

备份的核心是：hook修改文件行为，修改的同时将文件备份到安全的地方。 并记录相应的信息，如原始文件名、原始路径等。

同时，也要确保备份的地方是安全的，不会被篡改。 如果驱动程序用于自我保护，则禁止任务的文件操作。

这样，在发现被加密后，就可以从备份区中恢复出加密前的文件。

该解决方案是自下而上的解决方案。 当然在实践过程中还需要解决一些问题，比如备份性能问题，哪些文件操作需要备份，需要筛选（比如允许用户添加需要保护的文件类型，比如是否文件大小分为备份等）

5.勒索软件解密

至于解密，其实大家也不要抱太大希望。 切记：目前主流的勒索软件（>99%）大部分都无法解密。 要解密，只有几种情况：

1）勒索软件作者为菜鸟，使用的加密算法非密文或存在算法漏洞；

2）勒索软件作者手下留情，公开了加密后的私钥。 比如WannaRen勒索病毒的作者主动公开了RSA私钥；

3）勒索服务器被警方突袭获取私钥。 曾经有一位欧洲刑警破坏了一个勒索软件服务器并泄露了私钥；

4）算法漏洞，比如当年的Wanncry，如果XP系统被骗后不重启，可以从内存中提取密钥解密；

5) 数据恢复。 场景也很有限。 例如，一些勒索软件会先复制原始文件进行加密，然后再删除原始文件。

此外，几乎不可能通过技术手段解密。 而且无论是爆破还是等待密钥发布，别说可能性很小，但即使有一天密钥发布，也可能已经很久了，但是企业的业务不能等那么久.

05

勒索软件的解决方案

针对勒索病毒，大量安全从业者和安全厂商发出呼吁：对勒索病毒说不，不要支付赎金。

但大多数时候，公司根本等不起，也负担不起。 最后只能乖乖妥协。 比如前段时间遭到勒索软件攻击的美国输油管道运营商Colonial Pipeline，乖乖交了500万美元的赎金才恢复营业。

因此，我们只能做以下事情：

1.频繁打补丁；

2.关闭不需要的端口；

3.最小化权限；

4、培养安全意识；

5、定期进行红蓝攻防演练；

6、建立健全安全运营体系和安全防御体系；

7、定期备份数据和系统，并进行多次备份。

但是，安全毕竟是一个整体。 根据木桶原理，被APT攻击攻破可能只是时间成本（如果目标重要，攻击者肯定会不择手段）。

因此，依靠某款安全软件，或者某款安全软件的组合，不一定能解决问题。 只有提高安全意识，建立完善的安全运营体系，才能尽可能地提高攻击者的攻击难度，为企业争取到更多的时间。

最后说一下目前火热的零信任。 那么零信任真的是勒索软件甚至网络攻击的终极解毒剂吗？

事实上，零信任并不是一种具体的技术，而是一种安全架构理念和解决方案。 使用零信任解决方案可以在很大程度上防止网络攻击、横向移动等，从而保护企业免受勒索软件和其他网络攻击。

1）SDP：可以让业务“隐身”，减少攻击面；

2）认证策略：多因素认证、rbac/abac的权限控制等。

3）微分段：避免横向移动，导致攻击面扩大；

4) 持续验证：针对设备的持续信任过程，尽可能检测和防御勒索软件或其他攻击；

5）软件可靠性：使用安全软件

6) 沙箱：数据文件在沙箱中执行，防止数据泄露和加密。

但是在单点的时候，也存在被单点突破的问题。

关于什么是零信任、零信任的技术方案、如何实现零信任等，我们将在下一篇文章中详细探讨，敬请期待。