近期，趨勢(shì)科技在國內(nèi)再次收到大量勒索軟件新變種的感染報(bào)告，病毒會(huì)將自身偽裝成郵件附件進(jìn)行傳播。郵件附件一旦被運(yùn)行，用戶計(jì)算機(jī)上的所有文檔會(huì)被加密，用戶需要按照要求支付“贖金”，否則文件將有可能永遠(yuǎn)無法打開。由于這種網(wǎng)絡(luò)欺詐金額巨大，且防范困難，趨勢(shì)科技提醒個(gè)人消費(fèi)者與企業(yè)務(wù)必要留意此類威脅的演變，并采用定制化的治理策略進(jìn)行化解。

勒索軟件威脅巨大 傳統(tǒng)網(wǎng)絡(luò)安全防護(hù)手段瀕臨失效

作為一種有著持續(xù)影響力的欺詐手段，勒索軟件在西方國家早已經(jīng)“臭名昭著”，它們以“綁架(非法加密)”用戶文件為手段，直接敲詐用戶巨額錢財(cái)，并且這種流行“瘟疫”正從西方國家迅速擴(kuò)展到國內(nèi)。犯罪分子勒索的金額常常高達(dá)600-2000元，即使支付了這些費(fèi)用，黑客也可能會(huì)進(jìn)行后續(xù)的勒索，獲取大量非法收益后銷聲匿跡。

【受害者只有支付“贖金”才能恢復(fù)文件】

一旦勒索軟件進(jìn)入到終端，文件被黑客加密，就幾乎無法通過第三方手段進(jìn)行解密。趨勢(shì)科技中國區(qū)技術(shù)總監(jiān)蔡昇欽指出：“犯罪份子使用了標(biāo)準(zhǔn)機(jī)制對(duì)受害者的數(shù)據(jù)進(jìn)行加密，其復(fù)雜的加密方式，幾乎無法通過暴力破解等第三方解密方式進(jìn)行破解，用戶只能被迫支付‘贖金’，外連到黑客不斷變化的C&C服務(wù)器才能拿到解密的密鑰。“

【犯罪分子會(huì)通過加密編譯器對(duì)軟件進(jìn)行加密】

更加可怕的是，勒索軟件可以輕松繞過傳統(tǒng)防毒軟件的防線。經(jīng)過對(duì)勒索軟件代碼的分析，趨勢(shì)科技安全研究人員發(fā)現(xiàn)，犯罪分子使用了加密編譯器對(duì)軟件進(jìn)行了加密，這使得很多根據(jù)靜態(tài)特征碼工作的防毒軟件對(duì)這種病毒失效。采用多種反病毒引擎的可疑文件分析服務(wù)網(wǎng)站VirusTotal分析結(jié)果顯示，在加密編譯之后，網(wǎng)站檢測(cè)到的可疑文件數(shù)量從49個(gè)(總數(shù)為51個(gè))下降為1個(gè)!這意味著絕大多數(shù)經(jīng)過編譯后的勒索軟件都無法被傳統(tǒng)防病毒軟件發(fā)現(xiàn)。

那么，在勒索軟件不斷蔓延的情況下，用戶應(yīng)該如何應(yīng)對(duì)呢?

作為全球服務(wù)器安全、虛擬化及云計(jì)算安全領(lǐng)導(dǎo)廠商，趨勢(shì)科技分別針對(duì)普通消費(fèi)者和企業(yè)級(jí)用戶提供了有效的治理方案。

個(gè)人用戶：養(yǎng)成良好習(xí)慣，安裝云安全防毒軟件

任何一個(gè)普通用戶，都可能受到勒索軟件的威脅，所以用戶都需要養(yǎng)成良好的網(wǎng)絡(luò)使用習(xí)慣。首先，不要輕易打開來陌生人的電子郵件，也不要隨意點(diǎn)擊電子郵件中的不明鏈接。其次，當(dāng)打開郵件附件時(shí)，要注意查看附件擴(kuò)展名，exe、scr等可執(zhí)行文件都具備高度的風(fēng)險(xiǎn)性，一定要謹(jǐn)慎下載。

另外，個(gè)人用戶可以安裝PC-cillin 2015等具備勒索軟件防護(hù)功能的防護(hù)軟件，阻擋勒索程序進(jìn)入到終端。PC-cillin 2015可以根據(jù)勒索軟件的惡意行為，自動(dòng)檢測(cè)郵件和惡意網(wǎng)址包含的勒索軟件，確保重要文件不被黑客“加密”。

針對(duì)個(gè)人用戶對(duì)文檔管理的“好習(xí)慣”，蔡昇欽建議：“用戶最好能養(yǎng)成定期備份重要文件的好習(xí)慣，備份的最佳做法是采取3-2-1規(guī)則，即至少做三個(gè)副本，用兩種不同格式保存，并將副本放在終端以外的介質(zhì)上。”

企業(yè)用戶：采用定制化防御，“多管齊下”方能有效治理

勒索軟件威脅的影響范圍正在變得越來越大，不僅個(gè)人用戶(特別是那些電腦上存儲(chǔ)有重要文件的用戶)需要加深對(duì)該類型軟件的防范意識(shí)，企業(yè)用戶更要有所應(yīng)對(duì)，研發(fā)文檔、銷售數(shù)據(jù)、數(shù)據(jù)庫文件一旦被加密，損失和影響都將超出您的預(yù)期。

趨勢(shì)科技的研究人員發(fā)現(xiàn)，在地下黑客經(jīng)常光顧的“地下市場(chǎng)”，一些勒索軟件的加密編譯器不但標(biāo)定了不同的價(jià)碼，而且還可以根據(jù)不同需要定制化的加工“加密編譯器”。這樣一來，幾乎每個(gè)用戶收到的文件都是獨(dú)一無二的，這使得感染量在不斷增多。另外，犯罪分子往往會(huì)將其偽裝成垃圾郵件的附件發(fā)送到用戶的郵箱，如果用戶終端在疏于防范的企業(yè)內(nèi)部，黑客很有可能會(huì)以此形成“單點(diǎn)突破”、發(fā)動(dòng)APT攻擊，即使企業(yè)“服軟”后交付贖金，也會(huì)造成無可挽回的重要信息泄露。

對(duì)于更復(fù)雜的企業(yè)網(wǎng)絡(luò)環(huán)境，蔡昇欽表示：“有效應(yīng)對(duì)此類威脅的重要手段之一，便是采用動(dòng)態(tài)的沙盒分析技術(shù)。這項(xiàng)技術(shù)可以克服基于特征碼檢測(cè)的不足之處，其運(yùn)作原理可以先檢查整個(gè)文件結(jié)構(gòu)、尋找篡改和惡意代碼注入的跡象，然后在受害者相同環(huán)境的沙盒中模擬可疑文件，以此了解勒索軟件的作用域、行為和影響。”

為此，趨勢(shì)科技建議企業(yè)用戶采用定制化治理策略，通過趨勢(shì)科技全球云安全智能防護(hù)網(wǎng)絡(luò)(TrendMicro Smart Protection Network , SPN)或部署本地支持SPN的深度威脅發(fā)現(xiàn)平臺(tái)(Deep Discovery， DD)產(chǎn)品，實(shí)時(shí)掌握全球各地相同的勒索軟件攻擊，發(fā)現(xiàn)勒索軟件采用的C&C惡意鏈接，實(shí)現(xiàn)有效地偵測(cè)和阻斷。其中，DD系列中TDA采用了“三層式”的偵測(cè)方法，第一層是初步偵測(cè)，第二層是沙盒模擬分析，第三層是事件關(guān)聯(lián)，目的就是為了發(fā)掘這種隱匿性的攻擊活動(dòng)。而作為定制化防護(hù)策略的重要產(chǎn)品之一，用戶可以采用趨勢(shì)科技推出的深度威脅郵件安全網(wǎng)關(guān)Deep Discovery Email Inspector，檢測(cè)和阻止勒索軟件通過郵件途徑進(jìn)入到網(wǎng)絡(luò)。

【“多管齊下”可有效降低勒索軟件帶來的風(fēng)險(xiǎn)】

若要防范勒索軟件被APT攻擊利用，單一的安全產(chǎn)品很難奏效。因此，用戶還需要使用行為分析、網(wǎng)頁信譽(yù)評(píng)估、郵件動(dòng)態(tài)分析等技術(shù)來檢測(cè)郵件中的未知樣本，在實(shí)時(shí)監(jiān)控系統(tǒng)中的發(fā)現(xiàn)惡意行為，這是有效治理的前提，更是防威脅于未然的基礎(chǔ)。