1989年，2万←张感染了“AIDSTrojan”病毒的软盘被分发给国际卫生组织国际艾滋病大会的与》会者，导致大量文件被加密，历史上第一个勒索病毒由此诞生。 

　　到现在，整整30年过去了，勒索病毒已发展为网络世界最大的安全威胁之一，并造成了诸如“永恒之蓝、WannaCry”等震惊世界的勒索蠕虫肆虐事件，让不少用户与组织机构“谈虎色变”。

什么是勒索病毒？

　　勒索病毒实际是一种新型木马，被大家叫白了才被称为了“病毒”，主●要以邮件、程序木马、网页挂马⊙的形式出现。值得一提的是，这种木马一般都会利用各种加密算法对文件进行加密，而且木马使用的加密方案大多是非对称加密算法，只要实现了加密效果，就基本不存在被破解的可能。实际上常见的勒¤索病毒（CTB Locker，WannaCry等）目＠前为止都没有被破解。如果勒索病毒使用的是AES＋RSA4096位的算法加密，遇到这种加密＠级別，目前〒电脑如果要暴力破解可能需要几十万年，或者更长时间，一旦被勒索病毒感染，加密了电脑上的文作，是无论如何都无法解密的。所以如果是政府、企事业单位的重要文件中毒被加密，一般无♀法解密，必须支付黑客要求赎金，拿☆到解密的私钥后才能解密恢复。

　　尤其可气的是勒索病毒对文件加密完成后，一般还会修改电脑壁纸，在桌面等明显位置生成勒索提示文件，指导用户去缴纳赎金。而且更有甚者，勒索病毒的设计者往往把勒索的说明信息◥翻译成20多个国家和地区的语言版本，好让全世界每一个中了◣病毒的人都能看懂付款信息。目前，勒索金额动辄♀高达几个比特币，（1个比特币价值人民币5万多元），勒索者索要的支付赎金一〓定是比特币，因为这种虚拟电子货币基于区块链技术的而不易被追踪，更容易隐藏勒索者的真实身份。更加恐怖的是中了勒索病毒的计算机一般都是性能很不错的服务器、PC类终端，勒索病毒还会在这台电脑当中植入挖矿程序，让∮这台计算机成为生产比特币的工具，勒索病毒攻击者可谓无所不用其极，最大程度地榨取受害↘电脑的经济价值。最近发现的新型勒索病毒，除了加密受害者，还会把加密文件向外主动传送，在暗网中进行交易，造成受害者的数据在网络上发生泄露。

　　由此可见，勒索病毒可谓性质恶劣、危害极大，一旦感染会给用户带来无法估量㊣的损失，尤其是学校、医院、政府机构等〇重灾区对勒索病毒都噤若寒蝉。

勒索病毒如何传播？

　　终端被感染勒索病毒后，最明显的特征是电脑桌面发生明显变化，即：桌面通常会出▲现新的文本文件或网页文件，这些文件用来说明如何解密的信息，同时桌面上显示勒索提示信息及解密联系方式，通常提示信息英文较多，中文提示信息较少。

　　文件后缀名被篡改或者办公文档▃、照片、视频等文件的图标变为不可打开形式。一般来说，文件后缀名会被改成勒索病毒家族的名称或其家族代表标志，如：GlobeImposter家族的后缀为.dream、.TRUE、.CHAK等；Satan家族的后缀.satan、sicck；Crysis家族的后缀有.ARROW、.arena等。

　　勒索病毒⊙自身寄生性非常强，先寄生在宿主机，然后向目标机感ξ染，一旦进入终端机，就会自动运行，同时删除勒索病毒样本，以躲避查杀和分析。如果中招的电脑处于一个局域网当中，那么只要一台电脑感染病毒，其他电脑只要开机上网，马上也会被感染。勒索病毒会通过像445端口这样的文件共享和网络打印机共享端口』或漏洞展开扩散感染，并且还发现了很多起利用未公开漏洞传播感染勒索ξ　病毒事件。

　　勒索病毒变种非常快，对常规的杀毒软件都具有天然的免疫性。攻击的样本以exe、js、wsf、vbe等类型为主，对常规依靠特征检测的杀毒软件来讲是一个极大的挑战。勒索病毒出现变种〓后，不仅加快『了传播速度和再识别的难度，而且可能会影响网络的稳定运行。

勒索病毒如何防御？

　　目前勒索病毒防御，一般是多种产品和服务组合而成，同时在防御时要求用户信息系统升级，另外一些方案还对用户的系统提出特殊要求，如要求用户断网，操作系统打补丁，关相应端口等。

　　为满足政府、军队、能源、教育、金融、卫生、企业等行业对服务器与终端未知威胁检测和未知恶意代码防御方〓面需求，基于在大︼数据安全分析领域的优势，国联易安开发出下一代勒索病毒防〗御系统，产品主要技术手段如下：

　　一是通过威胁情报，实现“智能化辅助决策”。在过去的安全防御中，更多的是关注如何提升系统内部的防御能力，缺少对外部攻击者≡的研究和了解，永远处在被动防御的状态。

　　威胁情报的引入解决了这一问题，通过互联网上海量数据的收集分析，为用户提供了攻击发起者的背景信息，既可以指导安全防御体系建设，也可以直接用来发现安全威胁。

　　二是通过行为关联分析，定位“攻击动作链条”。一件攻击事件在不同的阶段具备不同的行为特征，这些行为特征分开来看并不一定直接构成威胁，而原有的解决方案▲中并不具备将这些行为进行关联分析的能力，导致这些安全威胁无法被检测▅和阻止。

　　所以，要实现对未知威胁以及未知勒索病毒的检测必须依靠机器学习和大数据分析能力，通过大量的行为日志分析和快速检索，找出关键目标和威胁，对相关事件进行关联分析，还原▂安全事件全貌，并进行有效的防御和处置。

　　三是通过机╱器学习技术，对抗“病毒变种威胁”。传统杀毒技术严重依赖于样本获得能力和病毒分析师的能力，这种能力只能处理已知问题，不能对可能发生的问题进行防范，具有严重的滞后性和局限性。

　　国联易安依托海量的威胁情报库和恶意软件捕获能力，通过机器学习技术训练的未知恶意软件检测引擎，可以々帮助用户有效抵抗未知恶意软件威胁。通过对海量样本进行监测分析，能够找到恶意→软件的内在规律，能对未来相当长时期的恶意软件变种技术做出前瞻性预测，实现针对勒索病毒变种的有效识别。

　　四是通过人工智能技术构建诱捕模型，诱捕“恶意程序发作”。国联易安基ξ　于AI技术，构建了仿真诱捕环境，可以∏实现对可疑文件进行高级威胁检测。仿真诱捕环境通过接收还原PE和非PE文件，使用仿真环境、动态检测等一系列无签名检测方式，发现传统安全设备无法发现的复杂威胁，并将仿真诱捕平台上的相关告警发送至分析平台，实现告警统一管理和后续进一步分析。

　　五是通过威胁脑图，显示“直观安全态势”。国联易安通过可视化技术的利用，将原本碎片化◆的威胁告警、异常行为告警数据结构化，以↙便于用户理解，从而省去了阅读繁复报告的过程。可视化技术的利用使得用户可以更直观地感受到网络内的安全形势，使得安全由“不可见变为可见”，不但带来了更好的用户体验，同时还有效地︼提高了安全监控的效率。

　　下一代勒索病毒防御系统达到了对所有勒索病毒及其变种的∏自动识别、主动检测、精准定位和全面防御效果，解决了勒索病毒“发现难、防御更难”的尴尬困境和问题。

　　此前，总部设在荷兰海牙的欧洲☆刑警组织与国际刑警组织2019年10月9日共同发布《2019互联网有组织犯罪威胁评估∮》报告认为，全球勒索软件犯罪总量有所下降，但正转向更加有利可图的目标且已造成更为严重的经济损失。由此可见，勒索√病毒犯罪仍为作案范围最广、造成经◣济损失最严重的网络犯罪形式。

　　参考文献：

　　刘学习， 中国软件网， 《即使等保2.0要合规，也不能忽视勒索病毒防御》

　　煜铭2011， CSDN网，《勒索病毒自救指南》

　　佚名， 网界网，《下一代勒索病毒防御系统：“主动防御”才是硬道理》