一不留神，勒索软件“改头换面”，如何抵御？

勒索软件已经成为黑客在网络犯罪中牟利的惯用伎俩。据最新《Verizon数据泄露调查报告》（DBIR）表明，由于通过加密文件进行勒索赎金速度快、风险低并且可以轻松敛财，尤其使用比特币进行收款，可使收款人无法追踪，勒索软件是目前犯罪软件最常见的类型。自2016年1月起，以企业为目标的攻击增长了300%，且攻击频率每40秒发生一次。此次波及全球范围的勒索攻击WannaCry，自5月12日以来已经影响到150个国家，逾二十万受害者。以上只说明一个事实：各组织机构须立刻采取应对措施，以防患于未然。

由于犯罪分子寻求提高感染率以及增加其非法收入，勒索软件的传播方法已发生变化。早期传统的入侵方式，比如电子邮件中使用恶意文件作为附件，可以相对容易地被防病毒产品和安全沙箱检测和屏蔽。然而，目前的入侵方式已经经过专门设计，旨在绕过这些传统的安全防护产品。

Ixia应用威胁情报部门的高级总监Steve McGregory表示：“网络犯罪分子可以轻易地变换和改写勒索软件代码，并足以成功逃避杀毒软件的特征库匹配。这些勒索软件的变种被称为“零日突变”，即一旦被识别，勒索软件的签名便可以被更新并公布，因此防病毒软件将需要几天的时间来屏蔽新的变种。而在此期间，企业机构仍易受到攻击，网络犯罪分子往往会继续乘虚而入为其谋利。”

Ixia表示，如果企业机构打算抵御勒索软件的攻击，需要掌握三大核心原则：

1. 追根溯源

勒索软件感染链通常始于一个带有恶意附件的钓鱼邮件，其附件通常包含宏文件（macro）。即使对于安全沙箱来说这个宏似乎都毫无风险，但打开该文件时，宏就会被激活，并通过互联网连接攻击者的远程服务器，将勒索软件有效载荷下载到本地。此外，该宏还可以在下载过程中进行文件变换。因此，直到在它实际进入主机之前，都实则看似无害。

2. 对症下药

如果只将关注点放在审查文件载荷的内容，这样的防御措施往往徒劳无功。由于基于电子邮件的宏往往无法被发现，因为在检测过程中它们并不会表现出恶意行为，所以即便是最先进的安全沙箱也束手无策。事实上，这些文件载荷在实际被下载到电脑中并开始加密文件之前，看起来都没有恶意，所以各企业机构应探查感染来源，而非仅仅耽于表象。

3.阻止感染

在勒索软件感染的最后阶段，文件载荷将从已知的恶意IP进行发送。由于 IP 地址相对稀少，同一个“恶意”地址往往会被重复使用。即使全新的恶意软件变种也可能复用一小段已经暴露的恶意 IP 地址。

这意味着，如果某个企业的网络内有一台电脑试图从一个已知的恶意 IP 地址下载文件，它们通常处于勒索软件攻击的初始阶段，所以也就没必要检测正在试图进行下载行为的宏文件，或者正在下载的内容。

因此抵御攻击的最直接，且经济的方法是：自动阻断所有企业内网中，试图连接已知恶意IP地址的行为，并且这个恶意 IP 地址库需要通过收集威胁情报进行持续更新。这会使大部分已有攻击甚至新的攻击无功而返。

“各企业不能再对勒索软件的威胁视而不见。如果仅将这些数据保存在受攻击影响的系统中，而没有备份关键数据，那么无论是经济影响还是企业声誉都将付出无法想象的代价。客户数据、财务记录和其他无法替代信息的丢失将可能导致业务停滞，并留下永久性的空白。”McGregory总结。