浅议“三管齐下”防治勒索病毒勒索病毒的早期防治及痛点说起勒索病毒

　　近两年来，勒索病毒事件可谓层出不穷。公共交通方面， 2018年2月， SamSam勒索软件感染科罗拉多州交通部，科罗拉多州当局最终为清除该感染花费了150万美元费用;2018年12月，莫斯科新缆车的计算机系统遭遇勒索病毒入侵。工业互联网方面， 2019年1月，新型勒索软件LockerGoga攻击挪威铝制造巨头公司Norsk Hydro ，造成其关闭网络之后仅仅几天，又被发现疑似入侵了另外两家美国化学公司Hexion和Momentive的计算机网络，政府事物方面， 2019年3月9日发现的一款恶意软件袭击了英格兰与威尔士联邦警署(PFEW) ， 2019年3月11日开始，我国多地政府及医院遭遇勒索病毒攻击。

　　勒索病毒的早期防治及痛点

　　说起勒索病毒，其实最早从2006年开始就进入了中国大陆，国家计算机病毒应急处理中心统计显示，当年感染581例。而真正让其“家喻户晓”则是2017年著名的“永恒之蓝”病毒的爆发，其范围之广，涉及系统之重要，让所有IT管理者闻之色变，遂掀起了一轮勒索病毒防范高潮。

　　笔者从事网络安全研究达三十年之久，认为目前我国的早期勒索病毒防治，一般可以概括为六个字：“补改关装规” 。也即是，打补丁：及时更新系统补丁，修补漏洞;改口令：对系统内服务器、主机均强行实施复杂密码策略，杜绝弱口令;关端口：尽量关闭不必要的文件共享及不必要的系统服务端口;装软件：安装终端防护软件及防病毒软件，并保证病毒库最新;重规划：合理规划网络区域，强化业务数据备份等。

　　然而手忙脚乱一阵，政企客户的IT运维和信息安全管理人员仍提心吊胆。究其原因，无外乎两方面：一是“敌暗我明” ，所谓勒索病毒、恶意软件及其变种层出不穷，隐藏技术和攻击手段难以预知， “防不胜防”;二是传统防范措施防病毒软件已日渐苍老， “不堪大用” ，靠特征比对，简单行为分析已难以识别和防范勒索等新的威胁。

　　勒索病毒防治战略：知彼知己，百战不殆

　　勒索病毒，早期其实称谓勒索软件或勒索程序，是恶意软件或者叫恶意代码的一种，严格讲，是一种木马而不是病毒，木马和病毒是两种截然不同的威胁。

　　首先是隐蔽性。本质上病毒极具感染性，且感染易发现。而木马则出于本身“任务”的特殊性要隐藏其行踪，以便“开展工作” 。从这一点来讲，木马更强调隐蔽和伪装，近期发现的Clop勒索病毒会冒用有效的数字签名，骗取系统及防病毒软件的信任，披上“合法外衣” ，令一般的防治手段形同虚设。

　　其次是危害性。病毒一般以破坏系统文件或控制系统为目标，而木马则带有明确的目标性。目标多为钱财、数据或政治利益，危害性更大。勒索病毒之所以被称为勒索，正是由于其索取利益的目标特征;

　　再次是复杂性。从已知的勒索病毒及其变种来看，传播手段包括利用系统漏洞、利用垃圾邮件、广告以及U盘等，可以说无论系统在线或是单独内网，均可能被感染;而从加密手段上，最新发现的勒索病毒会采用非对称高强度加密文件，理论上破解毫无可能;

　　还有是广泛性。勒索病毒已有感染事例涵盖了世界各地各个国家，政府、高校、交通、制造、医院、能源、军工等，可以说无孔不入，尤其近期在我国主要以政府、医院、教育和制造等行业被感染事例较多。