浅议“三管齐下”防治勒索病毒( 二 ) 勒索病毒的早期防治及痛点说起勒索病毒

　　中了勒索病毒，被加密的数据文件是否可以找回？第一种是按照勒索病毒感染后留下的线索提交“赎金” ，可能拿到解开数据文件的密钥，从而恢复数据文件，但仅仅是可能，这个可能性目前看相当小，一般应急处置时网络安全专家都会建议直接格式化硬盘重做系统;另一种是利用数据恢复类软件，针对勒索病毒加密数据文件后将原数据文件删除的机制，努力恢复硬盘上的原文件。众所周知，此种方法要求硬盘第一时间“封盘”—感染后不做任何读写动作，可找回的几率很小。

　　勒索病毒防治战术：工欲善其事，必先利其器

　　既然勒索病毒如此“狡猾狠毒” ，该以何法处之呢？近期无论是传统防病毒厂商还是传统网络安全厂商，均在各自产品中增加了EDR(终端检测与响应)技术与功能，来应对勒索病毒危害， EDR突出对终端的检测与响应，其中检测是根本，传统检测手段主要依靠“特征库比对” ，而EDR则突出“行为检测” ，对系统中进程的行为进行实时检测以发现潜在威胁。一般性的关键系统文件访问、系统进程调用、网络访问等行为容易被检测，而对于勒索病毒及其变种则难以通过简单的检测奏效，因其为隐藏行踪，除了前文提到的取得“合法身份”变种之外，对于一些传统行为检测技术的防范也是勒索病毒必修之功课，如何检测并识别勒索病毒及其变种成为EDR首要技术任务。这里笔者，提出一个“三管齐下”的防治策略。

　　一是依托沙箱技术。 “Sandboxie(又叫沙箱、沙盘)是一个虚拟系统程序，允许在沙盘环境中运行浏览器或其他程序，因此运行所产生的变化可以随后删除。它创造了一个类似沙盒的独立作业环境，在其内部运行的程序并不能对硬盘产生永久性的影响。作为一个独立的虚拟环境，可以用来测试不受信任的应用程序或上网行为。 ”利用沙箱技术，可以测试多数恶意代码程序，并令其“现出原形” ，以做好防范。缺点是沙箱技术虚拟的系统环境相对简陋，对于一些高级木马变种尤其是勒索病毒已知变种来看，反沙箱检测技术已经很成熟，所以沙箱技术本身已显落后。

　　二是依托蜜罐技术。蜜罐技术本质上是一种对攻击方进行欺骗的技术。通过布置一些作为诱饵的主机、网络服务或者信息，诱使攻击方对它们实施攻击，从而可以对攻击行为进行捕获和分析，了解攻击方所使用的工具与方法，推测攻击意图和动机，能够让防御方清晰地了解他们所面对的安全威胁，并通过技术和管理手段来增强实际系统的安全防护能力。看起来蜜罐技术可以高明很多，作为靶机，诱使攻击方展开攻击，且不说是否能骗过勒索病毒及其变种，令其展开攻击并被有效收集。当下，蜜罐逃逸技术也已经很成熟，蜜罐被狡猾的入侵者反利用来攻击别人的例子也屡见不鲜，只要管理员在某个设置上出现错误，蜜罐就成了“打狗的肉包子” 。

　　三是仿真诱捕技术。 “兵者，诡道也。故能而示之不能，用而示之不用，近而示之远，远而示之近;利而诱之，乱而取之，实而备之，强而避之，怒而挠之，卑而骄之，佚而劳之，亲而离之。攻其无备，出其不意。此兵家之胜，不可先传也。 ”──《孙子兵法》。仿真诱捕，古有研究。而作为网络防御技术，前几年也有相关专家作过研究论证，作为EDR的晋级时代，仿真诱捕技术再次被启用，构建高仿真系统，设置勒索病毒感染“陷阱” ， “诱捕”勒索病毒发作现身，这针对具有反沙箱、蜜罐逃逸技术特征的恶意代码变种具有奇效。