随着网络与通信的快速发展，在过去的一年里，勒索软件的攻击数量便增长了35%，这一数字在2016年也在持续增长。如今，勒索软件已成为网络犯罪组织新型盈利方式之一，攻击者不仅会将一般消费者作为攻击目标，更会对不同行业的企业进行攻击。

勒索软件的现状

据赛门铁克调查显示，2015年10月至11月，全球勒索软件的感染数量出现激增，随后出现回落；直至2016年3月，全球勒索软件感染数量再次激增，而这一增长与全球同期爆发的勒索软件Locky时间相一致。

赛门铁克公司大中华区总裁陈毅威、赛门铁克公司大中华区首席运营官罗少辉

赛门铁克公司大中华区总裁陈毅威介绍道，此次《勒索软件与企业2016》白皮书是赛门铁克《互联网安全威胁报告》（ISTR）针对勒索软件所发布的特别报告。通过对勒索软件地区分布的监测与分析可以发现，美国正成为感染勒索软件最严重的国家，占全球勒索软件数量的28%。排名前三的国家还包括加拿大（16%），和澳大利亚（11%）。中国在全球排名中位列第17位，感染数量占全球比重的1%。从2015年1月至2016年4月，中国共发生7931例勒索软件事件。此外，勒索软件的平均赎金较去年增长超过2倍，平均赎金达到679美元。由于许多黑客发现更多地企业选择支付赎金，而不愿将其受到攻击的事情对外披露，因而支付的赎金数量不断增加。

据了解，2015年共发现100个新型勒索软件家族，数量再创纪录。而在2014年，该数字为77个。通过综合调研与分析得以确认，企业正逐渐成为勒索软件的主要攻击目标。

入侵方式及特点

勒索软件之所以如此猖獗也不是毫无缘由的，赛门铁克公司大中华区首席运营官罗少辉分析道，高回报率使得黑客对于使用勒索软件攻击这一现象趋之若鹜；其次，企业遭遇勒索后，由于担心数据受到损害，受害企业通常会具有较为急迫的心态，希望通过交付赎金尽快赎回企业信息，这也助长了黑客的气焰；另外，黑客不仅对PC，笔记本电脑等一般终端实施攻击，更是对企业的服务器端进行攻击。因此，企业如果感染勒索软件文件，文件服务器中的内容也会面临加密风险。

从攻击者的角度来看，影响勒索软件增长的因素主要有：攻击者能够相对容易地实现文件加密；更多攻击者采用垃圾邮件和攻击工具包等有效载体进行勒索软件感染；部分攻击者会采用APT等高级攻击手段对重要目标进行攻击，以确保能够成功侵入目标企业的网络，这些采用APT手段进行的勒索软件攻击往往会对金融机构以及政府相关机关进行攻击；勒索软件攻击已形成“勒索软件即服务”模式，黑客会将从黑市中获取的链接和论坛中分享的恶意程序相关服务发布到云中，从而扩大恶意程序的传播面积。

2014年，赛门铁克共发现新增的勒索软件家族数量77个，而2015年新增勒索软件家族的数字达到100个，这一数字中并不含变种程序的数量。勒索软件家族的增长速度非常快，而一般的防毒软件并不能准确检测到部分恶意程序的变种。

勒索软件在发展的同时，也呈现出新特点。过去，许多勒索软件是通过邮件感染终端入侵企业网络。但随着勒索软件的不停演变，安全厂商也在不断更新相关侦查手段以及安全防护技术。为了应对安全厂商的安全防护手段，部分勒索软件家族会利用电子邮件下载等方式，通过JavaScript、PHP、PowerShell和Python等脚本语言发动下载程序以躲避检测。邮件网关以及其他终端防御的防毒软件通常不会侦察到这些脚本语言的问题。在成功躲避检测后，攻击者会通过脚本语言中的恶意链接或利用其启动下载程序，从而令终端受到感染。其次，很多勒索软件除加密终端外，还会执行其他附加功能。CryptXXX勒索软件会在加密终端的同时，窃取终端内的比特币钱包数据。Cerber勒索软件同样会在加密终端数据时，将终端加入僵尸网络并执行DDoS攻击。最后，某些勒索软件会在警报中加入新型威胁：Chimera勒索软件会告知受害者加密文件将每隔数小时便公布于网络中，迫使用户尽快支付赎金。

防范手段

通过对勒索软件的攻击行业分析发现，受到勒索软件影响最大的是服务业，占攻击总量的38%，其次为制造业，占17%，而公共管理类行业感染勒索软件的比例为10%。过去，黑客的攻击对象主要以金融企业以及政府相关企业为主，但如今无论是勒索软件还是其他APT攻击，攻击范围都不断扩大。如果相关产业所投入的IT防护不够全面，则会面临非常高的网络安全风险。

针对勒索软件的攻击手法，罗少辉向企业用户提供三点建议：

预防：电子邮件是大多数恶意程序的主要入侵方式，因此用户需要加强电子邮件网关的防御能力；同时，企业需要主动防御漏洞攻击，降低恶意程序的入侵难度。此外，企业服务器端同样需要实现漏洞发现与管理等相关安全防护，同时应保持OS系统的定期更新，以此降低黑客利用漏洞入侵系统的概率。

遏制：赛门铁克能提供相应的安全防御工具，SONAR行为引擎能够对用户行文进行监测，如果看到用户存在异常行为会及时对用户行为进行拦截，确保黑客不会实现全盘加密。此外，赛门铁克所拥有的AI人工智能功能，能够增强整个服务器终端的安全防御。

响应：如果用户不幸感染勒索软件，最好不要支付赎金。因为支付赎金的做法会促使黑客的勒索产业更加猖獗，助纣为虐，从而导致更多的企业与个人受到勒索软件的威胁。赛门铁克能为用户提供安全事件响应服务，其安全专家可以远程协助用户进行现场处置，同时将整个安全事件的入侵途径，以及网络防御方法进行整合。

另外，在应对勒索软件方面，赛门铁克可提供整体防护架构。勒索软件通过终端、网关以及Web访问等方式入侵企业系统，赛门铁克SEP解决方案能够加强不同端点的安全保护功能，提供较为完备的安全保护。同时，赛门铁克ATP防护结合安全机制响应中心对企业内部数据进行深层文件监测，实现对针对性攻击的侦查、保护以及相应。此外，针对Critical Server，赛门铁克ATP DMZ防护，能够设定应用程序白名单，对关键服务器进行安全保护和锁定，是恶意程序无法成功执行或安装。

最后，针对终端安全方面赛门铁克可从四个角度帮助用户实现纵深防御：

以网络为基础实现保护：首先要确保网络安全，实现IPS入侵防御和浏览器防护；

以文件为基础实现保护：针对系统内部文件进行侦查与检测，扫描并清除入侵系统的恶意程序；

以信誉为基础实现保护：通过大数据平台对文件信誉进行核实，在网关以及终端警示用户使用率较低的潜在的文件信誉威胁；

以行为为基础实现保护：识别大量恶意程序的行为特征，当程序在执行恶意行为时，赛门铁克SONAR行为分析引擎能够迅速检测并识别恶意软件的存在。