什么是勒索软件？

勒索软件是黑客用来劫持用户资产或资源并以此为条件向用户勒索钱财的一种恶意软件。其通常会将用户操作系统中的文档、邮件、数据库、源代码、图片、压缩文件等多种类型的文件进行某种形式的加密操作，使之不可用，或者通过修改系统配置文件、干扰用户正常使用系统的方法使系统的可用性降低，然后通过弹出窗口、对话框或生成文本文件等的方式向用户发出勒索通知，要求用户向指定账户汇款来获得解密文件的密码或者获得恢复系统正常运行的方法。

“勒索软件”是近年数量增加最快的电脑网络威胁之一，黑客通常为隐藏踪迹而要求用户以电子货币方式支付赎金，以换取解密电脑数据所需电子“秘钥”。据估计，黑客借助此类软件每年得手金额合计数亿美元。

2016年2月，德国媒体报道，一款家族名为”Locky”的勒索软件每小时感染德国5300台计算机，Locky由此进入人们视野。目前，Locky已经蔓延到包括德国、荷兰、美国、中国在内的十几个国家，国内知名论坛上已经有很多关于Locky的讨论，不少人在寻求文件被修改“.lock”的加密文件后的解决方案。

在此之前的一个著名勒索软件—CryptoWall，不仅在2015年风生水起，时至今日，其变种仍然在全球范围内传播。

随着技术的发展，勒索软件会变得更加定向且高效，并且已经有黑色产业组织发展出了Ransom as a Service(勒索即服务)。由于检测机制问题，目前杀毒软件的响应时间成为大问题，也就决定了勒索软件正是其软肋。此外，勒索软件会越来越专业，甚至破解将成为历史，并且勒索软件还会成为APT的绝佳掩护。

简单的勒索形式在近两年的高潮之后将会转入更深层的“水下”，然后发展成为高级的混合模式，如同木马的发展史。由于解密是几乎不可能的这件事逐渐成为现实，也就成了受害者对抗勒索软件最大的问题。目前来看，对于有价值的文档交赎金是唯一简洁快速的方法，但是以后可能会出现和销毁及加密文件相反的行为，即公开文件。

二、   勒索软件的攻击原理：

以最近最知名的Locky勒索软件攻击原理为示例，勒索软件一般会利用Office文档中宏（现在的大部分文字处理程序，电子表格和数据库都包含功能强大的程序语言，允许在文档中使用命令序列。这些命令序列或小程序就被叫做宏）的功能来执行恶意代码，例如打开一个word文档，提示需要启动宏功能：

文档打开后是乱码，并有一行红字标明如果无法正确解码，请启用宏。如上图中红框所示，Word文档默认配置是禁用宏的。一旦用户成功“被骗”启用了宏，则就成功中招。

中招的结果就是宏代码会从远程服务器下载Locky勒索软件的本体到临时文件夹并自动执行，结果就是会开始加密电脑中的全部文件，而且会把文件名混杂成不可读的样子并且将扩展名改为.locky，比如这样：

F67091F1D24A922B1A7FC27E19A9D9BC.locky

之后，在Windows桌面和每一个文件夹内都会出现一个新的可读的txt文档，这个就是勒索信息，同时桌面背也会被勒索信息所替换，要求受害者使用比特币付款，0.5到1个比特币（价值200到400美金）。

总结解勒索软件的攻击原理如下：

如上图所示，黑客向受害者邮箱发送邮件，并带有包含恶意代码的Word文档附件，Word文档中包含有黑客精心构造的恶意宏代码，受害者打开Word文档并运行宏代码后，主机会主动连接指定的web服务器，下载Locky恶意软件本体到本地Temp目录下，并强制执行。Locky恶意代码被加载执行后，主动连接黑客C&C服务器，执行上传本机信息，下载加密公钥。Locky遍历本地所有磁盘和文件夹，找到特定后缀的文件，将其加密成“.locky”的文件。加密完成后生成勒索提示文件。

Locky.rar解压缩后可以看到有两个文件，普通用户根本无法分辨此文件是否为恶意文件：

通过运行Linux的file指令我们可以看到，上图中第一个文件其实为一个可执行文件：

总结来说，勒索软件主要通过邮件的形式进行快速且大范围地传播。通过伪造内容逼真的钓鱼邮件，诱使收件人点击邮件中的链接或打开附件，进而下载恶意软件到本地电脑中。随着勒索软件的不断进化，勒索软件已经开始进行基础设施的伤害行为，而不仅仅是加密本地文件。已有国外公司员工因打开钓鱼邮件附件，使得勒索软件成功破坏公司电力及供水系统。近日，也有研究人员发现勒索软件已经能够借Flash和Windows内核漏洞传播，并且变种也可以感染安卓平台。

从目前收集的信息来看，除了个人PC以外，由于信息价值高，且重要性高，并且与基础设施和生命财产关系紧密，制造业、工业、医疗机构、金融机构已经成为勒索软件主要的攻击目标。需要说明的是，勒索软件在技术上和原来一样，只是改变了损失，并不存在专门用于勒索软件的攻击方法。

三、        Fortinet勒索软件威胁解决方案

针对勒索软件的主要传播途径，以及变种快，不易被签名技术查杀的特点，Fortinet使用FortiMail安全邮件网关与FortiSandbox高级威胁防御系统为用户解决勒索软件和钓鱼邮件带来的安全威胁。

FortiMail是Fortinet第二大产品线，也是屡次获得VB反垃圾邮件测试顶级评价的产品。

FortiMail是一款性能强大，功能丰富的反垃圾邮件安全设备，可以部署为安全邮件网关、透明网关以及邮件服务器三种模式，并且支持多种加密方式、垃圾邮件解除和反垃圾邮件功能，FortiMail产品型号齐备，可满足不同用户规模的需求，无论是运营商、服务提供商、大型企业或中小企，均可部署作为邮件服务器、垃圾邮件防御、恶意软件防御以及发自于邮件信息的威胁防御的解决方案。

FortiMail区别于其他厂商的邮件网关设备在于其坚实的性能与灵活的部署方式以及独特的恶意软件检测技术，FortiMail设备同时还可以与FortiSandbox沙盒设备相集成，由FortiGuard全球威胁响应团队全年7*24小时提供服务支持。

当用户收到一封含有勒索软件的邮件时，FortiMail会对邮件进行全面的检测，包括邮件正文内的链接是否恶意，附件是否恶意等等。当FortiMail检测附件内容为可疑时，会将文件发往关联的FortiSandbox进行确认，如果FortiSandbox返回结果为“恶意”，FortiMail则将此邮件丢弃，同时发送一封替换的告警邮件给收件人，如果结果为“正常”则会将邮件继续投递给收件人。由上述内容我们发现，针对勒索软件的检测与发现的核心在于基于行为的FortiSandbox沙盒产品。

FortiSandbox采用先进的多层检测防御架构，能够实现分钟级响应，大幅降低攻击风险。文件在进入FortiSandbox后会首先经过反病毒机制的检测，拥有全量病毒特征库的沙箱能够对可疑文件进行预过滤，降低沙箱系统的性能开销。

随后，沙箱会对文件进行云查杀，与FortiGuard安全网络通信，查询最新的恶意软件信息是否与之匹配，如新签名、IP信誉、文件信誉、URL信誉等等。之后FortiSandbox会对文件进行代码仿真和启发式检测。启发式检测即沙箱的轻量级检测，能够快速定位恶意行为，提高检测效率。最常用的启发式检测是对文件在限定时间内执行其中的脚本或对其代码段进行行为模式分析，然后检测其中是否包含对系统可能带来风险的代码或脚本。

通过Fortinet专利的紧凑型模式匹配语言进行基于行为的模式特征匹配，可以快速甄别被检测文件是否为恶意文件或可疑文件。FortiSandbox会对Office文档、EXE等类型的文件以及启发式检测出的可疑文件进行虚拟执行，同时监控并记录文件的行为，例如对文件系统、注册表、进程等的操作。

最后，FortiSandbox的威胁分析模块会将虚拟执行的结果进行综合分析，分析完成后，会对文件进行评估打分并给出威胁级别。多维度的综合分析可以有效减少误报，提升安全管理效率。FortiSandbox还能够实现威胁情报的共享，使威胁检测形成闭环。通过威胁情报共享，FortiSandbox可以更新信誉体系并将未知威胁信息传递给其他安全设备，如FortiGate，FortiMail，FortiWeb和FortiClient，实现全网协调威胁防御。

FortiSandbox实现了检测性能和保护效果的最佳平衡，物理设备最大检测性能为每小时560个文件，对于单个文件的检测响应时间更快到只需1分钟。FortiSandbox以期卓越的检测能力，快速的响应时间被NSS Labs评为威胁检测系统的“推荐级”。FortiSandbox是恶意软件威胁检测的利器，APT攻击防御的桥头堡。

四、        Fortinet方案优势

Fortinet以FortiMail集成FortiSandbox的方案是业界领先的能够有效对抗勒索软件的安全方案。有如下3点优势：

1.   在勒索软件主要传播途径即邮件侧进行拦截。业内众多声称的解决方案都还是依赖下一代防火墙中的反病毒和入侵防御技术来进行基于签名的静态检测，不仅存在易被绕过的风险，还存在对邮件协议识别不完善，邮件内容识别不精确甚至无法识别的问题，这样自然无法在勒索软件传播的路径中进行成功拦截。Fortinet不仅拥有FortiGate下一代防火墙在网络和网络应用层进行检测与防御，FortiMai更是在邮件安全方面具备业界领先的安全水平、检测水平与查杀水平。

2.   基于行为的无签名检测技术识别未知恶意文件。勒索软件的迭代速度高，针对静态检测的逃逸和绕过机制丰富，这就让基于静态签名的反病毒和入侵防御技术在对抗勒索软件时无法起到特别关键的作用。FortiSandbox高级威胁防御系统采用全量签名库为前置，以虚拟沙箱技术进行行为释放为核心，根据可疑样本的行为对其进行打分，进而判定是否为恶意。当有结果后，FortiSandbox会将检测信息同步给相关联的安全设备，按照策略进行对应的动作。

3.   自动化防御提升安全响应速度。勒索软件在对抗难度上给防御方带来了极大的挑战，也让我们发现了传统安全方案的不足。目前业界很多方案只能提供网络侧安全检测，或邮件安全，或沙盒检测，互相割裂的方案，虽然在检测方面可能可以达到一定的效果，但是在响应速度方面一定是慢的。Fortinet勒索软件解决方案的核心产品FortiMail和FortiSandbox可以形成自动化联动，不仅针对勒索软件的传播特点和技术特点进行防御和对抗，更是能够将防御、检测、响应形成自动化闭环。在不加人工干预的情况下，将安全响应速度提升到分钟级。