經(jīng)過(guò)多年的演進(jìn)，勒索軟件已經(jīng)成為當(dāng)今最主要的惡意軟件類(lèi)型之一，通過(guò)鎖定電腦或?qū)ξ募M(jìn)行加密，從而對(duì)用戶(hù)進(jìn)行勒索。根據(jù)賽門(mén)鐵克安全大數(shù)據(jù)技術(shù)顯示，勒索軟件威脅已經(jīng)蔓延至全球范圍，在過(guò)去1年里，受勒索軟件影響最嚴(yán)重的12個(gè)國(guó)家中有11個(gè)是G20組織的直接或間接成員國(guó)，其中受影響最嚴(yán)重的國(guó)家包括美國(guó)、日本、英國(guó)和意大利等。

　　隨著可穿戴計(jì)算機(jī)和物聯(lián)網(wǎng)等可連接設(shè)備的快速普及，勒索軟件或?qū)⒚媾R飛躍式的發(fā)展。賽門(mén)鐵克的最新研究發(fā)現(xiàn)，當(dāng)前勒索軟件能夠輕松從手機(jī)跨越至可穿戴設(shè)備，例如智能手表等。

　　勒索軟件的起源發(fā)展

　　在26年前，勒索軟件這一概念便已出現(xiàn)，首次被記載的勒索軟件是1989年的AIDS Trojan。該威脅由5?英寸軟盤(pán)中的蝸牛郵件進(jìn)行傳播，通過(guò)加密電腦上的文件，要求用戶(hù)支付解密費(fèi)用。雖然AIDS Trojan并非被認(rèn)為是當(dāng)今的勒索軟件，但它卻使用了如今常見(jiàn)的伎倆——對(duì)用戶(hù)使用所謂未授權(quán)的軟件所進(jìn)行的懲罰。

　　即使AIDS Trojan是首次出現(xiàn)的勒索軟件，但實(shí)際上，誤導(dǎo)應(yīng)用(Misleading Applications)和后來(lái)出現(xiàn)的偽裝殺毒軟件(FakeAV)產(chǎn)品才是造成“數(shù)字勒索”趨勢(shì)愈演愈烈的罪魁禍?zhǔn)?。與勒索軟件相同，誤導(dǎo)應(yīng)用和偽裝殺毒軟件的欺詐目的都是向用戶(hù)進(jìn)行金錢(qián)勒索。

　　誤導(dǎo)應(yīng)用流行于2005年，該應(yīng)用向受害者報(bào)告虛假的電腦問(wèn)題，隨后要求他們支付購(gòu)買(mǎi)軟件的許可，從而對(duì)電腦問(wèn)題進(jìn)行修復(fù)?；谡`導(dǎo)應(yīng)用的欺詐手段，F(xiàn)akeAV在2008年和2009年開(kāi)始流行，這些欺詐攻擊試圖說(shuō)服用戶(hù)其電腦受到惡意軟件的入侵，欺騙用戶(hù)付費(fèi)購(gòu)買(mǎi)假的軟件許可。

　　多年來(lái)，公眾對(duì)誤導(dǎo)應(yīng)用和FakeAV逐漸有了更深入的了解。因此，在2011年和2012年之間，攻擊者轉(zhuǎn)而使用勒索軟件作為網(wǎng)絡(luò)犯罪活動(dòng)的手段。初始，攻擊者通過(guò)鎖定勒索軟件(Locker Ransomware)進(jìn)行攻擊，該攻擊會(huì)鎖定用戶(hù)的電腦，使其無(wú)法正常使用，并要求用戶(hù)通過(guò)付費(fèi)解鎖。但是從2013年開(kāi)始，攻擊者開(kāi)始使用加密勒索軟件(Crypto Ransomware)將電腦上的重要文件進(jìn)行加密，并要求用戶(hù)付費(fèi)解密。

　　雖然使用不同的技術(shù)，但是無(wú)論是鎖定勒索軟件還是加密勒索軟件都希望實(shí)現(xiàn)相同的目的——迫使受害者支付費(fèi)用來(lái)重新獲取原本屬于他們的權(quán)限。

　　鎖定勒索軟件：“支付200美元的罰款，否則將被關(guān)進(jìn)監(jiān)獄”

　　相比加密勒索軟件，鎖定勒索軟件更依賴(lài)于通過(guò)社會(huì)工程來(lái)說(shuō)服受害者付費(fèi)。鎖定勒索軟件經(jīng)常使用執(zhí)法型手段進(jìn)行欺詐，例如通過(guò)貌似來(lái)自官方機(jī)構(gòu)發(fā)來(lái)的通知指責(zé)受害者實(shí)施過(guò)嚴(yán)重犯罪，與此同時(shí)鎖定受害者的電腦，并要求支付罰款以解鎖系統(tǒng)。勒索軟件甚至還會(huì)聲稱(chēng)，如果受害者支付所謂的罰款，任何起訴的刑事指控都將被撤回。鎖定勒索軟件會(huì)使用官方執(zhí)法形象和權(quán)威措辭，以說(shuō)服受害者相信這些指控的合法性。

　　圖1.鎖定勒索軟件中勒索界面的典型措辭

　　鎖定勒索軟件一般還會(huì)要求受害者使用貨幣支付憑單來(lái)支付贖金。受害者可以在當(dāng)?shù)貙?shí)體店通過(guò)支付現(xiàn)金來(lái)購(gòu)買(mǎi)付款代碼。該付款代碼可以用于在線購(gòu)買(mǎi)物品和服務(wù)。通常來(lái)說(shuō)，鎖定勒索軟件的平均勒索金額為200美元左右(1,200 元人民幣)。

　　目前沒(méi)有任何司法系統(tǒng)出臺(tái)針對(duì)電腦犯罪的電子罰款的相關(guān)法律。對(duì)于任何定罪，司法系統(tǒng)有嚴(yán)格的證據(jù)收集規(guī)定，并需要在法庭上呈現(xiàn)后，再由司法部門(mén)判決。賽門(mén)鐵克提醒用戶(hù)，對(duì)于上述所說(shuō)的警告或消息保持懷疑態(tài)度，因?yàn)檫@是可能是欺詐行為的跡象。

　　如果感染鎖定勒索軟件，賽門(mén)鐵克建議用戶(hù)采取以下建議：

　　請(qǐng)勿支付贖金，因?yàn)榧词乖谥Ц逗?，勒索軟件可能并不?huì)解鎖電腦。

　　大多數(shù)的鎖定勒索軟件可以通過(guò)使用免費(fèi)的病毒清除工具從被感染的電腦上清除，例如使用Norton Power Eraser或SymHelp。

　　加密勒索軟件：“支付300美元，否則將失去文件”

　　不同于編造不存在的法律來(lái)威脅受害者，加密勒索軟件明確表明自身是敲詐勒索，要求受害者支付費(fèi)用來(lái)解密加密的文件。

　　加密勒索軟件攻擊者能夠這樣囂張是因?yàn)樗麄兿嘈抛约耗軌蚩刂剖芎φ叩奈募，F(xiàn)代加密勒索軟件使用行業(yè)標(biāo)準(zhǔn)的加密技術(shù)，同時(shí)采用了同步和異步加密算法，使攻擊者可以更快且更有把握地對(duì)文件進(jìn)行加密。這意味著一旦文件被加密，如果沒(méi)有密鑰，將沒(méi)有其他辦法對(duì)文件進(jìn)行解密。

　　加密勒索軟件一般需要更多的技術(shù)專(zhuān)業(yè)知識(shí)才能實(shí)行勒索。除了使用強(qiáng)大的加密技術(shù)，網(wǎng)絡(luò)罪犯同樣意識(shí)到自身的操作安全，將網(wǎng)絡(luò)基礎(chǔ)架構(gòu)隱藏在暗網(wǎng)之中。此外，他們還強(qiáng)迫受害者通過(guò)匿名網(wǎng)絡(luò)(如Tor或I2P)與其通信。

　　加密勒索軟件所要求支付的金額往往比鎖定勒索軟件高。勒索贖金通常在300美元左右(1,800元人民幣)，但是實(shí)際金額在不同國(guó)家可能會(huì)有差別。加密勒索軟件普遍要求使用比特幣支付，以便使詐騙罪犯更好地隱藏自己的身份。

　　賽門(mén)鐵克建議，從源頭防止加密的發(fā)生是抵御加密勒索軟件的關(guān)鍵：

　　使用出色的多層安全解決方案，防止勒索軟件在電腦上安裝，或與遠(yuǎn)程服務(wù)器通信。

　　基于行為、啟發(fā)式和聲譽(yù)的保護(hù)系統(tǒng)可阻攔可疑文件運(yùn)行。

　　持續(xù)備份重要的文件和數(shù)據(jù)。定期在線上和離線介質(zhì)上備份多個(gè)副本，以確保無(wú)虞。

　　在許多加密勒索軟件事件中，如果電腦被感染，備份是唯一可行的恢復(fù)解決方案。賽門(mén)鐵克不建議受害者支付贖金，并且這么做并不會(huì)解除勒索。即使受害者支付贖金，網(wǎng)絡(luò)罪犯可能并不會(huì)對(duì)用戶(hù)的文件進(jìn)行解密。

　　圖2.勒索軟件的兩面性 — 罰款與費(fèi)用

　　手腕上的勒索軟件

　　隨著技術(shù)的發(fā)展，網(wǎng)絡(luò)罪犯進(jìn)一步擴(kuò)展勒索軟件可攻擊的范圍，例如蓬勃發(fā)展的娛樂(lè)、暖通空調(diào)、安全等領(lǐng)域的家庭技術(shù)。此外，交通工具也受到了影響，智能汽車(chē)也被發(fā)現(xiàn)容易受到黑客的攻擊。

　　智能手表的發(fā)展受到大眾的廣泛關(guān)注。谷歌公司早在2014年便發(fā)布了首款A(yù)ndroid Wear智能手表操作系統(tǒng)，而近期發(fā)布的Apple Watch又進(jìn)一步促進(jìn)了該領(lǐng)域的發(fā)展。智能手表創(chuàng)造了一個(gè)新興的智能手表應(yīng)用市場(chǎng)，并吸引了大量的開(kāi)發(fā)人員。

　　Android Wear設(shè)備專(zhuān)為配合Android手機(jī)或平板電腦等功能豐富的設(shè)備而設(shè)計(jì)。無(wú)需額外操作，其操作系統(tǒng)支持現(xiàn)有的Android應(yīng)用直接使用Android Wear設(shè)備中的某些功能。如果開(kāi)發(fā)人員希望更好地利用小型可穿戴設(shè)備，他們可以專(zhuān)門(mén)編寫(xiě)相應(yīng)的應(yīng)用。

　　Android Wear 應(yīng)用的安裝流程可無(wú)縫完成，如果現(xiàn)有的Android移動(dòng)應(yīng)用包含或者專(zhuān)為Android Wear而創(chuàng)建的組件，應(yīng)用將自動(dòng)從移動(dòng)設(shè)備被推送到Android Wear智能手表中。

　　圖 3.將Android Wear應(yīng)用安裝到手機(jī)上，隨后推送至智能手表

　　由于勒索軟件已經(jīng)在Android移動(dòng)設(shè)備之間傳播，賽門(mén)鐵克進(jìn)行了一項(xiàng)測(cè)試，以了解Android Wear設(shè)備如何受到典型 Android 勒索軟件的感染。來(lái)完成該測(cè)試，賽門(mén)鐵克僅需將當(dāng)前的.apk格式的Android勒索軟件(Android.Simplocker)重新打包到一個(gè)新的Android Wear項(xiàng)目中，并創(chuàng)建一個(gè)新的.apk文件。

　　以Moto 360智能手表為測(cè)試樣本，當(dāng)將其與Android手機(jī)進(jìn)行配對(duì)后，并在手機(jī)上安裝新的.apk 文件時(shí)，賽門(mén)鐵克團(tuán)隊(duì)發(fā)現(xiàn)，手機(jī)如預(yù)期一樣受到了勒索軟件的感染。當(dāng)智能手表與手機(jī)進(jìn)行配對(duì)后，勒索軟件也同時(shí)被推送到智能手表上。當(dāng)勒索軟件被安裝到智能手表上后，如果用戶(hù)被欺騙并認(rèn)為它是一款有用的應(yīng)用，則極可能運(yùn)行該惡意軟件。

　　惡意軟件運(yùn)行后，將導(dǎo)致智能手表無(wú)法使用。Simplocker可每秒鐘檢查勒索信息的顯示，如果未顯示，它將再次將勒索信息推送到屏幕上，這將阻止用戶(hù)正常使用該設(shè)備。此外，Simplocker還可以對(duì)存儲(chǔ)在智能手表SD卡上的多種文件進(jìn)行加密。勒索可穿戴設(shè)備現(xiàn)象還產(chǎn)生了一個(gè)新的詞語(yǔ)：“ransomwear”(可穿戴設(shè)備勒索軟件)。

　　恢復(fù)和防護(hù)措施

　　Simplocker在智能手表上運(yùn)行后，用戶(hù)只能從配對(duì)的手機(jī)上將其卸載。如果能夠被卸載，Simplocker也將自動(dòng)從智能手表上被刪除。如果無(wú)法將其卸載，用戶(hù)可以將手機(jī)重置為出廠設(shè)置，并在智能手表上執(zhí)行同樣操作。值得注意的是，出廠重置選項(xiàng)只能通過(guò)手表菜單訪問(wèn)，但在Simplocker運(yùn)行時(shí)則無(wú)法完成。

　　在以上測(cè)試中，賽門(mén)鐵克發(fā)現(xiàn)，按住手表的硬件按鈕30秒鐘，設(shè)備將關(guān)閉。在設(shè)備重啟和Simplocker再次運(yùn)行之間，大約有20至30秒的時(shí)間窗口，用戶(hù)可利用該時(shí)間啟動(dòng)出廠重置流程，對(duì)智能手表進(jìn)行全面的清理。但是，手表上的所有文件都將會(huì)丟失，即使這些文件曾被勒索軟件加密。

　　賽門(mén)鐵克建議用戶(hù)應(yīng)采取基本的預(yù)防措施，以降低惡意軟件在可穿戴設(shè)備上的感染風(fēng)險(xiǎn)：

　　避免從未知或不信任的來(lái)源安裝應(yīng)用

　　在安裝應(yīng)用時(shí)查看許可，確保該許可適用于所安裝的應(yīng)用類(lèi)型。例如，一款游戲是否真得需要訪問(wèn)手機(jī)聯(lián)系人列表或發(fā)送短信?

　　在移動(dòng)設(shè)備上使用合適的安全解決方案

　　確保軟件為最新版本

　　持續(xù)備份重要數(shù)據(jù)