勒索软件，这个网络犯罪的头号公敌，依旧猖獗。攻击者不仅索财，更图“名”，通过网站公开受害者身份，以此获名。2023年，LockBit等勒索团伙让米高梅、迪拜环球港务集团等巨头蒙受重创，提醒我们，即使是最坚固的城堡也有其弱点，企业不仅要准备好赎金，还可能面临重建系统的天文数字支出。

近期勒索事件层出不穷，包含：

• 全球油田服务巨头哈里伯顿在其2024年第三季度财报中披露，8月份遭受的勒索软件攻击已导致公司损失3500万美元。据了解，此次攻击使哈里伯顿部分业务系统持续数周下线，订单采购等日常业务受到影响。

• 2024年10月，日本汽车零部件供应商万宝井（YOROZU）确认遭遇勒索软件攻击。据了解，此次攻击导致万宝井部分服务器内存储的文件被加密，849GB的数据被窃取，这些数据包括与日产、本田和丰田等汽车制造商相关的机密文件。

• 2024年11月，全球能源管理和自动化巨头施耐德电气证实遭遇网络攻击。此次事件中，黑客从服务器窃取了40GB的数据，包括内部开发人员的姓名、电子邮件地址、访问权限等敏感信息。值得注意的是，这已经是施耐德电气在2024年内第二次遭遇勒索攻击。

• 同样在11月，据路透社报道，美国软件供应链管理服务商Blue Yonder遭遇勒索软件攻击，私有云基础设施被破坏，多家客户的业务运营受阻。目前，星巴克以及英国四大连锁杂货店中的莫里森和塞恩斯伯里均已证实部分关键系统中断运营。

• 2024年12月，全球四大会计师事务所之一，知名专业服务公司德勤（Deloitte）被勒索软件组织“大脑密码”（Brain Cipher）入侵。据称，黑客通过利用网络安全漏洞窃取了超过1TB的敏感数据。

网络安全保险服务商Corvus发布的《2024 年第一季度勒索软件报告》显示，2024 年第一季度勒索软件攻击与去年同期相比增加了21%，创下一季度历史新高。报告还指出，针对医疗行业的勒索攻击较上一季度增加了38%，在所有行业中增幅最大。

如下图，医疗行业已经超越了制造、零售、政府等行业，成为了继信息技术服务、建筑之后的第三大最受勒索软件关注的目标行业：

在勒索软件时代发展早期，航空、医疗、能源和非营利组织通常会被勒索软件团伙划为“禁区”，一方面是因为在各大跨国集团身上已经能够赚得盆满钵满，另一方面也是因为早期的勒索软件团伙较为看重自身的“江湖声誉”，在发起攻击前会有所选择。

但随着勒索软件攻击团伙数量猛增，以及RaaS勒索软件即服务模式的兴起，发起勒索攻击的技术成本不断降低，大量的勒索软件附庸组织开始涌入，想要从“勒索市场”中分一杯羹的人变得越来越多，导致勒索攻击逐渐变得更加猖獗和激进。

勒索病毒“供应链”：

组织运营者

负责整体运作和统筹，包括资源调集和酬劳激励分配，一般有丰厚资本支撑；

勒索病毒作者

负责勒索软件开发和更新，包括解密工具的开发和维护等；

集成平台

负责集成平台开发和运营，包括服务器搭建以及各种渠道交互开发运营；

攻击者

负责攻击各个客户，攻击者可以是独立个体或者团队，按照攻击成功数量分成；

自动化的勒索工具

勒索攻击、感染、加密工具越来越自动化；

多重加密勒索

恢复勒索+泄密勒索+名誉勒索……

AI 技术或者说大模型已经成为了各行各业提升效率的重要工具。然而，作为一把双刃剑，大模型也正在被不法分子所利用，以提升勒索病毒攻击效率。毫不夸张地说，大模型或成为勒索病毒攻击的加速器。

加快开发效率

攻击者利用大模型技术极其强大的数据处理和自我学习能力，能迅速迭代和优化病毒代码，提高其隐蔽性和破坏力，极大缩短了开发周期。如此快速的勒索病毒开发效率，使得传统的单点防御措施很难跟上病毒变异的步伐；

扩大传播范围

借助大模型的分析和预测能力，攻击者可以更精准地识别潜在的攻击目标。通过对大量网络数据的分析，大模型可以帮助攻击者发现安全漏洞，从而提升勒索病毒的传播效率和范围；

丰富攻击手段

大模型技术还可以用于开发更为复杂的攻击手段。例如，通过自然语言处理和社交工程技巧，攻击者可以设计出更具说服力的钓鱼邮件，诱使客户主动下载和打开勒索病毒。此外，大模型还可以用于规避传统的安全防护措施，使得勒索病毒攻击防不胜防。

而以暗网、虚拟货币为代表的破坏式技术创新应用，带来了极为严重的负面影响，基于暗网的恶意软件研发和交易难以追踪，基于区块链技术的虚拟货币支付无法追溯，各国政府及执法机构难以有效打击网络犯罪。

某天，某公司多数核心数据服务器、业务服务器被加密，严重影响业务开展，业务迟迟无法恢复，迫于生产运营压力，选择了跟黑客攻击者协商赎金，通过交赎金，解密恢复数据。为了追踪黑客行为，对黑客比特币钱包地址进行追踪，发现了其产业化运作痕迹。

与此同时，基于勒索信中的联系方式尝试与黑客进行谈判，从沟通中可以看出，攻击者并非单兵作战，内部组织架构明确，各司其职，整个勒索链条初步具备完善的运营体系。

当该公司跟黑客协商后，选择了支付等额人民币20万的比特币后，将该比特币转入黑客钱包地址。通过比特币交易网络可以看到，该黑客钱包马上进行了“分赃”行为，通过两次交易分别转入4个账号，分别是黑客病毒作者钱包、集成平台提供商钱包、统筹钱包和线上客服钱包，统筹钱包很快又拆分了两笔交易，分别转入攻击者钱包和组织运营者钱包。

统筹钱包分成了两部分，分别转给了攻击者和组织运营者，就连聊天商量赎金的客服都分到了钱。在整个勒索事件中，各方关系如下示意图所示，有人负责制作勒索病毒，有人负责做集成，有人负责统筹进行攻击，也可能有客服负责和你就赎金问题讨价还价。但事实上，这反映了背后一个更加需要大家警醒的事实，就是勒索病毒的产业化。

勒索病毒的攻击链也有很多种分类方式，我们可以先从攻击场景和组合方式这两种最基本的分类入手。勒索病毒攻击链可以从多个角度解读：

从攻击路径来看，其大致有三种场景，最终目标都是拿下内网核心资产。攻击场景包括：

• 从外网对外发布的应用入手；

• 从内网PC入手；

• 借助分支的方式来进行边界的突破。

具体来说，很多企业会有对外发布的应用，往往会有很多端口都是开放的，而这些端口当中就包括非常多的高危端口和系统漏洞，而黑客就可以利用高危端口和漏洞进行攻击。

在内网PC这样的攻击场景中，黑客往往是先通过我们的办公用的普通电脑作为跳板机。比如说我们可能员工在进行办公或者上网的时候，安全意识比较薄弱，下载了带有勒索病毒的盗版软件安装包，或者点击了恶意邮件中的链接，或者中了网站的水坑攻击等等。

还有就是分支组网，因为我们会发现很多大型集团性企业，他们的总部的安全建设往往是做得比较好的，但是在分支的安全建设上相对来说投入就会相对较低。但是网络安全会存在木桶效应，整体的网络安全防御效果，不仅要看做的最好的部分，还要看做的最薄弱的那部分。黑客可以通过攻击你最短的那个板，从而取得最初攻击的突破。目前威努特在工控系统下的建设和意义同样如此，在大力发展办公网的网络安全建设的同时，忽视工控网的安全建设亦会使得工控网成为网络架构的短板。

然后是从组合方式来看，勒索病毒攻击可以分为自动化集成式勒索病毒和半自动组合式勒索病毒。自动化集成式的勒索病毒，它本身就包括了传播的模块和加解密的模块，比如我们非常熟知的永恒之蓝这样一个勒索病毒就是属于这一类型，除此之外，还有那种半自动组合式的勒索病毒，他的加解密模块跟传播模块是分开的。比如像dark side勒索病毒。他就可以跟更多传统黑客攻击手段相结合。前者基本不需要人工干预，自动传播，后者需要攻击者人工参与，手段非常自由。

场景一

攻击者利用SQL注入、WebShell上传、应用漏洞等方式获得外网应用区服务器的系统权限。

以外网应用区服务器作为跳板，通过RDP爆破、系统漏洞利用等方式获得数据中心关键服务器的系统权限。

场景二

攻击者利用钓鱼邮件、水坑攻击、恶意程序捆绑等方式获得办公网内PC的系统权限。

以办公网内PC作为跳板，通过RDP爆破、系统漏洞利用等方式获得数据中心关键服务器的系统权限。

场景三

攻击者通过各种手段入侵分支或互联的其他单位系统权限。

利用分支或互联单位的终端作为跳板，入侵目标用户数据中心服务器。

先通过RDP爆破进入内网，信息搜集获取服务器内多处Hash密码后再次内网扫描爆破，获取多台服务器权限。

典型代表：LockCrypt、 Crysis 、Planetary、GlobeImposter等

RDP登录容易成为勒索病毒攻击的关键路径，首先是因为它适合的攻击方法很多，不管是直接地对密码的窃取，或者利用漏洞，利用系统或者业务的漏洞，通过僵尸网络或者直接进行暴力破解，这个暴力破解可以是慢速的爆破，也可以是高速的短时间内的爆破。同样钓鱼攻击，也可以作为RDP登录系统的攻击方式。黑客登录之后要干什么？首先是他有一部分。勒索病毒的工具需要人工去操作，那么同时也需要黑客去判断，人工进行判断哪些资产属于有价值的、值得去勒索的核心资产。那么同时也包括黑客要人工去清理或者绕过像杀毒软件这些安全系统。

勒索病毒感染到传播的过程

钓鱼邮件

作为一种传统的攻击手段，在很早之前就被用于勒索病毒攻击中。

漏洞攻击

利用web应用系统漏洞植入病毒母体，再进而定向持续渗透或广播式的感染内部主机。

典型代表：Tellyouthepass、Cerber、Satan、Samas、SamSam、Jcry、Lucky等

老一批的勒索加密软件确实存在加密可能，如①勒索病毒内置密钥：硬编码得文件加密key容易被安全分析人员通过逆向分析的方式获得，进而开发出解密工具。②有C2（命令和控制服务器）负责生成加密key，且密钥容易被中间流量设备截获。有几率被解密。但是新型的勒索软件基本无法解密，勒索加密软件存在以下特点：

• 无C2：匿名性更好，不利于追踪和犯罪打击，密钥不依赖网络传输，更安全；

• 加密强度高：加密过程复杂，增加病毒分析过程时间，人力成本，且无主私钥情况下无法解密；

• 运营便捷性：实现单一病毒hash攻击不同资产后产生不同的解密中间关键key信息，单一工具购买者只可解密一台被攻击资产，方便其犯罪团伙运营化。

面对大模型技术加剧的勒索病毒攻击，传统的单点防御方案早已捉襟见肘。这些方案往往只能应对已知的威胁，而难以应对不断变异和进化的新型病毒。因此，亟需升级为体系化防御方案，加固数据安全防线。为助力广大客户更加自信、从容地应对新时期的勒索病毒攻击，推出体系化防勒索病毒方案，从产品、技术、组织与管理等维度，在事前-事中-事后部署针对性防御措施，全方位提升业务连续性，不让勒索病毒有机可乘。

针对勒索病毒防治解决方案设计思路：

• 事前全面有效防御

• 事中精准检测阻击

• 事后高效恢复溯源

整体建设架构如下：

资产与漏洞管理

资产发现，基于资产指纹的主动发现，态势感知系统内置6000多种设备和应用指纹，自动发现系统中的资产和应用，自动生成系统资产清单（含基本信息、硬件信息、操作系统信息、变更记录、运行信息、端口和服务、资产会话、漏洞、告警、不合规配置项、资产风险值）。

联动漏洞扫描系统、基线配置核查系统等安全设备，将设备检查结果与资产信息整合，提供资产维度、设备类型维度、设备厂商维度等多维度统计分析。

部署基于终端的安全防护系统

主机防勒索系统设计了六大技术机制来支撑检测、防护、恢复三重技术手段的落地。

• 行为监测监控全局的恶意行为；

• 勒索诱捕精准识别勒索病毒；

• 系统保护确保系统关键资源不被破坏；

• 进程保护确保关键业务进程稳定运行；

• 数据保护保障核心数据资源不被篡改破坏；

• 备份恢复实时备份系统数据，支撑遭勒索后的快速恢复。

部署高级威胁检测系统监测网络入侵

通过全流量采集，结合攻击检测技术、情报碰撞、机器学习、AI智能分析，有效检测僵木蠕、恶意软件、加密流量、威胁攻击、溯源处置等。

防勒索病毒解决方案利用“杀伤链”理论发现勒索攻全过程：

1. 在攻击尝试时发现问题及时告警，进行处置，避免攻击成功；

2. 假设第一步攻击成功后，可在威胁横向扩散时候发现异常情况，进行告警通知及查杀处理，并可对威胁源进行隔离阻断，避免威胁进一步扩散。

部署备份与恢复系统提高数据可用性

构建一个完整的数据统一备份系统，将整个网络中的重要资源的所有关键业务数据进行集中备份，建立统一的备份与恢复策略，备份系统可以帮助机构在遭受勒索软件攻击时，恢复到未受感染的状态，避免支付赎金来解密数据。

诱饵诱捕

勒索病毒主要是破坏系统中的数据文件，如果我们在系统中投放诱饵文件，并持续监控对诱饵文件的操作，就可以判断操作行为主体是否是安全可信的。

一般来说，诱饵文件不会被正常的应用操作，操作系统用户也可从诱饵文件的内容中获悉其诱饵身份；只有勒索病毒无差别的访问、操作诱饵文件和真实数据文件，进而触发诱饵文件的陷阱，被防勒索系统捕获。防勒索系统采用静态诱饵投放和动态诱饵投喂两种方式部署诱饵文件。

• 静态诱饵

勒索病毒在遍历文件时，会优先检索系统常规路径，如桌面、文档路径、磁盘根目录等；防勒索系统在操作系统常规路径以及勒索病毒遍历的高频路径下，投放多种格式的诱饵文件，并采用特殊方式命名，确保无论以何种方式排序，诱饵文件始终处于首位；勒索病毒会优先加密遍历列表首位的诱饵文件，从而被防勒索系统识别发现，由于正常应用一般不会访问诱饵文件，因此对诱饵文件的操作基本上可以判定为勒索病毒，防勒索系统会直接杀死可疑进程并置于隔离区；勒索病毒优先遍历的不是高频路径怎么保障诱捕的有效性呢？对此，我们采用动态投喂技术来应对。

• 动态诱饵

勒索病毒遍历系统文件会调用操作系统特定的接口或函数，防勒索系统在监测到这类调用指令时，动态生成诱饵文件第一个返回给相关进程，与此同时监测诱饵文件的状态；勒索病毒为了规避安全产品的检测，快速完成全盘文件加密，会尽可能缩短加密周期，同时开展文件遍历和文件加密操作；防勒索系统返回给勒索病毒的诱饵文件，勒索病毒会第一时间进行加密，进而被防勒索系统捕获；动态诱饵投喂技术与勒索病毒检索的路径无关，任意路径的遍历均会被动态诱饵投喂，因此能够防止检测机制被绕过，在勒索病毒实施破坏的第一时间、精准有效地识别、拦截勒索病毒。静态诱饵投放和动态诱饵投喂技术勒索行为监测能力的有力补充，可精准识别勒索病毒。

基于异常勒索加密行为的分析与拦截

勒索病毒所体现出来的磁盘遍历、进程终止、文件加密、回收站清空等行为，实际上都是在调用操作系统底层驱动的指令，对应的我们可通过监测系统API、进程、文件、注册表、系统工具等底层驱动指令调用情况，来发现可疑的或潜在的恶意行为，及时干预以防止对数据文件造成破坏当然，行为异常只能说明是可疑的，但是没办法证实是有害的；而如果被访问的数据被加密了，则可以证实属于勒索病毒。这里需要引入另外一个熵值的概念。

熵是随机性的度量，随机度越高则熵值越高，勒索病毒为了对抗破解，会采用空间较大随机度较高的密钥进行数据加密，进而会导致文件熵值的显著升高，一般来说，未经加密的数据文件熵值往往介于4.8-7.2之间；而高于7.2的往往是被加密的数据文件；通过检测熵值变化幅度，及熵值增加后的具体数值，可以判断文件是否被加密，基于文件的加密状况，就可以判断访问文件的进程是否是勒索病毒。基于熵的检测机制贴合勒索病毒攻击数据文件被篡改的本质，具有较强的检测能力，无论是合法进程被注入、还是不可信的恶意进程，均能被有效检测，因此，行为监测具有抵御“供应链”攻击的能力。

所以可疑的行为，如大范围的遍历、重命名，高频率的文件创建、删除，结合数据文件熵值的显著增长，则可以准确地识别勒索病毒。

基于访问行为关系的数据保护

任何针对数据文件的操作，均需要调用操作系统内部函数，勒索病毒也不例外，通过接管文件过滤驱动，可以监测数据文件打开、写入、删除、修改属性等行为。

日常工作中，文件的增删改较为普遍，仅从数据文件的操作行为本身无法判断是否为恶意，通过建立可信应用与数据文件的访问关系，就可以识别未授权的文件操作行为，进而有针对性地拦截和防范。

安装防勒索系统后，通过内置规则及动态识别技术，可以很方便地建立可信应用与应用数据间的访问关系模型，勒索病毒不在可信应用列表内，不具备应用数据的访问权限，勒索病毒尝试加密系统中文档、数据库、工程文件、音视频等数据文件时，将会被拦截阻断；核心数据保护功能一方面可避免应用数据被恶意加密，防范典型的文件加密勒索行为，还可以防范双重勒索中文件信息泄露的勒索行为。

进程防护

相当一部分勒索病毒会采用进程注入的方式发起攻击，注入到白进程后，能够有效对抗安全产品的检测，恶意软件一旦注入到系统服务的进程，即便发现后也无法直接干预，杀死被注入的系统进程会直接导致操作系统崩溃，针对系统进程注入发起的勒索攻击，只能采用事前的方式进行防范主机防勒索系统采用数字签名验证、远程线程创建禁用、DLL加载限制等方式，保护系统进程不被注入。

勒索病毒加密文件前，会优先终止业务进程，以解除文件占用，便于文件加密或删除操作；勒索病毒进程终止主要是针对数据库系统而设置，结构化数据价值较高，被勒索后赎金支付的概率也较大，数据库系统保持占用的数据文件无法被其他应用访问，数据库系统进程被终止会直接导致业务中断，因为数据文件被加密，被中断的业务短期内无法恢复，会造成很大的业务损失，因此，需要对关键业务进行保护，在操作系统层面进程中止主要包括2种方式，一是直接操作进程，强制进程退出或终止，二是进程的所有线程均已被终止；通过监测这两类进程终止的方式，防勒索系统可以对非法的进程终止的行为进行拦截阻断。

防勒索系统安装到操作系统后，会接管操作系统进程驱动，当有进程终止或线程退出指令时，防勒索系统会对指令来源和指令类型进行判断，如果是不可信的进程发起的跨进程、跨地址空间的指令行为，防勒索系统将会对指令操作进行拦截，从而避免勒索病毒对关键业务进程的破坏，在保障业务连续性的同时，保持关键应用对数据文件的持续占用，进而确保数据文件不会被加密勒索。

备份数据监测

在备份入库前，防勒索系统会检查入库数据的安全性，通过文件名、后缀名、信息熵、方差值完成文件是否被勒索加密的判断，我们知道，勒索病毒加密的文件会被修改文件名、后缀名、文件的熵值和方差值会发生显著变化，基于此防勒索系统可识别被勒索加密的文件，已经被勒索加密的文件将直接丢弃，并对操作该文件的进程进行终止和隔离操作；被识别为正常的数据文件则经过放重复检查后进入备份区。

防勒索系统的备份机制并非是全盘备份，而是经过巧妙设计的按需触发，既可以实现勒索病毒的精准防范，又能确保最小的系统资源消耗。

日志分析与攻击链溯源

从海量数据中挖掘取证，挖掘时间窗口内相关的所有访问行为和安全事件，从纵向时间维度和横向访问维度展示攻击路径。

• 数据取证

• 溯源分析

面对层出不穷的勒索手段，单一防御能力是有限的，面对不可逆的勒索攻击需要的是更系统化、立体化、更面向安全效果的安全方案，而基于不同的检测防御方案的组合构建纵深防护体系可以大大降低被勒索的可能。

其次，在波谲云诡的黑产行业发展与勒索攻击手段中，理论上不存在绝对安全的系统，网络安全建设是没有上限的，但众多单位的业务系统的网络安全建设预算是有上限的，与此同时，黑产的组织运营也是有成本的，每个系统运营者需要考虑是基于有限的预算在系统内全资产上构建相对完整的全链路的勒索防御体系，不断地拔高攻击成本是保障系统安全的有效方式。