相关背景

勒索软件又称为““赎金木马”，勒索软件攻击是指网络攻击者通过锁定设备或加密文件等方式阻止用户对系统或数据的正常访问，并要挟受害者支付赎金的行为。由于勒索软件加密信息难以恢复、攻击来源难以追踪，攻击直接影响与生产生活相关信息系统的正常运转，勒索软件对现实世界威胁加剧，且随着 A1、5G、物联网等技术的快速普及和应用，如今勒索攻击呈现出持续高发态势。勒索攻击已经成为未来一段时期网络安全的主要威胁之一，如何有效防范勒索攻击成为当前网络安全领域关注和讨论的焦点。

勒索软件概述

典型勒索软件包括文件加密、数据窃取、磁盘加密等类型，攻击者主要通过钓鱼邮件、网页挂马等形式传播勒索软件，或利用漏洞、远程桌面入侵等发起攻击，植入勒索软件并实施勒索行为。

勒索软件主要类型

文件加密类勒索软件

该类勒索软件以RSA、AES等多种加密算法对用户文件进行加密，并以此索要赎金，一旦感染，极难恢复文件。该类勒索软件以 WannaCry为代表，自2017年全球大规模爆发以来，其通过加密算法加密文件，并利用暗网通信回传解密密钥、要求支付加密货币赎金等隐蔽 真实身份的勒索软件攻击模式引起攻击者的广泛模仿，文件加密类已经成为当前勒索软件的主要类型。

数据窃取类勒索软件

该类勒索软件与文件加密类勒索软件类似，通常采用多种加密算法加密用户数据，一旦感染，同样极难进行数据恢复，但在勒索环节，攻击者通过甄 别和窃取用户重要数据，以公开重要数据胁迫用户支付勒索赎金。

系统加密类勒索软件。

该类勒索软件同样通过各类加密算法对系统磁盘主引导记录、卷引导记录等进行加密，阻 止用户访问磁盘，影响用户设备的正常启动和使用，并向用户勒索赎金，甚至对全部磁盘数据进行加密，一旦感染，同样难以进行数据恢复。例如，2016 年首次发现的 Petya 勒索软件，对攻击对象全部数据进行加密的同时，以病毒内嵌的主引导记 录代码覆盖磁盘扇区，直接导致设备无法正常启动。

屏幕锁定类勒索软件

该类勒索软件对用户设备屏幕进行锁定，通常以全屏形式呈现涵盖勒索信息的图像，导致用户无法登录和使用设备，或伪装成系统出现蓝屏错误等， 进而勒索赎金，但该类勒索软件未对用户数据进行加密，具备数据恢复的可能。例如，WinLock 勒索软件通过禁用Windows系统关键组件，锁定用户设备屏幕，要求用户通过短信付费的方式支付勒索赎金。

勒索软件典型传播方式

利用安全漏洞传播

攻击者利用弱口令、远程代码执行等网络产品安全漏洞，攻击入侵用户内部网络，获取管理员权限，进而主动传播勒索软件。目前，攻击者通常利用已公开且已发布补丁的漏洞，通过扫描发现未及时修补漏洞的设备，利用漏洞攻击入侵并部署勒索软件，实施勒索行为。

利用钓鱼邮件传播

攻击者将勒索软件内嵌至钓鱼邮 件的文档、图片等附件中，或将勒索软件恶意链接写入钓鱼 邮件正文中，通过网络钓鱼攻击传播勒索软件。一旦用户打开邮件附件，或点击恶意链接，勒索软件将自动加载、安装和运行，实现实施勒索软件攻击的目的。

利用网站挂马传播

攻击者通过网络攻击网站，以在 网站植入恶意代码的方式挂马，或通过主动搭建包含恶意代 码的网站，诱导用户访问网站并触发恶意代码，劫持用户当前访问页面至勒索软件下载链接并执行，进而向用户设备植入勒索软件。

利用移动介质传播

攻击者通过隐藏U 盘、移动硬盘等移动存储介质原有文件，创建与移动存储介质盘符、图标 等相同的快捷方式，一旦用户点击，自动运行勒索软件，或运行专门用于收集和回传设备信息的木马程序，便于未来实施针对性的勒索软件攻击行为。

利用软件供应链传播

攻击者利用软件供应商与软件 用户间的信任关系，通过攻击入侵软件供应商相关服务器设 备，利用软件供应链分发、更新等机制，在合法软件正常传播、升级等过程中，对合法软件进行劫持或篡改，规避用户 网络安全防护机制，传播勒索软件。

利用远程桌面入侵传播

攻击者通常利用弱口令、暴力破解等方式获取攻击目标服务器远程登录用户名和密码，进而通过远程桌面协议登录服务器并植入勒索软件。同时，攻击者一旦成功登录服务器，获得服务器控制权限，可以服务器为攻击跳板，在用户内部网络进一步传播勒索软件。

典型勒索软件攻击流程

聚焦勒索软件攻击链，近期勒索软件攻击团伙在成功实施网络攻击入侵的基础上，植入勒索软件并实施勒索行为，其典型攻击流程主要包括探测侦察、攻击入侵、病毒植入、实施勒索4个阶段。

1. 探测侦察阶段

（1）收集基础信息。 攻击者通过主动扫描、网络钓鱼以及在暗网黑市购买等方式，收集攻击目标的网络信息、身 份信息、主机信息、组织信息等，为实施针对性、定向化的勒索软件攻击打下基础。

（2）发现攻击入口。 攻击者通过漏洞扫描、网络嗅探等方式，发现攻击目标网络和系统存在的安全隐患，形成网 络攻击的突破口。此外，参照勒索软件典型传播方式，攻击 者同样可利用网站挂马、钓鱼邮件等方式传播勒索软件。

2. 攻击入侵阶段

（1）部署攻击资源。 根据发现的远程桌面弱口令、在网信息系统漏洞等网络攻击突破口，部署相应的网络攻击 资源，如 MetaSploit、CobaltStrike、RDP Over Tor 等网络攻击工具。

（2）获取访问权限。 采用合适的网络攻击工具，通过软件供应链攻击、远程桌面入侵等方式，获取攻击目标网络 和系统的访问权限，并通过使用特权账户、修改域策略设置 等方式提升自身权限，攻击入侵组织内部网络。

3. 病毒植入阶段

（1）植入勒索软件。 攻击者通过恶意脚本、动态链接 库 DLL 等部署勒索软件，并劫持系统执行流程、修改注册表、混淆文件信息等方式规避安全软件检测功能，确保勒索 病毒成功植入并发挥作用。

（2）扩大感染范围。 攻击者在已经入侵内部网络的情况

下，通过实施内部鱼叉式网络钓鱼、利用文件共享协议等方 式在攻击目标内部网络横向移动，或利用勒索软件本身类蠕 虫的功能，进一步扩大勒索软件感染范围和攻击影响。

4. 实施勒索阶段

（1）加密窃取数据。 攻击者通过运行勒索软件，加密图像、视频、音频、文本等文件以及关键系统文件、磁盘 引导记录等，同时根据攻击目标类型，回传发现的敏感、重 要的文件和数据，便于对攻击目标进行勒索。

（2）加载勒索信息。 攻击者通过加载勒索信息，胁迫攻击目标支付勒索赎金。通常勒索信息包括通过暗网论 坛与攻击者的联系方式、以加密货币支付赎金的钱包地址、支付赎金获取解密工具的方式等。

安全防护框架

由于不同的安全防护措施在勒索软件攻击的不同阶段发挥不同程度的作用，通过梳理勒索软件典型安全防护措施，按照核心防护措施（●）、重要防护措施（◎）、一般防护措施（○），与勒索软件攻击的4个阶段形成映射关系，构建形成勒索软件攻击安全防护框架。可根据自身情况，选择恰当的防护措施，防范化解勒索软件攻击风险。

核心防护措施

核心防护措施在特定勒索软件攻击阶段发挥核心防护作用，有效阻断勒索软件攻击行为或全面消除勒索软件攻击引发的特定影响等。例如，数据备份、数据恢复主要针对勒索软件攻击实施勒索的阶段，通过攻击前备份数据、攻击后恢复数据，消除由于勒索软件加密、窃取数据，引发数据丢失，甚至是业务中断等方面的攻击影响。

重要防护措施

重要防护措施在特定勒索软件攻击阶段发挥重要防护作用，但与核心防护措施相比，未能发挥全面防范应对勒索软件攻击的效果。例如，采取恰当的安全管理措施，如严格的网络隔离、访问控制等，在攻击者获取访问权限实施攻击入侵方面发挥核心防护作用，但在侦察探测的收集基础信息攻击阶段，攻击者可能采取主动网络探测、暗网 黑市购买等多种方式，安全管理在该阶段未能发挥全面防范 应对的效果，发挥重要防护作用。

一般防护措施

一般防护措施在特定勒索软件攻击阶段发挥一般的防护作用，但与核心防护措施和重要防护措施相比，仅能在一定程度上发挥防范应对勒索软件攻击的效果。例如，制定应急预案主要针对攻击者已经开始实施勒索软件攻击，明确应急处置机制、流程等，在已经发现遭受勒索软件攻击的情况，启动预案并采取措施应对攻击风险，但在勒索软件攻击发生前，安全防护措施主要以事前防范为主，因此制定应急预案在攻击者正式实施攻击前发挥一般防护作用。

防范勒索攻击建议与思考

由于勒索攻击具有高强度加密算法的难破解性,勒索赎金数字货币交易方式的隐蔽性无论是政府机构还是企业，一旦遭遇网络勒索攻击，其损失和后果则都是不可预知的，因此，防范勒索攻击的重点应在事前防御环节而不是放在遭受攻击后的解密环节。从企业和个人层面看，防范勒索攻击需要提升网络安全能力、进行数据备份、提高人员意识等多个方面，从总体上不断提升安全防护能力，不给勒索攻击以可乘之机。

聚焦安全前沿技术，提高防护能力

从技术层面讲，网络安全的前沿技术，如云原生安全、零信任等，可以及时检测到风险、更早识别勒索攻击。

构建云上安全，提升安全防御能力

产业互联网时代，企业在应对勒索攻击时，数据备份和恢复的重要性进一步凸显。云原生安全所具备的开箱即用、自适应等显著优势，将成为保障云平台和云上业务安全的重要基础。

通过零信任，降低被攻击风险

零信任假定所有身份、设备和行为都是不安全的，即使曾经有过被“信任”的经历，也要一视同仁，在接入时需要进行全程安全验证和检查。攻击者使用窃取到的账号信息登录VPN 或其他内部业务平台时，由于零信任采用多因子用户验证(即只有账号密码还不够，需要配合短信验证码、token、人脸识别等)，即使攻陷了企业的一台服务器，也无法致使勒索攻击扩散到其他服务器。零信任体系还能有效阻止黑客入侵后在内网扩散。攻击者可能控制某些脆弱的单点，当其通过已攻击的终端向网络内部更重要系统渗透时，零信任的安全机制可以及时检测到风险，从而帮助企业将风险控制在最小限度，不至于发生全网崩溃的严重后果。

构建安全前置能力，提升“免疫力”

“安全能力前置”解决勒索攻击的核心是构建提升自身的“免疫力”

增强人员安全意识，降低攻击风险

应对勒索攻击，增强员工安全意识与加强数据备份同等重要：对从业人员的安全意识安全素养的训练是长久、持续的过程。

增强安全意识

要加强安全知识的宣传力度，使从业人员对各种可能出现的可疑情况保持高度警惕。

一是不点击来历不明的邮件。勒索攻击者常利用受害者关注的热点新闻发送钓鱼网站，甚至会利用攻陷的受害者单位邮箱发送钓鱼网站。

二是不打开来源不可靠网站。色情、赌博等不良网站是勒索攻击者发起钓鱼、挂马的主要地点。

三是不安装来源不明软件。不安装来历不明或者陌生人发送的软件，警惕伪装成正常软件升级更新的勒索软件。

四是不插拔来历不明存储介质。不随便使用来历不明的U盘、移动硬盘或者闪存卡等移动存储设备。

同时，使用高强度且无规律登录密码，对于同一局域网内设备杜绝使用同一密码。加强网络隔离，限制不必要的访问通道。

加强数据备份

对于使用了非对称加密算法加密的文件，目前尚未找到有效的破解方法，一旦计算机遭到此类新型勒索软件的攻击只能坐以待毙，因而，必须在平日里就做好重要数据的备份工作，且最好使用本地存储和云端双备份的策略。同时，应严格限制对备份系统的访问权限防止勒索攻击横移对备份数据进行加密。

勒索软件自救工具

以下为日常搜集的勒索软件解密工具的汇总，先通过勒索软件索引引擎查找勒索软件相关信息，再通过各个安全公司提供的免费勒索软件解密工具解密。当然，能否解密全凭运气，so，平时还是勤打补丁多备份。

勒索软件搜索引擎

360勒索软件搜索引擎

http://lesuobingdu.360.cn

支持检索超过1000种常见勒索软件

腾讯勒索软件搜索引擎

https://guanjia.qq.com/pr/ls/

支持检索超过 1000 种常见勒索软件

VenusEye勒索软件搜索引擎（启明）

https://lesuo.venuseye.com.cn/

支持检索超过 300 种常见勒索软件

奇安信勒索软件搜索引擎

https://lesuobingdu.qianxin.com/

深信服勒索软件搜索引擎

https://edr.sangfor.com.cn/#/information/ransom_search

勒索软件解密工具集

很多安全公司都提供了免费的勒索软件解密工具下载，收集和整理相关下载地址，可以帮助我们了解和获取最新的勒索软件解密工具。

腾讯哈勃勒索软件专杀工具

https://habo.qq.com/tool/index

金山毒霸勒索软件免疫工具

http://www.duba.net/dbt/wannacry.html

火绒安全工具下载

http://bbs.huorong.cn/

瑞星解密工具下载

http://it.rising.com.cn/fanglesuo/index.html

nomoreransom勒索软件解密工具集

https://www.nomoreransom.org/zh/index.html

MalwareHunterTeam勒索软件解密工具集

https://id-ransomware.malwarehunterteam.com

卡巴斯基免费勒索解密器

https://noransom.kaspersky.com

Avast免费勒索软件解密工具

https://www.avast.com/zh-cn/ransomware-decryption-tools

Emsisoft免费勒索软件解密工具

https://www.emsisoft.com/ransomware-decryption-tools/free-download

GitHub勒索软件解密工具收集汇总

https://github.com/jiansiting/Decryption-Tools

osslab勒索软件解密工具

https://www.osslab.com.tw/nomoreransom/

botfrei勒索软件解密工具

https://www.botfrei.de/de/ransomware/galerie.html