网络安全宣传周 - 勒索软件

1.1 勒索软件：网络安全新风暴

勒索软件作为网络安全领域的重大威胁，近年来呈现出爆发式增长的态势。从数量上看，勒索软件家族不断增多，如趋势科技的安全报告显示，2016 年勒索软件家族的数量从 29 个增长至 247 个，上涨幅度达 752%。同时，攻击频次也在大幅增加，2017 年堪称勒索软件史上最臭名昭著的一年，每天发生的勒索攻击事件多达 4000 起，全年攻击事件数量较上一年翻了一倍。勒索软件的危害程度日益严重，不仅数量增幅快，而且针对关键基础设施和重要信息系统的勒索攻击，影响更为广泛。例如，WannaCry 和 NotPetya 勒索软件攻击，全球多个国家的金融、能源、医疗、教育等行业受到影响，造成了巨大的经济损失和社会影响。

1.2 应对策略：多维度防护体系构建

构建勒索软件防护体系需要从技术、管理、教育等多方面入手。技术方面，应采用多层防护的网络安全策略，如高级威胁防护、网关防病毒、入侵防御等多种防护手段相结合。同时，对加密网络流量的监测也至关重要，必须采取支持 SSL 监测的防护手段，检测 SSL 加密会话中存在的威胁。管理方面，要加强网络隔离，将关键的业务服务程序、数据和设备隔离到独立的网络中，防止来自网络的感染。此外，可靠的数据备份和恢复可以将勒索软件带来的损失最小化，但要对这些数据备份进行安全防护。教育方面，对员工和广大计算机用户进行持续的安全教育培训，让用户了解勒索软件的传播方式，提高风险识别能力和意识。

1.3 风险挑战：持续演进的威胁

勒索软件不断变化带来了巨大的风险挑战。一方面，勒索软件变种迅速，攻击数量大幅增长。根据统计，勒索软件变种的数量增加了 46%。另一方面，勒索攻击的方式也在不断演变，从传统的加密数据向无加密攻击演变，攻击者不再加密受害者的文件，转而专注于窃取敏感数据作为勒索的筹码。此外，随着人工智能的发展，勒索软件攻击者开始利用 AI 功能，使攻击更加复杂高效，传统的网络安全措施更难检测和防止此类攻击。面对这些持续演进的威胁，我们必须保持警惕，不断加强网络安全防护体系的建设。

二、市场态势剖析

2.1 宏观环境与勒索软件增长

2.1.1 网络安全形势驱动勒索软件演变

当前，网络安全形势日益严峻，为勒索软件的发展提供了肥沃的土壤。随着人工智能技术的崛起，网络攻击手段更加复杂多样，勒索软件也借此机会不断演变。卡巴斯基亚太区董事总经理 Adrian Hia 指出，2024 年网络威胁形势依然严峻，勒索软件的泛滥以及针对 iOS 设备的新型威胁“三角行动”的出现，使得企业和个人用户必须时刻保持警惕。此外，网络安全领域新兴的攻击手段开辟了更多攻击途径，增加了威胁的复杂性，也为勒索软件的传播提供了更多可能。例如，75%的网络攻击尝试利用了 Microsoft Office 软件的漏洞，成功的攻击大多是通过公开可用的应用程序（42.3%）和被入侵的账户（20.3%）实施的，远程桌面协议（RDP）攻击、钓鱼邮件以及公共资源上的恶意文件也是常见的攻击手段。这些都表明，当前网络安全形势的变化直接驱动了勒索软件的演变，使其更加难以防范。

2.1.2 行业数字化进程与勒索风险

各行业在数字化转型过程中，面临着巨大的勒索软件风险。随着数字化转型和新兴技术在各行业广泛应用，网络安全威胁对现代企业的业务运营和生产活动产生了日益深远的影响。例如，金融行业在数字化转型过程中，业务数据量爆发，企业开始使用公有云服务，员工也因疫情时常居家办公，人员逐渐移动化，开始使用网上银行。在此背景下，金融行业面临非常大的挑战，也是网络攻击的首要目标，因为金融行业的客户拥有大量的金融资产和数据资产，受到攻击后，黑客能够比较容易地获得更多利益。此外，医疗、教育等行业在数字化转型过程中，也面临着勒索软件的威胁。例如，美国亚特兰大市政系统的服务器成为勒索软件攻击的目标，攻击事件影响了多个部门，并导致处理付款和传递法院信息的政府网站瘫痪。亚特兰大市政府虽并未支付黑客索取的 5.1 万美元赎金，但此次攻击给该市带来了至少 270 万美元的直接经济损失。

2.2 行业全景解码

2.2.1 行业现状全维度扫描

勒索软件的种类繁多，传播方式多样，影响范围广泛。从种类上看，勒索软件包括 Locker 勒索软件、数据勒索软件、双重勒索软件、三重勒索软件、勒索软件即服务（RaaS）等。其中，RaaS 以服务租用方式为攻击者提供勒索软件，开发者从支付的赎金中获得一定比例的分成，扩大了潜在攻击者的范围，即使是非技术人员也更容易对公司发动复杂的攻击。从传播方式上看，勒索软件主要通过网页木马传播、与其他恶意软件捆绑发布、作为电子邮件附件传播、借助可移动存储介质传播等方式进行传播。例如，勒索软件可以利用钓鱼邮件传播，攻击者发送看似正常的电子邮件，附件中却包含勒索软件，一旦用户打开附件，勒索软件就会在后台运行。从影响范围上看，勒索软件攻击无差别地影响着全球各个行业和领域、各类网络用户以及各种设备类型，给社会带来严重的不利影响。例如，2017 年 WannaCry 勒索软件攻击全球超过 150 个国家，金融、能源、医疗、教育等多个行业受到影响。

2.2.2 竞争格局多维透视

不同勒索软件团伙及攻击模式的竞争态势日益激烈。一方面，勒索软件团伙不断涌现，如 LockBit、ALPHV、BlackBasta 和 AvosLocker 等领先的勒索软件集团正在开拓新的规避技术来避免检测，例如利用设备上的安全模式重启功能，许多安全解决方案可能无法在安全模式下运行或功能有限，从而更容易在不被检测或干扰的情况下加密文件。另一方面，攻击模式也在不断变化，从传统的小型团伙单兵作战，转变为模块化、产业化、专业化的大型团伙作战。例如，RaaS 的盛行造成勒索攻击覆盖面更广，危害程度显著增加；对于勒索攻击的目标，也从过往的广撒网蠕虫式攻击升级成为针对政府、关键信息基础设施、各类企业的定向攻击；从勒索方式来看，现代勒索攻击已经从传统的支付赎金恢复数据的勒索方式，演化为同时开展双重勒索，甚至三重勒索。

2.3 市场趋向精准把脉

2.3.1 技术前沿动态追踪

勒索软件技术不断发展，AI 赋能等趋势日益明显。勒索软件组织利用 AI 的主要方式之一是创建更复杂的钓鱼技术，如类似域名或欺诈性电子邮件，提高诱骗受害者的成功率。此外，AIGC 快速发展进一步赋能勒索软件提升攻击效能，通过自动化技术，AIGC 能够更快地发现并利用软件漏洞，使勒索软件能够更快地传播和感染系统。例如，在 2023 年，HYAS 研究人员通过一个叫 BlackMamba 的实验展示了如何结合人工智能和自动化技术来创建更难检测的恶意软件。这个恶意软件能够通过正常的通信工具（如 MSTeams）发送攻击指令，并利用 AI 实时生成新的代码，逃避安全软件的检测。

2.3.2 受害者行为演变洞察

受害者在应对勒索软件攻击时的行为也在不断变化。一些受害者选择支付赎金以恢复数据，但也有受害者采取其他措施。例如，勒索软件攻击的一个受害者托比亚斯 Frömel 在支付赎金后，决定将自己的技能运用到报仇中。他分析赎金软件，从黑客的服务器中检索数据库，并创建了一个在线发布的文本文件，其中包含针对该攻击的近 3000 名受害者的 2858 个解密密钥，使受害者能够使用解密密钥来解锁文件。此外，随着勒索软件攻击的增多，企业也更加重视网络安全，采取了一系列措施来降低风险，如建立可靠的数据备份协议、开展网络意识培训、部署零钓鱼技术、加强用户身份认证、重在预防等。

三、产品研究

3.1 勒索软件功能分析

3.1.1 文件加密机制研究

勒索软件的文件加密方式多种多样，常见的有对称加密、非对称加密和混合加密。例如，一些勒索软件采用高级加密标准（AES）进行对称加密，其特点是加密速度快，但密钥容易泄漏。部分攻击者会将对称密钥远程发送至服务器并删除本地记录，以提高解密难度，但也增加了服务器被攻击的风险。还有一些勒索软件使用非对称加密算法，如 RSA，公钥用于加密文件，私钥用于解密，这种方式虽然安全性较高，但加密速度较慢。混合加密则结合了对称加密和非对称加密的优点，先用对称加密算法快速加密文件，再用非对称加密算法加密对称密钥，保证密钥的安全传输。

不同勒索软件的加密特点也各不相同。比如，有的勒索软件会在加密过程中删除磁盘卷影，防止用户恢复数据；有的会关闭特定服务，避免影响加密；还有的会遍历进程，结束可能占用文件的进程，以确保加密顺利进行。

3.1.2 信息窃取与传播途径

勒索软件的信息窃取手段多样。一些勒索软件会在攻击目标时，最开始通过 WEB 漏洞、端口爆破、社会工程学三种方式获取权限。进入系统后，可能会利用系统漏洞和错误配置来获取更高级别的权限，如从 LSASS（本地安全机构子系统服务）进程检索散列凭据。

传播途径主要包括网页木马传播、与其他恶意软件捆绑发布、作为电子邮件附件传播、借助可移动存储介质传播等。例如，勒索软件可以通过欺骗性电子邮件传播，诱使员工下载恶意 JavaScript 文件，一旦进入系统，就会建立立足点，为进一步的恶意活动奠定基础。还有一些勒索软件会利用漏洞在网络中传播，如新型勒索病毒 Checkmate 针对 NAS 设备发起攻击，主要集中在启用了 SMB 服务且暴露在互联网中的设备上，尤其是登录口令较弱的帐户容易沦陷。

3.2 典型勒索软件案例剖析

3.2.1 Dagon Locker 案例分析

网络安全专家仔细追踪了一次复杂的勒索软件攻击，从最初的漏洞利用到部署 Dagon Locker 勒索软件历时了 29 天。攻击始于通过 IcedID 进行网络渗透，该恶意软件通过欺骗性电子邮件传播，诱使员工下载恶意 JavaScript 文件。一旦进入系统，IcedID 通过与命令和控制服务器通信建立立足点，为进一步的恶意活动奠定基础。

在接下来的几天里，攻击者部署了各种工具来保持持久性并在网络上横向移动，如 Rclone、Netscan、Nbtscan、AnyDesk、Seatbelt、Sharefinder 和 AdFind 等工具用于侦察网络环境并为最终有效负载做好准备。攻击者利用系统漏洞和错误配置来获取更高级别的权限，将新创建的用户帐户添加到特权活动目录组中，提升权限以操纵系统进程并访问网络的受限区域。

攻击者还采用各种技术来避免检测，包括混淆其恶意软件、禁用安全措施以及使用合法的管理工具。IcedID 将自身注入 svchost.exe，确保他们继续存在于网络中。一旦进入网络，攻击者就会进行监视以识别有价值的资产和数据，并利用窃取的凭据和工具在网络中横向移动，最终部署 Dagon Locker 勒索软件。

3.2.2 BianLian 勒索病毒解析

BianLian 勒索病毒为 Golang 语言编写，样本运行后，会从 A 盘到 Z 盘识别系统驱动器信息，并从系统中提取可用的文件，便于后续加密行为。在加密行为开始前，会在多个目录中创建名为“look at this Instruction.txt”的带付款说明的文本文件。

BianLian 勒索病毒主要使用 AES CBC 算法对文件进行加密，从待加密原始文件中读取指定大小数据块，调用 AES CBC 算法对数据块内容进行加密，将加密后的数据块内容写入原始文件中，然后使用“.bianlian”后缀重命名加密文件。

此外，网络中有报告称 avast 安全公司发布了免费的 BianLian 勒索软件解密器，这表明 BianLian 勒索软件可能只调用了 AES 算法，未调用 RSA 算法进行加密。

3.2.3 Junk gun 勒索软件揭秘

Junk gun 勒索软件大多是一次性购买的，而不是典型的基于附属机构的勒索软件即服务（RaaS）模型。价格相对便宜，从 20 美元到 0.5 BTC（约合 13000 美元）不等，平均价格中位数为 375 美元，平均价格为 402.15 美元（不包括价格为 0.5 BTC 的 Ergon）。

Junk gun 勒索软件允许犯罪分子廉价、轻松、独立地参与行动，瞄准那些不太可能有资源来保护自己的小公司和个人，同时还无需与其他人分享勒索收益。一些人声称在现实世界的攻击中使用了 Junk gun 勒索软件，他们在没有使用内部攻击库的情况下独立完成了整个攻击链。

2023 年 6 月至 2024 年 2 月期间，研究人员在 4 个论坛上观察到了 19 种 Junk gun 勒索软件，这些勒索软件要么在售，要么正在开发中。例如，CatLogs 勒索软件具有信息窃取器、RAT、勒索软件、键盘记录器等特性；HardShield 勒索软件开源且免费，采用 AES128+RSA 加密，能删除影子副本、线程、自我删除等。

四、竞争格局

4.1 勒索软件团伙竞争态势

4.1.1 传统团伙与新兴团伙对比

传统勒索软件团伙通常拥有较为成熟的攻击手段和策略，他们在攻击目标的选择上可能更加倾向于大型企业和关键基础设施，以获取高额赎金。例如，Conti 勒索软件团伙从 2018 年开始就长期活跃，经常采用“双重勒索”方法，不仅勒索赎金，还泄露被攻击企业的敏感数据。而新兴勒索软件团伙则表现出一些不同的特点。随着 BlackCat(ALPHV)在三月的关闭和 LockBit 基础设施在二月的执法威慑，勒索软件生态系统中出现了一个空白，这个空白很快被经验较少的团伙填补。像 Play 勒索软件团伙，自 2022 年以来一直存在，但现在利用了更大对手的消失，可能吸引了一些他们的附属公司，取代了 LockBit，成为 2023 年顶级勒索软件即服务(RaaS)操作。此外，还有一些新的团伙以其工具或增长而引人注目，如一个名为 Muliaka 的团伙，主要针对俄罗斯组织，在勒索软件生态系统中这是一个不寻常的目标选择，该团伙似乎在使用一个版本的 Conti 文件加密恶意软件，该版本于 2020 年在网上泄露，并通过劫持目标组织使用的防病毒程序中的一个功能来部署。

4.1.2 攻击目标与策略差异

不同的勒索软件团伙在攻击目标和策略选择上存在显著差异。一些团伙专注于特定行业，如 DoppelPaymer 勒索软件团伙主要以北美地区的组织机构为攻击目标，经常针对石油公司、汽车制造商以及医疗保健、教育和急救服务等关键行业。而另一些团伙则没有特定的行业偏好，采取广撒网的方式进行攻击。在策略选择方面，有的团伙采用“双重勒索”策略，如 LockBit 勒索软件团伙，在加密文件的同时窃取公司数据，以威胁受害者支付赎金。还有的团伙则通过创建专门针对特定受害者的信息披露网站，来向受害者施加更大压力，如 RansomHub 勒索软件团伙威胁要在他们的品牌数据泄漏网站(DLS)上出售泄露的数据，并声称数据已经售出，这种独特方法给受害组织带来了固有压力，迫使他们与团伙达成协议。

4.2 市场份额与影响力分析

4.2.1 主要勒索软件家族占比

根据 360 安全卫士发布的勒索软件流行态势分析报告，2024 年 7 月勒索软件受害者设备所中病毒家族进行统计：TargetCompany(Mallox)家族占比 36.02%居首位，第二的是 Makop 占比 22.46%，Anony 家族以 12.29%位居第三。对本月受害者所使用的操作系统进行统计，位居前三的是：Windows 10、Windows Server 2008 以及 Windows Server 2012。2024 年 7 月被感染的系统中桌面系统和服务器系统占比显示，受攻击的系统类型桌面 PC 与服务器平台的攻击比例基本相当。此外，2023 年 10 月勒索软件受害者设备所中的病毒家族进行统计：Phobos 家族占比 26.58%居首位，第二的是占比 15.82%的 BeiJingCrypt，TargetCompany(Mallox)家族以 13.29%位居第三。

4.2.2 影响力评估指标构建

评估勒索软件家族的影响力可以从多个方面构建指标体系。首先，攻击的频率和范围是重要的指标之一。频繁攻击且攻击范围广泛的勒索软件家族通常具有较大的影响力。其次，攻击目标的重要性也会影响影响力的评估。如果勒索软件团伙攻击的是关键基础设施、大型企业或政府机构等重要目标，那么其影响力往往较大。此外，赎金金额的高低也可以作为一个指标。勒索金额在数百万到近亿美元的勒索案件不断出现，那些能够成功勒索高额赎金的勒索软件家族通常具有较强的影响力。最后，数据泄露的风险也是评估影响力的重要因素。通过双重勒索或多重勒索模式获利的勒索软件家族，带来的数据泄露风险越大，其影响力也可能越大。

五、监管政策

5.1 国内外监管动态

5.1.1 国内政策法规解读

在国内，网络安全建设不断完善。《网络安全法》规定，网络产品、服务的提供者发现其网络产品、服务存在安全缺陷、漏洞等风险时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。2021 年 7 月，工业和信息化部、国家互联网信息办公室、公安部联合印发《网络产品安全漏洞管理规定》，要求网络产品提供者发现或者获知所提供网络产品存在安全漏洞后，对属于其上游产品或者组件存在的安全漏洞，应当立即通知相关产品提供者；在 2 日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息；对于需要产品用户（含下游厂商）采取软件、固件升级等措施的，应当及时将漏洞风险及修补方式告知，并提供必要的技术支持。

此外，国家互联网信息办公室会同公安部等有关部门日前起草了《网络安全威胁信息发布管理办法（征求意见稿）》，明确发布网络安全威胁信息，应坚持客观、真实、审慎、负责的原则，不得利用网络安全威胁信息进行炒作、牟取不正当利益或从事不正当商业竞争。发布的网络安全威胁信息不得包含计算机病毒、木马、勒索软件等恶意程序的源代码和制作方法等内容。

5.1.2 国际监管趋势探讨

国际上，许多国家也在加强对勒索软件的监管。2021 年美国白宫发布《国家安全战略临时指导方针》，将提升网络安全作为美国政府首要任务，并建立新的网络空间安全和新兴技术局（CSET），推动网络安全国际间协作。美国众议院通过《关键基础设施网络事件报告》法案，要求关键基础设施所有者和运营商需要向网络安全和基础设施安全局（CISA）报告网络事件和勒索软件付款。

澳大利亚政府在 2020 年制定网络安全战略，计划投资 16.7 亿美元建立新的网络安全和执法能力。2021 年 12 月，澳大利亚《2018 年关键基础设施安全法案》修正案正式生效，新的法案引入了网络安全事件强制性报告义务，要求责任实体必须在意识到网络事件对关键基础设施资产可用性产生“重大影响”后的 12 小时内报告。

5.2 政策对行业的影响

5.2.1 合规压力与企业应对

政策给企业带来了较大的合规压力。企业需要依法报告网络安全事件，增强自身的安全系统建设，从软硬件设备、机制管理等方面形成成熟的安全防控体系。同时，在出现事故后，企业要对安全问题进行更为详细和全面的溯源，分析安全弱点与问题原因，还原事故发生的来龙去脉。

企业可以采取以下措施应对合规压力。首先，做好资产梳理与分级分类管理，建立完整的资产清单，识别关键业务和关键系统，确定应急响应的优先级。其次，备份重要数据和系统，采取隔离措施，严格限制对备份设备和备份数据的访问权限。再者，设置复杂密码并保密，定期安全风险评估，常杀毒、关端口，做好身份验证和权限管理，严格访问控制策略，提高人员安全意识，制定应急响应预案。

5.2.2 对勒索软件发展的制约

监管政策对勒索软件的发展起到了一定的限制作用。一方面，强制报告义务使得勒索软件攻击事件更容易被发现和追踪，增加了攻击者的风险。另一方面，对网络安全漏洞的管理要求，促使企业和软件提供商加强安全防护，减少了勒索软件的攻击入口。此外，对支付赎金行为的限制，也在一定程度上遏制了勒索软件攻击的恶性循环。

然而，勒索软件攻击仍然不断演变，监管政策需要不断跟进和完善。同时，企业和个人也需要提高网络安全意识，采取有效的防护措施，共同应对勒索软件的威胁。

六、其他影响因素

6.1 技术发展的双重影响

6.1.1 AI 对勒索软件的促进与挑战

AI 技术在勒索软件中的应用日益广泛，给网络安全带来了新的挑战。一方面，勒索软件攻击者利用 AI 技术创建更复杂的钓鱼技术，提高诱骗受害者的成功率。例如，通过生成类似域名或欺诈性电子邮件，使得受害者更难辨别真伪。同时，AIGC 快速发展进一步赋能勒索软件提升攻击效能，能够更快地发现并利用软件漏洞，使勒索软件能够更快地传播和感染系统。在 2022 年，一次破坏性的勒索软件攻击需要 233 天才被识别，91 天才被遏制，其总生命周期为 324 天，而随着 AI 技术的应用，攻击的隐蔽性和复杂性进一步增加，识别和遏制的时间可能会更长。

另一方面，AI 技术也为应对勒索软件带来了新的机遇。例如，使用 NVIDIA DPU 和 GPU 进行勒索软件行为检测，开发者可以利用 NVIDIA BlueField DPU、支持 DOCA App Shield 的 NVIDIA DOCA SDK 和 NVIDIA Morpheus 网络安全人工智能框架等先进技术来构建解决方案，以更快地检测勒索软件攻击。深信服科技首席安全官周欣在第四届国际反病毒大会上也展示了人工智能在网络安全上的实践与创新，提出以人工智能为核心，建立纵深立体化防御体系，对抗未知勒索软件攻击。通过“魔法”打败“魔法”，利用 AI 技术防御勒索软件，尤其是未知勒索软件，是应对勒索攻击的最佳实践。

6.1.2 安全技术进步的对抗作用

安全技术的进步对勒索软件起到了一定的对抗作用。例如，企业可以采用先进的威胁检测系统，使用 AI 在潜在威胁来袭之前识别它们。还可以采用自动响应解决方案，保护受感染系统和网络上的数据，防止勒索软件的横向传播。同时，企业应尽快“打好”补丁程序，据 Ponemon Institute 的数据显示，在经历过数据泄露事件的受访者中，仅 60% 的受访者表示，他们在收到相应的补丁程序后选择了加载运行。企业应尽快将系统更新至最新状态，并确保在迁移至新版软件时仍可实时访问补丁程序，做好万无一失的防护。

此外，企业还应始终做好备份计划，创建独立、离线的数据备份副本，以确保其数据不受任何攻击的影响。同时，组织也需要主动监控和限制备份凭据，同时频繁地运行备份以降低潜在数据丢失的风险。定期对其勒索软件防御体系进行重复测试、压力测试，确保组织备份策略能够与时俱进、发挥成效。

6.2 行业合作与对抗

6.2.1 企业与安全机构的合作模式

企业与安全机构在应对勒索软件时可以采取多种合作方式。一方面，企业可以购买安全机构提供的先进网络安全工具，如美国政府采购尖端的网络安全工具，为私营部门树立榜样，加强国家的网络基础设施。这些工具的有效性已经在各种网络安全战场上得到了测试和证明，能够增强政府和公司的防御能力，刺激网络安全行业，鼓励创新和开发更有效的防御措施。

另一方面，企业可以与安全机构开展合作，制定新的标准、最佳实践，并调整商业工具以供政府使用，确保尽可能提供最强有力的保护。例如，政府机构可以与尖端技术公司合作，制定新的标准、最佳实践，并调整商业工具以供政府使用，确保尽可能提供最强有力的保护。这种合作还可以促进扩大信息共享，使双方都能够领先于新出现的威胁，并共同加强国家的网络防御。

6.2.2 勒索软件团伙之间的竞争与合作

勒索软件团伙之间既存在竞争关系，也存在合作关系。一方面，不同的勒索软件团伙在攻击目标和策略选择上存在竞争。例如，一些团伙专注于特定行业，而另一些团伙则采取广撒网的方式进行攻击。在策略选择方面，有的团伙采用“双重勒索”策略，而有的团伙则通过创建专门针对特定受害者的信息披露网站，来向受害者施加更大压力。

另一方面，勒索软件团伙之间也存在合作关系。例如，一些勒索软件团伙开始销售勒索软件，允许技术知识较少的犯罪分子自己发动攻击，形成了“勒索软件为服务”的独立经济模式。此外，勒索软件团伙还可能会共享攻击工具和技术，提高攻击的效率和成功率。例如，研究人员发现，BianLian 勒索软件团伙与 Makop 勒索软件团伙共享了攻击工具，这暗示了二者间可能存在联系。

七、风险分析

7.1 风险精准甄别

7.1.1 技术风险识别

勒索软件在技术层面存在诸多潜在风险。首先，系统漏洞是勒索软件攻击的常见入口，如软件更新不及时可能导致漏洞被利用。据统计，约 75%的网络攻击尝试利用了 Microsoft Office 软件的漏洞。其次，加密技术的不断升级使得解密难度增大，一些勒索软件采用混合加密方式，先用对称加密算法快速加密文件，再用非对称加密算法加密对称密钥，增加了受害者恢复数据的难度。此外，勒索软件可能会删除磁盘卷影，防止用户恢复数据，还会关闭特定服务、结束可能占用文件的进程，以确保加密顺利进行，这给数据恢复带来了极大挑战。

7.1.2 管理风险分析

在企业管理方面，勒索软件风险主要体现在以下几个方面。一是员工安全意识不足，可能会点击来源不明的电子邮件附件、从不明网站下载软件，或者轻易打开可疑文件，为勒索软件入侵提供机会。例如，有 55%的受访者表示，网络钓鱼电子邮件仍然是攻击者访问其组织的最常见方法。二是内部网络管理不善，如未严格控制网络访问权限，未进行有效的网络隔离，可能导致勒索软件在网络中横向传播。三是数据备份管理不规范，若备份不及时、备份数据未妥善保存或未进行安全防护，在遭受勒索软件攻击时可能无法有效恢复数据。

7.2 风险综合评估

7.2.1 风险量化模型构建

构建勒索软件风险量化模型可以从多个维度进行。可以考虑攻击频率、攻击范围、数据重要性、赎金金额、数据泄露风险等因素。例如，攻击频率高、影响范围广的勒索软件风险得分较高；涉及关键数据的攻击风险也相应增加；赎金金额越高，风险越大；而通过双重勒索或多重勒索模式获利的勒索软件，由于数据泄露风险大，风险得分也会显著提高。可以为每个因素设定相应的权重，通过加权计算得出总体风险得分，从而对勒索软件风险进行量化评估。

7.2.2 风险影响范围评估

不同风险对企业和社会的影响范围各不相同。从企业角度看，勒索软件攻击可能导致数据丢失、业务中断、经济损失和声誉受损。以台积电为例，勒索病毒入侵导致生产线停摆，造成 1.7 亿美元左右的经济损失。同时，企业的声誉也会受到影响，客户可能对其安全性产生质疑，从而影响业务合作。对社会而言，勒索软件攻击可能影响关键基础设施，如医疗、能源、交通等领域，给社会正常运转带来严重影响。例如，WannaCry 勒索软件攻击全球多个国家，导致医疗体系部分医疗机构被迫取消手术安排，交通调度系统受到影响。

7.3 风险应对妙方

7.3.1 技术防护手段推荐

应对勒索软件的技术防护措施包括以下几个方面。一是采用多层防护的网络安全策略，如高级威胁防护、网关防病毒、入侵防御等多种防护手段相结合，对加密网络流量进行监测，支持 SSL 监测的防护手段，检测 SSL 加密会话中存在的威胁。二是加强网络隔离，将关键的业务服务程序、数据和设备隔离到独立的网络中，防止来自网络的感染。三是部署安全软件，如杀毒软件、反恶意软件工具等，能够有效地检测和清除潜在的威胁，提供实时的安全保护。四是利用数字证书，通过验证软件的来源和完整性，实现身份的验证和数据的加密传输，为网络安全提供保障。

7.3.2 应急响应策略制定

企业在遭受勒索软件攻击时应制定应急响应策略。首先，立即隔离被感染设备，进行断网、关机，防止感染扩散。然后，对感染情况进行分析，检查核心业务系统是否受到影响，评估数据泄露风险。接着，可通过恶意程序留下的勒索信息、被加密的文件等借助工具对勒索软件进行分析，并求助专业人员对攻击方式进行排查。同时，考虑利用泄露的私钥破解或从其他渠道获取解密方法。此外，企业应尽快启动备份数据恢复工作，确保业务尽快恢复正常。最后，在事件处理后，要对整个攻击过程进行复盘，总结经验教训，完善网络安全防护体系。