《从八个方面认识勒索攻击和危害》之五：四种主要勒索类型

时间： 2021年11月08日来源：安天

早期的勒索攻击几乎都是以加密数据为主，且与勒索攻击相关的信息大多都围绕加密说明；所以，至今仍有部分用户认为勒索攻击就只是数据加密，进而以为，就算前台没有做好安全防护措施，后台只需备份好数据也没问题。而事实上，如今的勒索攻击已经在早期的“数据加密”之上，发展出了包括窃取数据、曝光数据（泄露或出售）、数据破坏等在内的更多勒索攻击类型，不仅直接加大了整个勒索攻击产业链的威胁危害，也对用户的信息资产安全防护提出了新的挑战。

本期内容里，安天垂直响应服务平台运营组将主要介绍目前较为主流的四种勒索攻击类型，并辅以案例说明，旨在认清勒索攻击类型的发展，共同提升安全认知。

勒索攻击专题

《从八个方面认识勒索攻击和危害》之一：勒索攻击中的四种分工角色

《从八个方面认识勒索攻击和危害》之二：勒索攻击的两种典型模式

《从八个方面认识勒索攻击和危害》之三：惯用传播方式与侵入途径

《从八个方面认识勒索攻击和危害》之四：“勒索攻击杀伤链”分析

一、加密类

攻击者通常会使用多种加密算法，对用户文件（包括用户主机系统内的照片、图片、文档、音频、视频等几乎所有攻击者关注的文件）、磁盘主引导记录、卷引导记录甚至整个磁盘本身进行加密，最终导致用户无法读写文件、访问磁盘、正常使用或启动设备。

受害者数据一旦被加密，除了极少部分数据因为加密算法逻辑错误等因素存在解密的可能性外，大部分情况下，数据恢复都只存在理论可能，实际上基本无法硬解。

主流的勒索软件家族几乎都会在攻击中执行加密操作，加密可以看作是攻击者的共同攻击方式之一，比如曾造成全球范围影响的“魔窟”（WannaCry）就是通过加密实施勒索，受到攻击的设备中的照片、图片、文档、压缩包、音频、视频、可执行程序等几乎所有类型的文件，被加密的后缀名被统一修改为“.WNCRY”。

另有一些攻击者会在加密基础上，以不支付赎金就发动DDos攻击作为威胁，向受害者实施勒索。

注：DDos攻击可以让多台计算机在同一时间遭受攻击，造成设备无法正常使用。

二、窃密+泄密类

此类攻击与加密类攻击的不同点在于，攻击者会在加密之前，先窃取受害者的数据资料，在确保其窃取的数据完全回传至指定服务器后，再对数据及受害者设备实施加密。

之后攻击者会详细筛查、甄别用户及数据资料的勒索价值，除了勒索解密外，还会以公开、泄露、出售重要数据等为由进行多重威胁施压，逼迫用户支付赎金；若用户不支付赎金，攻击者甚至会继续攻击窃密数据中涉及到的相关人员或组织。

受害者即使对数据进行了备份而不受加密威胁，也会遭受攻击者数据“曝光数据”和“攻击相关人”的威胁。

注：此类多见于定向勒索攻击，详见系列第二篇《勒索攻击的两种典型模式》。

比如，2021年3月20日，知名电脑制造商宏碁遭遇REvil勒索软件威胁攻击，攻击者索要5000万美元赎金（约3.3亿人民币），否则就公开被窃取和加密的数据；这些数据包括了宏碁公司的数据库数据、客户记录等等。10月，宏碁公司再次遭遇REvil的攻击，其印度分公司的售后服务系统遭到破坏，超60GB的文件与数据被窃取。这次，攻击者仍然以泄密为条件，要挟宏碁公司支付赎金，但金额没有披露^[1]。

三、锁定类

锁定类的攻击会全屏锁定用户设备的屏幕，并显示包含勒索信息的图像、文字，或伪装成系统出现蓝屏错误，直接导致用户无法登录和使用设备（系统组件同时会被禁用），进而勒索用户支付赎金。万幸的是，此类型勒索攻击一般不会加密用户数据，具备一定的数据恢复可能。

此外，锁定类勒索攻击还存在于移动端。2017年，安天移动安全团队曾对冒充为“抢红包神器”的勒索软件进行过跟踪与分析^[2]，此类勒索软件通过强制锁屏对用户实施勒索，一旦启动则立即置顶勒索界面，并“禁用”手机正常按键功能，且只能输入“解锁密码”（一串数字），造成用户无法正常使用手机，同时在置顶界面上提示用户支付赎金以解锁手机。

四、破坏类

破坏类勒索攻击不会对文件执行加密操作，而是用随机字符覆写文件，永久性地破坏用户数据。在破坏数据之后，攻击者仍然会索要赎金。

安天曾发现过一个采用.NET框架开发的名为Combo13的勒索软件^[3]。该勒索软件变种最早于2021年4月被发现，主要通过垃圾邮件进行传播。Combo13并未采用加密算法进行文件加密，而是采用随机字节数据覆盖的方式覆盖文件全部原始数据，从而造成文件数据的彻底损坏。无论受害者是否支付赎金，攻击者都无法为受害者恢复文件。

此外，这类攻击还会对关基设施、工控系统造成破坏，比如，通过破坏系统文件进而导致设备无法使用。

需要重点指出的是，为了达到勒索效果最大化的目的，目前已有攻击者会将上述几种类型的攻击混合使用，致使勒索攻击呈现出“多重勒索模式”的发展趋势。安天垂直响应服务平台运营组也将在本系列后续的“勒索攻击趋势”篇中分析介绍。

补充信息：为什么说数据被勒索软件加密后基本无解？

常用的加密方式包括：对称加密与非对称加密。

对称加密是最快速、最简单的一种加密方式，加密（encryption）与解密（decryption）用的是同样的密钥（secret key）。常见的对称加密算法包括DES、3DES、AES等。

而非对称加密在加密和解密时用的是不同的密钥。它使用了一对密钥——公钥和私钥。当甲向乙发送信息时，甲使用乙的公钥进行加密。乙收到信息后，用自己的私钥进行解密。在非对称加密中，私钥只能由自己保存，而公钥可以发给任何请求它的人。常见的非对称加密算法包括RSA（RSA是企业级应用标准，很多第三方的加密软件都使用RSA加密）、ECC（椭圆曲线加密算法）等。

正常情况下，除部分存在编程逻辑错误的文件可以解密或恢复以外，用非对称算法加密过的数据都难以解密还原。而现实中，攻击者往往并不局限于使用一项加密算法，譬如使用“AES+RSA”、“AES+RSA+ChaCha20”等混合加密手段，令解密难度呈倍数增加。

以往被勒索软件加密后可恢复的方法主要有四种方式：

1. 加密数据时未释放内存中的对称加密算法密钥；

2. 未删除卷影可进行磁盘文件恢复；

3. 存放密钥的服务器被反制或泄露，密钥公开；

4. 攻击者主动放出密钥。

不要支付赎金

用户若遭遇勒索攻击，应在第一时间与安全厂商或安全团队取得联系，在专业的指导下进行应急处理，把损失降到最低，尽量不支付赎金。

原因有二：

一方面，安天在应急处理勒索攻击事件中，出现过受害者支付了赎金，却并没有得到解密的案例；有些攻击者甚至还会将数据出售或直接破坏，让受害者“钱货两空”加倍受损。

譬如前文提到的“魔窟”（WannaCry），其背后组织者虽然声称支付赎金即可解密，但该团伙只有收款通道，并不能够对已支付赎金的目标进行识别，也就是说，他们根本就不知道谁付了钱，当然也就无从提供解密。

另一方面，面对犯罪活动时的不妥协，是对正义的支持；支付等于变相鼓励勒索。攻击者本质上是没有技术正义感和基本商业伦理的网络犯罪分子，绝不可信，应坚决打击。

注：多国政府声明将从法律层面禁止支付勒索赎金。

2021年10月，美、欧、澳、法、加、日等超过30个国家在反勒索攻击倡议在线会议后发表联合声明：将阻止使用加密货币支付赎金，以打击勒索软件团伙。在此之前，美国财政部外国资产控制办公室（OFAC）发布咨文，警告机构不要向勒索软件支付赎金，并声称此举存在违反政府对网络犯罪集团或国家黑客施加经济制裁的法律风险。一些美国州的立法机构谈论可能限制或禁止向勒索软件支付赎金的法案^[4]。

下期预告

下期将介绍勒索攻击的主要特征，敬请期待。

附件：安天智甲5+2防护，构筑端点系统侧安全防线

▲ 智甲终端防护系统防御勒索病毒原理示意图

智甲针对勒索攻击构建了“五层防御，两重闭环”的防护解决方案。五层防御即系统加固、（主机）边界防御、扫描过滤、主动防御、文档安全五个防御层次，两重闭环是EPP（端点防护）实时防御闭环，和EDR（端点检测和响应）准实时/异步防御闭环。

安天智甲终端防御系统防护勒索病毒的机理表
防护层级	技术原理
系统加固	通过基线和补丁检查功能，实现对系统配置脆弱点的检查修补、补丁加固和系统自身安全策略调整等，从而减少包括开放端口、弱口令、不必要的服务等勒索攻击的暴露面，削弱漏洞利用的成功率。
（主机）边界防御	通过分布式主机防火墙和介质管控功能，拦截扫描、入侵数据包，阻断攻击载荷传输，拦截U盘、光盘等插入自动运行，使勒索攻击难以获得主机入口。
扫描过滤	基于安天AVL SDK反病毒引擎对文件对象、扇区对象、内存对象、注册表数据对象等进行扫描，判断检测对象是否是已知病毒或者疑似病毒，从而实现精准判断查杀。
主动防御	基于内核驱动持续监控进程等内存对象操作行为动作，研判是否存在持久化、提权、信息窃取等攻击动作，判断是否存在批量读写、删除、移动文件或扇区等操作，并通过文件授信（签名验证）机制，过滤正常应用操作动作以降低误报。
文档安全	依靠部署多组诱饵文件并实时监测，诱导勒索病毒优先破坏，达成欺骗式防御效果。采用多点实时备份机制，即使正常文档被加密也可快速恢复。