勒索病毒：当前最大的威胁之一

关键要点

• 勒索病毒是组织面临的重大威胁，攻击者在不断改进其技术和方法。
• 远程勒索病毒越来越普遍，利用组织的域架构加密数据。
• 动态和静态的反勒索病毒解决方案各有优缺点。
• CryptoGuard代表了一种不同的反勒索病毒方法，专注于文件内容的保护。

勒索病毒是当今组织面临的最重要威胁之一。应对这一威胁并非易事，尤其是在攻击者持续改进其技术和策略的情况下。近年来的变化包括对勒索服务（RaaS）模型的调整、新编程语言的采用、以及以降低检测和事件响应的效果。

近年来一个重大的发展是远程勒索病毒的增加：利用组织的域架构对加入域的受管设备进行数据加密。所有恶意活动（包括入侵、有效载荷执行和加密）发生在一个未管理的机器上，从而绕过现代安全系统，唯一的妥协迹象就是文档在其他机器之间的传输。我们的遥测数据显示，自2022年以来，故意的远程加密攻击年增长率达62%。根据，约60%的人为操作的勒索病毒攻击涉及远程加密，其中，表明缺乏主动的资产管理。已知支持远程加密的勒索病毒家族包括Akira、ALPHV/BlackCat、BlackMatter、LockBit和Royal，这种技术从2013年就开始出现，当时CryptoLocker已经开始针对网络共享。

毫无疑问，勒索病毒的上升以及不断发展导致了大量研究，旨在检测和防止勒索病毒的攻击，学术界、安全研究人员和供应商都提出了各种解决方案。作为一种恶意软件的形式，勒索病毒带来了独特的实用和智力挑战，其解决方案的多样性便是这种挑战的体现。许多解决方案针对勒索病毒的独特行为特征，例如：枚举文件系统、访问和加密文件，以及生成赎金说明。其他的解决方案则更加通用，应用于恶意软件的常见反制技术。

在我们技术思想领导系列的第二期（第一期关于内存扫描的内容可在查看），我们将简要概述一些这些技术及其优缺点，随后深入探讨我们在该领域的贡献：CryptoGuard。

在开始之前，需要注意的一点是：勒索病毒攻击有多个阶段，大多数阶段发生在我们在本文讨论的解决方案发挥作用之前。一个防护良好的企业将会有多层保护措施，应该可以在不同的环节阻止攻击，这意味着在很多情况下不需要特定的反勒索解决方案。但当一切失败时，且一个决心坚定的攻击者已经达到了加密阶段，我们就需要一种技术来防止不可逆的损害。攻击的其他阶段（例如首次感染、持久性、横向移动等）都是可以逆转的，但加密则不是。

反勒索病毒方法

静态解决方案

静态技术（即那些可以被被动执行，而不需要执行恶意软件）的勒索病毒检测与用于检测其他类型恶意软件的方法并没有显著区别。这方面的解决方案包括：特征匹配、字符串比较、文件操作比较