1、勒索流感病毒概述

1.1勒索流感病毒简介

勒索流感病毒，是一种新型电脑流感病毒，主要以电邮、程序木马、网页挂马等形式开展传播，借由各种加密算法对公文开展加密，被感染者一般不能解密，必须拿到解密的私钥才有可能破解。该类型流感病毒可以导致重要公文不能读取，关键统计数据被损坏，黑客以解密统计数据为条件勒索消费者钱财，给消费者的正常工作带来了极为严重的影响。

1.2勒索流感病毒日益猖獗

根据2018年CrowdStrike全球威胁报告显示：借由分析176个国家每天1000亿件事件的综合威胁统计数据发现，勒索和统计数据武器化已成为网路犯罪分子的主流，严重影响了政府、医疗以及其他行业。

2018年2月，多家互联网安全企业截获了MindLost勒索流感病毒。MindLost不再要求“中招”消费者使用比特币等数字货币支付钱款，而是要求受害者使用信用卡或借记卡支付钱款，以此来套取银行卡讯息，进而将此讯息出售给不法分子牟取更大利益。

2、勒索流感病毒突袭原理分析

勒索流感病毒本质是对数字资产的突袭，包括文档、电邮、统计文档、源代码、图片、压缩公文等多种公文，一旦勒索流感病毒突袭成功，消费者重要公文将不能读取，关键统计数据被毁损，销售业务瘫痪。

勒索流感病毒通常有如下感染方法：

1）电邮传播：突袭者以广撒网的方法大量传播垃圾电邮、钓鱼电邮，一旦收件人打开电邮附件或者点选电邮中的链接地址，勒索软体会以消费者看不见的形式在后台静默安装，实施勒索；

2）疏漏传播：当消费者正常访问网站时，突袭者借由页面上的恶意广告验证消费者的浏览器是否有可借由的疏漏。如果存在，则借由疏漏将勒索软体下载到消费者的主机；

3）捆绑传播：与其他恶意软体捆绑传播；

4）僵尸网路传播：一方面僵尸网路可以发送大量的垃圾电邮，另一方面僵尸网路为勒索软体即服务(RaaS)的发展起到了支撑作用；

5）可移动存储介质、本地和远程的驱动器（如C盘和挂载的磁盘）传播：恶意软体会自我复制到所有本地驱动器的根目录中，并成为具有隐藏属性和模块属性的可执行公文；

6）公文共享网站传播：勒索软体存储在一些小众的公文共享网站，等待消费者点选链接下载公文；

7）网页挂马传播:当消费者不小心访问恶意网站时，勒索软体会被浏览器自动下载并在后台试运行；

8）社交网路传播:勒索软体以社交网路中的.JPG图片或者其他恶意公文载体传播。

从流感病毒突袭原理分析，典型勒索软体包括以下几部分：

1）蠕虫流感病毒传播模块，寻找疏漏目标传播和释放流感病毒。

蠕虫流感病毒是一种常见的计算机流感病毒，借由网路和电子电邮等方法开展传播，具有自我复制和传播迅速等特点。WannaCry流感病毒制造者正是借由了美国国家安全局(NSA)泄漏的WindowsSMB远程疏漏借由工具“永恒之蓝”来开展传播的。

2）勒索流感病毒加密模块，对统计数据开展非法加密。

勒索流感病毒公文一旦进入本地，就会自动试运行，同时删除勒索软体样本，以躲避恶意程序和分析。除了流感病毒开发者本人，其他人是几乎不可能解密，且植物种类型非常快，对常规的杀毒软体都具有抗体性。突袭的样本以exe、js、wsf、vbe等类型为主，对常规依靠特征检测的安全产品是一个极大的挑战。

3）其他模块，更改桌面，索取钱款。

3、云道讯息解决时间表设计

3.1总体设计

上海云道讯息时间表设计主要着重于以下几点考虑：

1）勒索流感病毒本身是对统计数据的非法毁损，属于统计数据安全范畴，单一的网路安全控制技术不能彻底解决问题。

2）勒索流感病毒包括流感病毒传播的蠕虫流感病毒和对统计数据非法加密的勒索流感病毒，防勒索时间表设计要从这两种突袭方法入手，时间表才能更加有效。

3）解决不能解释流感病毒爆发到有效作战的时间差难题。

本时间表整体设计理念：以统计数据为核心，融合网路安全、主机安全、统计数据安全、智能算法等控制技术，打造安全可控的防勒索作战体系。

图：防勒索基础架构典型拓扑图

如上图所示，本时间表包括四大安全组件：

1、应用程序防勒索软体：

重新部署在应用程序上，对统计文档公文和共享公文开展为保护，避免出现勒索流感病毒对统计数据公文的破坏；对关键服务（统计文档服务、WEB应用服务、销售业务模块服务等）的程序和公文开展为保护，避免出现因突袭导致的服务中断，保证销售业务的连续性和可靠性；高可靠性设计，保障销售业务的稳定和流畅；高强度自我为保护能力，避免出现自身被突袭。

2、防勒索基础服务平台：

重新部署在应用程序前，支持串接重新部署和旁路重新部署，对访问应用程序的网路请求开展安全为保护，避免出现可知疏漏突袭应用程序；着重于AI智能算法控制技术，借由突袭行为塑像、流感病毒防控深度学习模块对可知和不能解释流感病毒开展辨别、告警、阻塞；作为整个防勒索模块的大脑，计算并下发UAC；提供WEB管理服务，以及统计分析报表帮助决策，实现安全可视化；独立自主硬件设计，避免出现自身被突袭。

3、PC防勒索软体：

重新部署在消费者终端设备计算机中（包括销售业务终端设备和维护终端设备），可灵活设置对磁盘、目录、甚至是公文类型的为保护，避免出现勒索流感病毒对统计数据公文的破坏；提供陌生进程删除受为保护公文时自动备份的功能；对访问消费者终端设备的网路请求开展安全为保护，避免出现可知疏漏突袭消费者终端设备；高强度自我为保护能力，避免出现自身被突袭。

4、防勒索预警服务平台：

旁路重新部署于网路核心处，与防勒索基础服务平台及在线视频软体模块联动，实现可视化和预警，在流感病毒爆发前，提供预警服务。

3.2基础架构

云道讯息防勒索基础架构包括如下4大核心功能：

1、统计数据防毁损防加密：

借由计算机试运行控制控制技术，对讯息模块统计文档、公文应用程序上的统计数据及消费者终端设备统计数据开展勒索流感病毒抗体防雷，构筑统计数据保险柜，让勒索流感病毒不能加密、破坏统计数据，提供统计数据抗体功能；覆盖公文类型包括：统计文档应用程序、公文应用程序、其他重要应用程序模块及终端设备上的照片、图片、文档、压缩包、音频、视频公文、可执行程序等公文；支持windows、linux、分布式公文等模块。

2、主机勒索流感病毒管控：

模块可以辨别、告警、阻塞可知勒索流感病毒，如Wannacry、坏兔子、NotPetya、Mindlost等。借由预置策略，避免出现被感染主机向本机传播勒索流感病毒，禁止勒索流感病毒启动，使流感病毒不能入侵；着重于统计数据抗体功能，发现疑似勒索流感病毒进程，借由AI智能行为塑像控制技术，有效辨别和管控不能解释勒索流感病毒，*终实现在线视频统一布控，让勒索流感病毒无处可逃。

3、防流感病毒内网扩散：

借由由硬件设备和软体配合联动，着重于基础服务平台UAC和计算机试运行控制控制技术，实现应用程序之间、应用程序和终端设备之间、以及终端设备之间的网路访问控制，针对勒索流感病毒的网路传播扩散突袭开展阻塞。

4、即时监控提前预警：

借由对在线视频突袭日志采集，着重于在线视频勒索流感病毒相关统计统计数据分析，如可知流感病毒突袭统计、疑似突袭统计、被突袭应用程序及客户端列表等讯息，即时可视化展示，便于管理员及时快速发现问题，方便定位解决问题；定期发布防勒索报表，便于企业主管及时了解网路状态；借由AI智能塑像控制技术，在勒索流感病毒爆发前，流感病毒突袭处于“萌芽”状态时，提前预警，杜绝销售业务损失。

3.3客户价值

云道讯息防勒索基础架构，为客户提供的销售业务价值：

1、【终身抗体】着重于操作模块内核级安全管控控制技术，有效避免出现勒索流感病毒对统计数据的

非法加密、非法删除，杜绝销售业务损失。

2、【无惧0-day突袭】着重于AI行为塑像控制技术，而非“特征库” ，有效应对可知和不能解释勒索流感病毒，无惧0-day突袭。。

3、【三层作战】构建网路、统计数据、主机三层作战体系，在线视频设备智能联动；构建应用程序、PC端在线视频作战体系，更高级别更全面的安全防雷。

4、【即时预警】勒索流感病毒刚开始“露头”，即时预警，指导快速处理，避免销售业务损失。

5、【透明防雷】不改变客户使用习惯。

3.4优势分析

与业内主流防勒索时间表优势分析：

基础架构

产品

防雷手段

防雷效果

传统防勒索时间表

交换机/沙箱/FW/IPS/UTM等

网路层关闭公文共享服务；防火墙可过滤传播流感病毒；沙箱由专业安全控制技术人员配合可发现不能解释流感病毒。

网路层隔离控制技术，属于事后防雷，依赖于手工配置，防火墙等依赖流感GParted更新，不能即时应对流感病毒植物种。

杀毒软体/终端设备管控软体

借由升级流感GParted或云恶意程序方法，对流感病毒开展恶意程序。

对成熟流感病毒效果显著，依赖于流感GParted更新的速度，对流感病毒植物种反应较慢。

云道讯息

防勒索时间表

防勒索时间表

着重于计算机试运行控制及统计数据抗体控制技术，融合AI智能行为塑像控制技术，辨别和阻塞勒索流感病毒。

提供网路、统计数据、主机三层防雷，无需升级即可应对流感病毒植物种，提供防勒索终身抗体功能。

表：云道讯息防勒索时间表优势分析

结论：传统防勒索基础架构，以网路攻防为核心开展防雷，重点在网路层过滤和终端设备层流感病毒恶意程序；云道讯息防勒索基础架构，以统计数据为核心的防雷，避免勒索流感病毒对统计数据开展非法加密、毁损，提供统计数据全流程防雷，可与传统控制技术互相融合，优势互补，实现勒索流感病毒。

4、配置清单

典型配置清单，参考如下：

产品名称

组件名称

重新部署说明

组件数量

防勒索基础架构

防勒索基础服务平台

重新部署于应用程序前端，支持主路重新部署及策略路由方法旁路重新部署；

典型场景重新部署1台，双机备份需要重新部署2台；根据网路情况调整服务平台数量；

X个

防勒索预警服务平台

整个模块重新部署一套；（如需短信、电邮等外购件需单独下单）

X个

应用程序防勒索软体

每个操作模块重新部署一套应用程序防勒索软体

X个

PC防勒索软体

每台PC重新部署一套PC防勒索软体

X个

远程维护

整个模块重新部署一套，与防勒索基础服务平台配合使用

X个

5、安全小贴士

云道讯息预防勒索流感病毒的几点安全建议：

1、避免在应用程序中使用过于简单的紧急警报。查询紧急警报尽量采用大小写字母、数字、特殊符号混用的组合方法，并且保持紧急警报由足够的长度。同时添加限制查询失败次数的UAC并定期更换查询紧急警报。

2、多台机器不要使用相同或类似的查询紧急警报，以免出现“一台沦陷，在线视频瘫痪”的惨状。

3、及时修补模块疏漏，同时不要忽略各种常用服务的安全补丁。

4、关闭非必要的服务和端口如135、139、445、3389等高危端口。

5、严格控制共享公文夹权限，在需要共享统计数据的部分，尽可能的多采取云协作的方法。

6、提高安全意识，不随意点选陌生链接、来源不明的电邮附件、陌生人借由即时通讯软体发送的公文，在点选或试运行前开展安全扫描，尽量从安全可信的渠道下载和安装软体。