勒索軟件 Ransomware已經成為一個突出的網絡安全威脅，他們往往會以加密文件的方式勒索高額的贖金。亞信安全在近日發布警示：勒索軟件攻擊的發起者已經將攻擊延伸到中小企業(SMB)，因為中小企業往往不會像大型企業那樣部署復雜的安全解決方案，且與消費者相比，中小企業也更有能力支付贖金。對此，亞信安全建議：中小企業員工不僅要提高安全意識，按照3-2-1法則備份文件，而且企業應部署周密的網絡安全解決方案，通過偵測惡意文件和垃圾郵件并封鎖相關網址等技術，在各層面防御勒索軟件帶來的威脅。

想像一家擁有少于50名員工的公司，某天公司主管收到了一封內嵌看似正常網址的電子帳單郵件，他們點擊鏈接而導致感染勒索軟件。不幸的是該公司并沒有備份信息，因此他們更傾向選擇支付贖金以解密文件，但這樣很可能會導致網絡犯罪分子在未來進行更多輪攻擊。

在近期發現的勒索軟件中，亞信安全發現最大的威脅來自TorrentLocker和CryptoWall，他們都屬于Ransomware的變種。亞信安全通過統計點擊TorrentLocker和CryptoWall相關電子郵件內惡意鏈接(2015年6月-7月)的用戶類型，發現中小企業在受害者中的比例最高。其中，點擊CryptoWall相關電子郵件內惡意鏈接的用戶大多數屬于中小企業用戶。

　　▲【點擊CryptoWall設下釣魚郵件的被害者，近七成為中小企業用戶】

亞信安全還發現，大多數TorrentLocker相關惡意網址仍然是由中小企業(46.36%)點擊，但消費者點擊的比例(42.15%)也居高不下。

　　▲【點擊TorrentLocker相關網址的用戶，中小企業仍然位居首位】

攻擊往往在上班時間發動

由于勒索軟件攻擊主要以中小企業用戶為主，因此不法分子更傾向在上班的時間來發動攻擊。亞信安全將用戶點擊CryptoWall網址的時間數據(2015年7月初)整理成下圖，可以看到目標受害者一般在上午9點到下午1點之間點擊這些鏈接，與員工的上班時間恰恰吻合。

　　▲【攻擊爆發當天的每小時惡意網址點擊量(2015年7月)】

用來滲透企業用戶的社交工程誘餌

今年大部分用于勒索軟件的社交工程(social engineering )誘餌都和企業活動相關。例如，CryptoWall會利用簡歷、訂單和護照作為其垃圾郵件主旨。對此，亞信安全業務發展總監童寧指出：“雖然CryptoWalll所用誘餌不會根據區域而有所不同，但TorrentLocker卻以針對區域定制化而知名，它們的社交工程誘餌會依受害國家設計，此類威脅通常會根據不同區域的特點，有針對性地假借郵遞服務、電信、公共事業和政府機構通知的名義來制作誘餌。”

據亞信安全主動式云端截毒技術的反饋信息，澳大利亞(31.54%)、意大利(26.60%)和土耳其(20.40%)是TorrentLocker相關電子郵件攻擊最流行的三個國家，并且在這三個國家中，勒索軟件所使用的誘餌有很大的不同。

值得注意的繞過安全防御戰術

勒索軟件將焦點變換到企業目標的一個重要證據是其所使用的閃避技術，部分TorrentLockerr變種具備自毀功能，以防止IT人員采集樣本建立安全措施。勒索軟件網頁還會要求用戶使用驗證碼登錄，這讓自動抓取工具和沙箱技術更難識別惡意軟件樣本。同時，他們會選精心擇攻擊時間來攻擊更多的企業用戶。而另一個被用在TorrentLocker和CryptoWall的戰術是利用淪陷網站來隱藏重新導向，進而避免在受感染系統上被偵測。

亞信安全建議：保護你的企業環境

在近幾年的演化過程中，勒索軟件已經從簡單的恐嚇軟件演化成會加密文件、系統的加密勒索軟件，最終達到讓受害者支付贖金的目的。由于勒索軟件攻擊會給不法分子帶來巨大的收益，因此有理由相信勒索軟件會持續改善其戰術，以感染更多的企業。

　　▲【從恐嚇軟件到加密勒索軟件】

亞信安全業務發展總監童寧還建議：“勒索軟件會給企業帶來機密信息泄露的嚴重風險。然而，中小企業可以通過提高員工安全意識來保護自己的網絡，例如，在打開電子郵件時先驗證發件人，在點擊網站前先檢查其信譽評比，不要啟用巨集以避免CryptoWall執行。我們也再三強調過備份文件的重要性，最佳做法是按照3-2-1法則：針對每一份重要數據都備份三份數據副本，以兩個不同的格式存儲這些數據，并保持一份在異地。”

此外，亞信安全提醒中小企業主，必須部署周密的網絡安全解決方案，通過偵測惡意文件和垃圾郵件并封鎖相關網址等技術，在各層面防御勒索軟件帶來的威脅。