勒索软件特点，五种勒索软件检测方法的优缺点分析

很多朋友对勒索软件特点，五种勒索软件检测方法的优缺点分析不是很了解，每日小编刚好整理了这方面的知识，今天就来带大家一探究竟。

应对勒索病毒的方法主要是预防和应对。然而，检测勒索病毒对于保护企业和组织同样重要。我们可以把勒索病毒检测理解为系统防护勒索病毒的中间阶段，即勒索病毒已经渗透到系统中，但没有大规模爆发。在这个阶段，可以应用有效的监控和防护措施，一方面使防护更有针对性，另一方面可以减少勒索病毒爆发造成的更严重的后果。

勒索软件的检测技术通常可以分为两类：基于终端和网络的恶意样本和恶意行为检测。这种检测行为具有很强的普适性，即将勒索病毒作为攻击进行保护，一般的杀毒软件或服务器安全工具也具有识别勒索病毒的能力，因此用户可以优先选择这款产品。

专有的勒索病毒检测技术：随着勒索病毒威胁的不断增加，安全厂商也在不断推出专门针对勒索病毒的检测产品或检测工具，可以作为针对勒索病毒防护的产品，在基础部署后进一步购买应用。本文将介绍目前业界常用的五种勒索软件检测方法，并分析其应用优缺点。静态文件分析

如果某个企业的关键服务器上触发了报警，但是报警信息还是挺笼统的，只报告某个文件可能是恶意软件。更糟糕的是，如果文件的哈希值不在VirusTotal(一个提供免费可疑文件分析服务的网站)上，安全分析师将无法在互联网上找到任何信息来确定文件是否是恶意的。

这个时候，要检查文件是否可能是勒索软件(或者任何恶意软件)，最好的选择就是对静态文件进行分析。静态文件分析是一种恶意软件分析方法，主要检查可执行文件是否可疑，但并不实际运行代码。

面对勒索软件，静态文件分析会寻找已知的恶意代码序列或可疑字符串，比如经常被盯上的文件扩展名，勒索信中使用的常用词等。分析工具会对可执行文件中的可疑部分进行标记，可以用来检查文件中的嵌入字符串、库、导入内容等攻击指标(IOC)。但这种检测手段需要依赖针对勒索软件构建的威胁情报系统，不断增加扩展名和可疑字符串。

同时，这种手段的人工处置比例较大，产品化程度可能较低。

静态恶意软件分析检测实例优势：识别率高，误报率低；可以相对有效地识别已知的勒索病毒；勒索攻击可以在执行之前被阻止，因此文件没有被加密。缺点：主要靠人工分析，费时，产品化程度不足；您可以通过使用打包器/密码器或简单地将字符转换为数字或特殊字符来轻松绕过它。通用文件扩展名检测

在文件访问监控工具的帮助下，组织可以将带有已知勒索软件扩展名的文件重命名操作列入黑名单，或者在创建带有此类扩展名的新文件时发出警报。例如，Netapp的文件访问监控工具允许您阻止某些类型的扩展名保存在存储系统和共享区域，如WannaCry勒索软件(。wncry)。其他勒索软件黑名单解决方案包括ownCloud或Netwrix。

研究人员编制了许多勒索软件扩展的列表，包括常见勒索软件扩展的列表。可以方便地获得和使用。但这种检测方法只是针对已知的勒索病毒，对勒索病毒变种的防护能力较差。该方法可作为基础防护工具，与用户部署的终端安全产品形成联动。优点：采用黑名单模式，检测误报率低；能有效应对常见的已知勒索病毒；

不会破坏正常的应用系统。缺点：容易被绕过，难以识别新扩展名的勒索病毒；很难找到一个有扩展名黑名单功能的文件监控工具。蜜罐文件

蜜罐文件是故意放在共享文件夹/位置的假文件，用于检测可能的攻击者。蜜罐文件一旦被打开，就会发出警报。例如，名为passwords.txt的文件可以用作工作站上的蜜罐文件。目前，国内主流安全厂商如安田、安恒、千信、沈心等推出的勒索软件防护方案都采用了这种方法。

创建快速简单的蜜罐文件的一种常见方法是使用Canarytokens。Canarytokens是Canary公司提供的免费工具，可以在Microsoft Word、Microsoft Excel、Adobe Acrobat、图片、目录文件夹等文档中嵌入令牌(唯一标识符)。优点：可以检测静态引擎无法捕获的未知勒索病毒。缺点：存在误报，因为一些合法的程序和用户也可能接触到诱饵文件；

如果勒索软件触及诱饵文件，重要数据文件会被主动加密；如果勒索软件跳过隐藏的文件/文件夹或攻击特定的文件夹，它可以绕过它们。动态监控批量文件操作通过监控文件系统发现批量文件操作(如重命名、写入或删除)，安全人员还可以实时捕获勒索病毒攻击，甚至自动停止攻击。

文件完整性监控(FIM)工具可以帮助您通过这种方式检测勒索软件。职能指令手册将文件的最新版本与已知和可信的“基准版本”进行比较，以核实和验证文件。如果文件被篡改、更新或删除，将会发出警报。动态监控文件操作需要一套文件存储列表。

市面上有众多免费的开源FIM工具，比如OSSEC和Samhain File Integrity，其他解决方案拥有实时修复功能，因此可以通过威胁自动响应立即阻止检测到的勒索软件。

优点：

•可以检测出静态引擎无法捕获的勒索软件。

缺点：

•如果超过定义的限制阈值，文件可能会被加密，影响业务开展；

•如果勒索软件在加密操作之间添加延迟，或生成多个进程来加密成批/成组文件，可轻松绕过该检测方式。

测量文件数据的变化（熵）

在网络安全界，文件的熵是指一种测量随机性的特定指标，名为“香农熵”（Shannon Entropy）：典型的文本文件有较低的熵，而加密或压缩的文件有较高的熵。换句话说，通过跟踪文件的数据变化率，安全人员就可以确定文件是否经过加密。使用文件熵可以实现检测并阻止加密个人文件的非法进程。测量文件熵的工具还可以在多次标记修改、出现重大变化后快速阻止恶意进程。

合法文件的熵与恶意文件的熵对比

优点：

•可以检测出静态引擎无法捕获的勒索软件；

•误报率低于以上提到的动态检测手段。

缺点：

•对终端设备的CPU资源占用率高；

•文件将被加密，直至达到一定水平的可信度，因此无法阻止所有勒索破坏；

•如果攻击者仅加密文件的一部分或分块加密，可轻松绕过该检测模式。

结语：

检测勒索软件可能很棘手，攻击者会使用多种混淆手法让勒索软件规避检测，新的勒索软件变体每天都在出现。因此，企业需要使用多种不同的勒索软件检测手段，并充分了解每种手段的优缺点。

此外，安全人员要始终假设勒索攻击会成功。因此企业需要随时确保有适当的勒索软件预防和恢复策略。随着勒索攻击能力向高层次发展，其攻击的流程化、能力化已经与APT趋同，因此针对勒索攻击防护体系建设需要形成持续的预测、防护、检测、响应，依照攻击发生的状态，可分为勒索防护策略建立、勒索攻击事前防护、勒索攻击识别阻断、勒索攻击应急响应。

审核陈陈

以上知识分享希望能够帮助到大家！