关于网络勒索病毒发展三种趋势和应对策略的探索

编者荐语

本文跳出传统防护思路，聚焦 “阻断勒索条件” 核心，拆解不同类型勒索的攻击机理，详解文件熵检测、多源行为分析、双元监督等实战防护技术，拆解防护难点。

引用本文

翟胜军 , 胡心恬 . 关于网络勒索病毒发展三种趋势和应对策略的探索 [J]. 信息安全与通信保密 ,2025(10):36-45.

文章摘要

网络勒索病毒的攻击可分为加密型勒索、泄密型勒索与控制型勒索3种类型。对每种勒索攻击的机理进行分析，提出防护勒索攻击的关键是阻断勒索条件的达成，进而分析了相应的识别和阻断技术思路。针对加密型勒索，可通过文件操作和熵变化识别大批量文件的加密行为，实现对异常加密活动的迅速发现并在其扩散前进行阻断；针对泄密型勒索，则通过结合终端、网关、业务数据库的信息综合分析，识别数据外传的异常行为，实现对敏感数据泄露链路的精准识别与实时切断；针对控制型勒索，采用“双元监督”创新控制设计体系，通过引入安全处理单元（SPU），对失控状态进行检测与接管，实现二次安全防护。

0 引 言

网络勒索病毒引起全球广泛关注始于2017年爆发的“永恒之蓝”事件，该病毒以极快的传播速度和广泛的影响范围，催生了网络安全领域一个新兴的黑色产业——网络勒索。网络勒索的本质是通过网络入侵手段非法获取用户敏感数据的控制权，继而以公开数据为威胁向用户索要数字货币。其形式特点明显：一是传播速度快，通常利用最新的零日漏洞，且更换频率一般不超过半年；二是对勒索物控制力强，通常是对用户业务数据采用超强的加密手段，例如，“永恒之蓝”事件中攻击者利用了美国政府的现用密码算法标准，密钥长度为2048位；三是以比特币等数字货币为主要交易媒介，官方追踪困难，确保了整个黑色产业链的资金安全。

近年来，网络勒索事件频发，勒索规模也不断扩大，从最初的零散式的黑客行为，逐步发展成“勒索即服务”的专业化产业供应链。其组织分工明确，覆盖病毒编写、组织投放、情报交易、资金流转、洗白变现等多个环节，并完成了闭环。作为产业配套技术支持，还出现了勒索信息发布平台、加密货币交易工具及隐匿通信手段，让发起网络勒索行动的门槛大幅降低，形成了网络勒索完整的黑色生态环境。

网络勒索已成为对国家安全、社会秩序和企业生存构成重大威胁的网络黑产代表。本文将重点分析各种类型勒索病毒的原理及其达成勒索的关键条件，讨论对应的防护思路，以及展望未来技术发展趋势。

1 勒索病毒理念发展历程

网络勒索最初以加密控制用户文件为主要手段，通过造成业务中断或数据不可用来迫使受害者支付赎金。然而，由于不同行业对敏感信息的定义存在差异，若被加密文件不是用户关注的，用户选择放弃恢复，则攻击者无法实现勒索意图。随着企业网络安全保护能力的持续提升，用户网络安全意识的不断增强，攻击者不得不加快技术演进与勒索模式更新，近几年出现了多种新型网络勒索攻击形式，如向第三方出售窃取到的用户数据、欺诈用户以获得控制权等。

目前，从技术实现维度可将网络勒索分为3种类型：加密型勒索、泄密型勒索、控制型勒索。

1.1 加密型勒索

加密型勒索是网络勒索早期主要的勒索方式，其攻击过程如图1所示。该类勒索一般是通过蠕虫病毒传播，其加密范围大且没有具体明确的目标，若加密的文件数量少，被勒索者缴纳赎金的概率将大大降低。所以，加密型勒索的核心策略在于扩大感染规模，追求每个主机内尽可能多的文件加密。

在目标选择上，攻击者倾向于锁定用户重要且缺乏备份或保护措施的业务文件。值得注意的是，若是误加密系统核心文件，可能导致系统本身崩溃，进而使加密程序被动终止，此时用户可以选择放弃，而直接重新安装系统。此外，攻击者所采用的加密算法应该具备足够的强度，否则被勒索者可借助密码专家的专业手段进行解密，从而降低勒索的成功率。

1.2 泄密型勒索

泄密型勒索是在加密型勒索的基础上进化发展起来的新型勒索方式，其攻击过程如图2所示。攻击者在入侵目标网络后，先隐藏自己，建立远程控制通道，并大量收集用户敏感信息，后选择合适的时机，将窃取的敏感信息打包外传至境外服务器或公开互联网上，让被勒索者无法掌控，继而以此要挟被勒索者支付赎金。若被勒索者拒绝支付赎金，攻击者可将窃取的数据转售第三方牟利。

在目标选择上，泄密型勒索通常是有明确的定向目标，且目标往往具备互联网访问通道，否则数据外传难以实现，无法形成有效勒索条件。值得注意的是，泄密型勒索比加密型勒索的实施难度大，因为攻击者将数据回传至外网需要通过层层网络安全防护，其技术复杂性和操作难度较本地加密操作显著增加。

1.3 控制型勒索

控制型勒索是通过获取并屏蔽用户对核心系统的控制权限，从而进行勒索，要求目标缴纳赎金，否则直接破坏系统。例如，无人机升空之后被勒索，若操作者不接受勒索条件，可能导致飞机坠毁，或者用来攻击地面目标，形成二次破坏。若是这种攻击发生在国家关键基础设施领域，其社会影响将难以估量，如国家电网调度、三峡大坝控制等。

控制型勒索攻击过程如图3所示，主要存在2种模式：一是攻击者通过建立互联网控制通道直接向目标系统发送控制指令。二是在目标系统没有互联网通道时，设计逻辑控制炸弹程序，在固定的时间进行爆破。后者可以针对与互联网物理隔离的关键信息基础设施网络进行勒索。

2 勒索病毒的防护思路

网络勒索的主要特点是，在达成勒索条件前，攻击者会极力隐匿自身行踪，防止被溯源。一旦过早暴露，不仅无法获得赎金，还会暴露其入侵路径和所利用的网络漏洞，从而增加未来实施攻击的风险与难度。

因此，针对网络勒索的防御，具体目标如下：首先，阻止勒索病毒入侵，应部署系统化的网络安全防御体系。其次，应部署事后补救措施，如文件备份系统，确保数据文件被加密后能够自行恢复；也可选择网络安全保险，以转嫁被勒索时可能产生的经济损失。当然，最为有效的方法是在攻击者达成勒索条件前，防护者能够通过针对性的技术检测手段，发现并阻断清除入侵的勒索行为，从而最大限度地减少潜在的危害。这就要求用户根据勒索攻击模式的不同特点，系统性地部署相应的技术检测与防护措施。

不同类型的勒索攻击，其勒索条件各不相同。例如，加密型勒索以大量用户文件被加密为条件；泄密型勒索以敏感数据文件外传“回家”为条件；控制型勒索则表现为目标系统控制权被剥夺，以攻击者能够远程下达破坏指令或成功部署定时触发的破坏程序为条件。

因此，如何阻断勒索条件的达成，是实现有效网络勒索防御与对抗的关键技术环节。

2.1 加密型勒索防护

阻止大量文件被加密勒索，主要有2种思路：一是在文件被加密后能破解，二是在文件被加密前阻止其加密。

（1）在文件被加密后能破解：首先对勒索加密算法进行破解，在攻击者采用传统简单加密方式时，可以通过构造诱饵文件，结合统计学分析规律，实现破解。其次对数据文件进行提前备份，对于更新频率较低的数据，备份策略能够在遭遇加密攻击后实现自行恢复；若文件更新的频次较快，备份恢复时会出现“时间天窗”，这需要根据实际业务需求进行策略选择。

（2）在文件被加密前阻止其加密：是通过实时监控文件操作实现的，一旦检测到勒索加密特征，立即采取阻断措施。目前可行的方案是通过计算文件熵值变化来区分是正常文件处理还是异常加密行为。其原理是，攻击者为了提高其加密强度多采用现代密码算法，以对抗基于统计学的破译技术，而这种技术也导致了文件信息熵在加密前后发生较大改变。若是再增加文件操作的特定模式匹配分析，就可以较为精准地识别出勒索加密行为，进而阻断进程。需要指出的是，勒索软件通常采用多进程协作和相互保护的机制，因此阻断勒索时需要对整个勒索进程树进行集中处置，否则即便及时发现勒索攻击行为，也可能因处置延迟导致勒索得逞。

值得强调的是，识别勒索加密属于“有损检测”。为提升检测准确性并降低数据损失风险，该方法还需配合多种辅助技术，如临时文件备份和诱饵文件，以进一步提高识别效率，最大限度减少文件损失。

2.2 泄密型勒索防护

阻止攻击者将数据外传到公开互联网上，是防范泄密型勒索事件的关键。具体而言，应在数据通过互联网安全网关之前，阻断其与外部服务器的连接。攻击者在将数据外传前，需要经过长期的准备工作，这个时期需要分析勒索者入侵后的各种异常行为，这是发现他的契机。

攻击者入侵到目标网络后，常见的3个典型行为包括：一是批量收集数据，并将其集中存储于被控制的跳板主机内；二是建立“回家”连接，如访问外部网站或向特定邮箱发送邮件等；三是对收集到的数据进行压缩、加密和打包，为了不引起安全网关的怀疑，“回家”的文件通常伪装成普通的文件，以“蚂蚁搬家”的方式，通过多通道、多批次完成外传。

收集这些异常行为信息主要依赖3个方面的来源：一是终端监控程序，如检测是否出现批量下载文件至本地，遍历访问业务系统或异常开启互联网访问等行为；二是服务器和数据库的访问日志，分析是否存在批量访问、下载数据、越权操作或非工作时段浏览数据等行为；三是互联网安全网关的流量日志，如识别是否出现持续向某些地址发送文件等异常行为。

为提升用户网络的整体防护能力，建议在组织内部网络中部署泄密勒索行为综合分析平台，对上述多源信息进行综合分析，及时识别攻击者的“回家”行为，一旦发现可疑活动，应立即阻断相关连接，并以发起外联的内部“肉鸡”和攻击者控制的“肉鸡”为入手点，溯源攻击者的入侵和“回家”路径。

攻击者“回家”行为的识别，属于用户异常行为与违规行为识别技术的一种。除针对勒索“回家”行为进行建模识别外，还可借助近几年发展迅速的网络安全行为审计技术进行辅助分析，以增强识别能力。

异常行为的识别通常从2个维度展开：一是对入侵者的攻击行为进行正向建模，从防护者角度实现异常发现；二是当业务人员的操作行为超出日常业务范畴时，可判定为异常。尽管存在一定误判可能，但攻击行为往往隐藏在这类偏差中，从管理角度也被视为“违规行为”。

用户与实体行为分析技术的核心逻辑，是通过对正常业务行为进行标准化建模，设置多维度基线与阈值，进而识别业务场景中的违规行为。近年来，依托人工智能技术对业务人员的日常操作行为进行机器学习，不仅为数据建模提供了辅助支撑，拓展了模型构建的维度，还实现了模型的快速迭代优化，显著提升了违规行为的识别精准度与效率。

除用户和实体的异常行为识别外，还可通过界定敏感数据流动范围，发现潜在的数据泄密风险。数据防泄漏技术依据访问授权与数据流动地图，绘制敏感数据的流动边界。根据最小授权原则，不同等级的敏感数据应具备专属流动边界。一旦某个敏感数据出现在边界之外，可能意味着勒索攻击者正在进行数据收集，或为后续数据“回家”行为做前期准备。

2.3 控制型勒索防护

在信息系统安全领域，“没有攻不破的堡垒”。即便防护措施完善，信息系统在某些情况下仍有可能被攻破，出现控制权被攻击者夺取的极端情况。当中央处理器运行的是攻击者定制的恶意程序时，便可能对管理者的命令“置若罔闻”。因此，在失去系统控制权后，重要的是确保系统的降级使用，确保即使攻击者获取了控制权，也无法执行高敏感指令，最大限度避免二次损害。例如，无人机失控时可执行自动返航，自动驾驶系统失控时可触发靠边停车，大坝控制平台失控后应禁止执行开关闸等敏感指令。

实现上述目标，主要有2个技术要点：一是如何及时检测到CPU失控，二是如何在CPU降级后执行安全预案。

根据Clark-Wilson模型的安全理念，重要工作应交由2个执行者分开执行，只有“账目”一致，才可以执行重要操作。由于攻击者同时控制2个执行者的概率较低，因此在系统已被部分攻陷的情况下，仍能依托双执行链的独立性维持关键指令的可信校验，从而保障安全底线。

双元监督安全理论将Clark-Wilson模型应用在控制系统的安全设计中，是现代自动控制设计的新型安全理论。该理论定义了安全处理器作为与CPU同级的安全管理单元。一方面，SPU负责监督CPU的可控状态，能够检测和识别CPU的异常或失控状态；另一方面，SPU负责身份标识、密钥管理、数据加解密、身份认证等功能的实现，从而释放CPU的工作压力，隐藏安全管理的关键动作，让入侵者无法接管安全管理的控制流程。

基于双元监督安全模式的控制系统主板设计如图4所示。在具体系统设计层面，双元监督安全理论推动了控制器主板设计规范的升级，增加了SPU与CPU间的互通总线，以及系统降级后的SPU控制输出通道，实现的功能包括外部告警、Reset电源和总线、敏感指令禁用、降级后的安全预案执行控制器等。

防止系统失控是系统安全领域的刚性需求。传统解决方案主要围绕增强CPU自身的安全防护能力展开，核心目标是确保CPU始终处于可控状态，这与双元监督安全理论在基础观点上是完全不同的。

目前，传统防护思路主要分为两大技术流派：一是由CPU厂商主导提出的可信执行环境技术，典型代表包括Intel公司的软件防护拓展、ARM公司的TrustZone CPU等。该技术在CPU内部建立隔离化的高安全等级计算环境，使其与通用业务的计算环境分离，并配套建立失控后的降级保护机制。尽管该思路实现了安全计算核心的分离，但仍存在局限性：2个计算环境仍位于同一CPU硬件实体内部，需要统一的调度单元进行资源与任务管控；同时，外部控制通道依然单一，系统降级后需重新认证外部驱动代码，导致控制逻辑复杂且行为难以预测。一旦攻击者对调度控制单元发起攻击，便可能潜入所谓安全的计算环境，造成系统完全失控。二是由安全厂商提出的可信根技术。该技术通过厂商身份认证机制，确保所有硬件与软件都是审核通过的可信组件，并建立完整的“运营可信链”，从而阻断外部恶意代码的执行路径。然而，该技术未实现安全计算环境与通用计算环境的分离，且过度依赖“内部体系可信”的预设前提，在面对“内鬼”、叛徒、供应链入侵等特殊场景时，其防护能力存在明显不足。

双元监督安全理论的核心认知在于CPU存在完全失控的可能性。因此，该理论主张将负责安全管控的SPU彻底分离出来，使其仅运行固定的安全相关业务，同时持续监控CPU运行状态，并保持独立的判断与控制能力。从架构层面来看，该设计消除了黑客潜在的攻击路径，显著增强了系统应对失控风险的能力。

3 实施勒索病毒防护时的难点分析

阻断勒索条件的关键是在勒索条件成立前，实现对入侵行为的及时识别与强制终止。这个过程涉及2个方面的技术对抗：一是在威胁检测环节，需要考虑误报率与漏报率；二是在阻断环节，本质上是与攻击方进行最终控制权的争夺。

3.1 加密型勒索防护难点

应对新型勒索病毒，尤其是针对大量的变种、免杀的勒索病毒，最有效的方法是采用基于特征的识别方式将病毒提前拦截于系统之外，然后才是采用文件熵值的变化，识别其加密过程中的异常行为。这在实际部署中会引出一个策略性难点：若判断条件设置过于严格，易产生误报；若判断条件设置过于宽松，易产生漏报。一旦发生漏报，关键文件可能已被加密，进而增加后续数据恢复工作的难度。

因此，在对抗加密型勒索时，需基于差异化应用环境实施动态化的安全策略配置。例如，在工业控制场景中，控制终端的文件变更频率低，实时性要求高，适宜采用条件严格的安全策略。在办公场景中，办公类电脑文件更新频率高，可先采用文件定期备份等措施降低数据恢复压力，再配套实施条件宽松的安全策略。

3.2 泄密型勒索防护难点

泄密型勒索的防护难点在于，大型企业网络通常终端种类繁多，应用服务复杂，用户接入多样，要精准识别勒索攻击者的“回家”行为，必须广泛收集其活动信息。实际部署时常面临两大挑战：一是信息采集覆盖范围的选择。若进行重点采集，则遗漏信息多，影响分析结果；若进行全面采集，不仅成本增加，还会给网络带来更大的负载压力。二是异常行为分析算法的选择。攻防是对抗中交替策略选择的，当“信息集中-加密回家”的方法被广泛识别后，攻击者往往会反其道而行之，甚至转变思路，例如将窃取的数据隐写于音乐、图像等看似合法的文件中，再“堂而皇之”地公开发送到互联网上。

泄密勒索攻击存在无法隐藏的2个动作：一是临时仓库管理，即在部分“肉鸡”上暂存收集的数据，并进行打包变换、加密分割等操作；二是建立“回家”链接，即构建数据回传通道，包括基于网络的通信链路或人工介质摆渡等传输路径。因此，在实际部署安全防护软件时，监控重点是终端和出口网关，建模重点是临时仓库的构建行为和“回家”链接的建立模式。

3.3 控制型勒索防护难点

控制型勒索攻击与前2种勒索攻击类型相比更具直接攻击性，其核心目标是抢夺控制权，接管指挥权。采用双元监督安全设计思路，改变了现有自动化控制系统的设计逻辑。在主板上增设SPU，不仅需要自动化设计者接受这个新的安全理念，更需要对关键动作的控制链路进行重构。

该设计包含2个关键技术难点：首先，若SPU检测到CPU失控，必然要求系统状态降级。这就需要设计能够绕过原有CPU的应急控制链路，由SPU启动应急处置单元，实现对系统控制指挥权的接管。在此过程中，需考虑诸多因素以避免造成系统完全失控。例如，启动应急处置后，若攻击者成功突破CPU限制，仍可能导致整个系统失控甚至崩溃。其次，采用SPU监控CPU状态，实时判断其是否处于失控状态，该机制通常采用在CPU中驻留Agent，与SPU保持“心跳”。若攻击者可以屏蔽或中断Agent的监控功能，则会导致链路失效。例如，传统的“root攻击”可能让Agent变成“瞎子”，导致其无法准确识别CPU的失控状态。

因此，在设计与部署SPU时，将安全功能从CPU分离只是第一步，还建议集成可信根技术、白名单机制等安全防护措施，构建多层级的抗攻击架构，从而全面提升系统对抗控制型勒索攻击的防御韧性。

4 结 语

受巨大经济利益的驱动，网络勒索已经成为当前网络安全领域最顽固且复杂的威胁之一。勒索攻击不仅可以通过病毒快速自由传播，还可以实施针对性定点入侵，进而成为黑色产业组织和政治势力频繁采用的攻击手段。随着黑色产业链条的成熟与完善，网络勒索的门槛持续降低，呈现出组织化与分工化趋势，这也使得其管理效率大幅提升。在利益的驱使下，最新的攻防技术、零日漏洞等，往往先在勒索攻击中得到应用，进一步促使网络勒索演变为高度组织化、体系化的网络犯罪业态。

在以往的勒索事件中，加密型勒索占据较大比例，但目前泄密型勒索正逐渐成为主流。其攻击范围已从医疗、智能制造等行业，逐步扩展至金融行业、政府机构及大型企业等高价值目标，赎金额度也持续攀升，部分事件甚至高达数亿元。值得警惕的是，控制型勒索由于能够造成广泛的社会影响，已成为某些恐怖组织的首选攻击方式，并成为国家间网络安全博弈的焦点之一。各国关键信息基础设施均可能成为此类攻击的勒索目标，这不仅能够验证攻击技术的成熟性，也为未来实体战争中的网络战提供了实战演练场景。

因此，对抗网络勒索应是网络安全行业里一项长期、持续性的工作，本文围绕3类网络勒索所提出的专项防护和阻断策略，仅为应对该类威胁的基础探索，还只是冰山一角。随着攻击技术、勒索模式等的不断升级，安全防护理论与技术手段亦需持续创新与完善，才能从容应对。

本文省去了参考文献，以方便排版