尽管对勒索软件进行了许多研究，但仍然缺乏对勒索攻击的全面分类。在许多将付款视为唯一选择的重要组织中，知道攻击的类型可能会导致做出不同的决定。

　　为了说明I2CE3链的适用性，对几个不同的勒索软件系列进行了案例研究。这项研究表明，不同的勒索软件样本，无论它们属于哪个子类别，在攻击的每个阶段都具有相似的指标。下图分别描述了基于I2CE3的TorrentLocker和Koler攻击的六个步骤。

　　下表列出了在I2CE3链的每个阶段从其他勒索软件样本（包括Crypto和Wiper-Ransomware）中提取的指标。

　　受最近技术推广的推动，勒索软件攻击在数量、多功能性和复杂性方面均显着增加。了解勒索软件变体的工作方式以及攻击流程中包含的技术可以使厂家更好地了解如何超越和击败它们。显然，理解感染媒介的特征，恶意有效载荷的传递以及C＆C服务器接收指令的网络流量的特征，将有助于安全团队了解预期的内容，并采取适当的对策来防止或最小化这时勒索软件造成的损害。接下来，总结了此网络威胁中涉及的一些组件，并对其进行了探索。

　　密码学：勒索软件使用多种技术来阻止用户访问其资源，最常见技术是密码学。传统上，加密技术是一种用于即时保护信息安全的有用技术。它本质上是防御性的，并为用户提供隐私，自动和安全性。但是，此技术可能会被滥用。加密病毒学的概念最早由Adam Young和Moti Yung提出，这是对密码学的攻击性利用。加密病毒学是科学研究领域，重点研究密码技术和恶意软件的结合。病毒或Crypto Ransomware采用此技术来劫持数据。只要受害者没有支付赎金，解密密钥就不会交付给她/他。

　　各种对称和非对称加密算法均用于此目的，为了获得可接受的速度、高性能和鲁棒性，大多数勒索软件攻击使用混合方法。属于此类别的许多勒索软件通常使用快速对称算法（例如AES）来加密文件，然后使用诸如RSA和ECC之类的公钥算法来加密秘密密钥。ECC比RSA应用相对较短的加密密钥。结果，与具有相同密钥长度的RSA相比，它更快并且需要更少的计算能力。该概念的证明是密钥大小为1024位的160位ECC和RSA的等效强度。相反，RSA的实现比ECC容易，并且由于缺乏复杂性，出错的可能性更低。AES是采用共享密钥进行加密和解密的对称块密码，是勒索软件攻击中最常用的算法之一。该算法已在各种勒索软件中以不同的模式部署。

　　例如，TorrentLocker的早期版本在CTR（计数器）模式下采用AES算法来加密数据资源。但是，由于容易解密的错误，以后的版本取代了从CTR到CBC（密码块链接）的操作模式。TeslaCrypt使用AES并利用CBC作为其操作模式。根据分类，属于Wiper-Ransomware类别的Petya和NotPetya利用流密码Salsa20进行磁盘加密。

　　密码库的普遍可用性及其易于使用是近年来有毒勒索软件攻击快速增长的关键因素之一。除了加密在加密和擦除勒索软件组中的作用外，该技术还用于保护勒索软件与其C＆C服务器之间的通信安全。由于许多勒索软件系列在与C＆C服务器通信时会获得加密密钥，因此确保C＆C通信的成功进行非常重要。加密技术使得难以在网络级别检测恶意C＆C通信。勒索软件攻击背后的帮派使用其他方法来保护C＆C通道，例如CryptoWall 3.0版通过I2P网络与其命令中心进行通信，而以前的版本则利用Tor来模糊C＆C通信。洋葱路由是大多数勒索软件攻击中通常提供的匿名通信项目之一，也使用加密技术。它利用多重和嵌套的加密过程来实现隐私

　　社会工程学：社会工程学一直是骗子手中流行的工具。在2000年代初期，它在网络攻击中变得更加激进。根据提出的针对勒索软件攻击的六步链，社会工程技术在感染和勒索阶段均发挥着至关重要的作用。通常，通过刺激用户的情绪（如玩笑，恐惧，紧迫感等）来执行勒索软件攻击中的社交工程。考虑到安全措施的进步和复杂性，可以说社会工程技术是传播恶意软件的最简单方法。如前所述，垃圾邮件是需要用户交互的主要污染媒介之一。大多数勒索软件攻击是通过诱使受害者访问恶意网页或通过社交工程技术打开网络钓鱼电子邮件中受感染的附件而发起的。为此，许多勒索软件垃圾邮件活动被伪装成例行信件，例如发票和交付通知。Locky是2016年最臭名昭著的勒索软件之一，它使用此方法传播和煽动用户以接收恶意附件。

　　恐吓是在恐吓软件中勒索的主要心理因素。各种勒索软件系列还利用社会工程学策略来利用人们在勒索阶段的恐惧。许多勒索说明都包含倒数计时器，这意味着犯罪集团将以指数形式增加赎金的数量，或者在某些情况下，将在有效期过后永远消除大量文件。此外，规定的截止日期将导致受害人不愿寻求正规解决方案并在决策中犯错误。这些险恶的技巧将在诸如“时间”起着关键作用的医院等公司和组织中更加有效，因此大多数受害者都认为自己被迫支付了赎金。WannaCry，SamSam，Defray和BitPaymer是这种情况的示例。

　　僵尸网络：垃圾邮件僵尸网络是大规模网络犯罪攻击的主要支柱之一。鉴于垃圾邮件网络钓鱼电子邮件是主要的感染媒介之一，因此必须将垃圾邮件僵尸网络问题视为分发勒索软件的主要行为者之一。简而言之，僵尸网络是在僵尸网络管理员的指挥下，成千上万台受感染机器的网络，即所谓的僵尸。通过对大量分布式机器人进行编程，基于僵尸网络的垃圾邮件活动可以在短时间内将成千上万的垃圾邮件发送给许多用户。僵尸网络在许多网络攻击中一直起着举足轻重的作用，包括DDoS、银行木马、垃圾邮件、勒索软件和加密矿工。

　　僵尸网络的体系结构从简单的客户端-服务器模型到对等设计。CryptoLocker是2013年最糟糕，最臭名昭著的勒索软件之一，一直在使用Gameover ZeuS僵尸网络将其发布给受害者。ZeuS是一个对等僵尸网络，它使用Cutwail垃圾邮件僵尸网络来传输大量诱人的网络钓鱼电子邮件。它主要用于金融犯罪。Necurs是有史以来最大的已知僵尸网络之一，有许多受感染的僵尸程序，它通过勒索软件分发活动来安装，目的是向数百万用户发送垃圾邮件。从发动DDoS攻击到分发恶意软件，它涉及许多网络犯罪。Necurs的踪迹是在勒索软件的传播中发现的，包括Locky、Jaff、GlobeImposter和Scarab。据报道，Necurs僵尸网络已从交付诸如Locky勒索软件和Dridex银行木马等恶意软件中获得了很多收入。但是，其转向了更复杂的欺诈，例如pump-and-dump股票欺诈。

　　Kelihos是另一个僵尸网络，为客户提供“垃圾邮件即服务” 。它被用于传播某些勒索软件系列，包括Troldesh（也称为Shade），Wildfire，CryptFIle和MarsJoke。僵尸网络在勒索软件攻击中的使用比迄今为止所看到的更加危险。在撰写本文时，就僵尸网络技术的新颖使用而言，Virobot是最新的已知勒索软件。被趋势科技标识为RANSOM_VIBOROT.THIAHAH的Virobot是具有勒索软件和僵尸网络功能的新型病毒。这意味着，一旦Virobot攻击了设备，除了进行加密之外，受感染的计算机将成为垃圾邮件发送者僵尸网络的一部分，以将勒索软件本身发送给更多受害者。

　　匿名网络：匿名网络的用途之一是在数字勒索攻击中的用途。在网络犯罪中采用匿名网络技术的原因很多。其中最突出的是执法机构和当局缺乏可追溯性。在通信中使用匿名性可以抵消许多安全工具中嵌入的黑名单策略。在I2CE3链的三个阶段（即通信，勒索和解锁）中，这项技术显而易见。许多勒索软件系列利用Tor和I2P等各种匿名网络与C＆C服务器通信，以绕过网络流量检查。Tor可通过TCP在实体之间提供匿名通信，它使用了一组志愿者机器来引导互联网流量。通信方的匿名性通常是通过洋葱路由实现的。在洋葱网络中，消息被封装到加密层中。但是，该技术可能会被诸如时序分析之类的方法所破坏。I2P是另一个通过端到端加密提供匿名对等通信的示例。为此，它采用了 garlic routing。CryptoWall 3.0版是典型的勒索软件，它利用I2P与其命令中心建立连接。

　　地下市场主要利用匿名网络与比特币等加密货币进行交易和走私商品。基本上，勒索软件背后的犯罪分子为受害者提供了勒索票据上的隐藏服务URL，这些URL需要安装Tor浏览器之类的应用程序或使用Tor2web之类的服务才能访问（支付赎金和释放劫持资源）。这种通信可防止窃听网络流量。例如，在完成文件加密之后的勒索和解锁阶段，CTB-Locker将通过Tor执行所有通信。通常，这是通过多个代理网站完成的，这些网站充当Tor隐藏服务的中继。TeslaCrypt向受害者显示勒索说明，其中提供了使用Tor隐藏服务以及如何用比特币支付赎金的说明。同样，Cerber勒索软件为用户提供了用于付款的Tor2web网关列表。

　　DGA：C＆C服务器是许多勒索软件系列的重要组成部分，它们扮演着攻击要素的协调角色。绝大多数勒索软件必须与C＆C服务器通信，以进行破坏性行为，或者在收到勒索后清理受害者的机器并释放资源。C＆C服务器地址可以以IP地址或域名的形式硬编码在恶意软件二进制文件内部，可以通过静态分析轻松检测和阻止。

　　在许多情况下，攻击的持续时间取决于命令中心的可用性以及从命令中心收到的指令。勒索软件活动利用各种技术绕过安全系统，以防止其C＆C服务器停机。这就是DGA作为与C＆C服务器通信的秘密机制而发挥作用的地方。应用该技术至少在完全对算法进行逆向之前，将很难关闭C＆C服务器。

　　域生成算法会在短时间内根据种子值定期生成大量伪随机域。这些域通常是附加到顶级域（TLD）的乱七八糟的字符串。生成的伪随机域根据其结构布局分为六个不同的组。负责处理C＆C服务器的漫游器牧民注册一个或几个生成的域名。勒索软件将DNS查询发送到生成的域，以解析并连接到已注册的域。因此，由于这些查询，可能会做出几个NXDomain响应。域名的数量取决于DGA的结构和设计，例如Gameover ZeuS每天生成1000个唯一域，此方法有助于加强针对黑名单策略和基于签名的技术的攻击。尽管该技术仍然存在弱点，但在通过DGA机制与C＆C通信的勒索软件中使用动态种子有助于增强其命令服务器。

　　加密货币：勒索软件是发展最快的行业之一，因为它提供了一种无需花费太多技巧或精力就能赚钱的方法。但是，在当前时代，网络犯罪分子不再仅仅出于经济动机，还出于政治动机。因此，根据攻击的目的，对手要求的赎金可以是金钱的，也可以是非金钱的。网络犯罪集团需要确保金融交易的安全，以确保攻击成功。因此，倾向于使用全球和分散的货币体系，而不是法定货币。数字货币和区块链技术通过消除中介机构并提供匿名性，为网络犯罪创造了获利机会。

　　如今，加密货币已成为计算机安全论坛中的热门话题，因为它的足迹已出现在勒索软件，加密矿工和网络钓鱼诈骗等许多攻击中。隐秘的货币由于其几乎无法追踪的性质，助长了勒索软件攻击的成功。随着2009年比特币作为第一种去中心化加密货币的出现，地下经济世界引发了革命，网络犯罪分子的注意力被吸引到了这种新的转账方式上。比特币是一种点对点的加密货币，它使用一个公开可用的共享交易分类帐，称为区块链。在大多数勒索软件攻击中，例如WannaCry，都是使用比特币付款。在网络攻击中使用数字货币的困难之一是市场的动荡，这使犯罪集团无法确切知道他们对受害者的要求是多少。因此，一些勒索软件家族（如 Scarab）在勒索阶段增加了谈判赎金金额的协商能力。除了比特币（勒索软件攻击最广泛使用的付款方式之一）外，诸如门罗币（Monero）之类的其他加密货币也越来越受到犯罪分子的欢迎。这种加密货币具有额外的安全性和隐私功能，可防止跟踪交易。例如， Kirk索软件将Monero用作勒索付款选项。

　　RaaS：在过去的几年中，勒索软件的威胁急剧上升。取得这种进展的原因之一是勒索软件即服务的概念，即RaaS。RaaS平台的出现使任何用户都具有恶意创建自己的勒索软件变体的能力，即使没有知识。通过这种方式，勒索软件的主要作者专注于恶意代码的开发和推广，并将其传播委托给分支机构。通过轻松访问RaaS，网络犯罪分子可以轻松地迁移到提供RaaS的网站，并且只需花费很少的精力即可构建自己的勒索软件变体。RaaS提供商小组会为每次成功感染赚取一部分赎金。

　　RaaS为僵尸网络的所有者或以任何方式访问许多计算机的人提供了良好的获利机会，Tox和Shark是RaaS平台的示例。这种平台的运营商主要使用匿名网络（例如Tor）来提供服务。此外，许多臭名昭著的勒索软件家族，例如Cerber，都利用这种业务模型在用户中广泛传播并获得更多利润。因此，可以将RaaS视为勒索软件攻击成功的因素之一。

　　通常，防御方法包括分析，检测，预防和恢复。在这里，将从建议的I2CE3攻击链的角度对勒索软件的最新防御性研究进行分类和调查。表3总结了其中的一些研究，以下各节对此进行了描述。

　　由于攻击者使用社交工程技术在感染阶段取得成功，因此对用户进行教育是一种明确的策略，大多数文献中都建议这样做。但是，一些研究工作已从技术上解决了检测垃圾邮件和恶意内容的问题。在检测垃圾邮件和网络钓鱼站点方面的许多研究也可以扩展到勒索软件攻击。专注于移动网络钓鱼攻击和针对它们的防御机制，并提供了建议策略的全面分类法。为了检测恶意电子邮件，可以利用机器学习方法对特征进行了研究，这些特征是从电子邮件组件中提取的，并将随机森林评估为结果中的最佳分类器。可以利用机器学习方法来区分恶意电子邮件附件和良性电子邮件附件，检查两种类型的附件：压缩档案和Microsoft Office文档。可以在感染阶段使用的另一个解决方案是垃圾邮件陷阱，它属于蜜罐类别。

　　此外，与其他恶意软件一样，大多数勒索软件也利用混淆和打包技术来阻止静态分析并绕过安全系统。因此，动态分析方法（也称为行为分析）开始起作用。通过在受控环境中执行代码的动态技术将能够观察其行为和功能。为此，可以使用诸如沙箱之类的技术来为新的和未知的勒索软件创建签名。这些分析工具将有助于监视和审查进程，注册表修改和网络活动，这是勒索软件安装阶段的主要支柱。

　　一种基于结构熵和模糊逻辑算法的方法可以以区分Android勒索软件和合法合法的移动应用程序，直接在可执行文件上执行了分析。通过将勒索软件样本的操作码序列转换为N-gram序列，然后为每个计算TF-IDF以选择特征N-gram来实现此目的。作者采用了五种机器学习算法来构建分类模型，并将其模型应用于来自八个家族的1787年勒索软件样本。

　　一个名为DRTHIS的系统可部署在 fog层上，以检测勒索软件并确定其各自的家族。利用并比较了两种深度学习技术，即长期短期记忆（LSTM）和卷积神经网络（CNN）进行分类。作者关于使用机器活动功能作为模型输入而不是使用API调用的观点是，API调用容易受到篡改，并在通过神经网络进行样品分类时引起错误。

　　尽管执行阶段的防御有些晚，但有人认为在此阶段部署了针对以前未知的勒索软件系列的最实用的防御解决方案。DoDR勒索软件需要文件的读写操作来加密或篡改其内容。在执行阶段防御勒索软件最有效且最常用的方法之一是通过各种方法来监视文件系统活动，包括挂钩系统服务描述符表（SSDT）。同样，在Crypto-Ransomware类中，一种防御策略是利用加密算法的设计和实现中的缺陷。在使用对称加密技术的情况下，由于密钥一直保留在受害者的机器中，直到用户在线并将密钥发送回C＆C服务器为止，因此可以利用内存取证工具进行内存转储。此阶段的另一项安全措施是审查勒索软件系列中常见的文件夹列表操作。但是clash节点怎么使用，文件系统扫描仪也表现出此行为。监视和保护主文件表（MFT），其中包含有关NTFS卷上所有已存储文件和目录的信息，是执行阶段的防御策略之一。由于在数字勒索攻击中（尤其是在LockerRansomware类别中）对MBR的操纵，因此现阶段还建议观察MBR的变化。

　　控制和限制对密码工具的访问可能是勒索攻击中提出的第一个对策，其重点是防御的执行阶段。但是，此方法无法检测在其内部采用嵌入式加密方法的勒索软件实例。如前所述，在执行阶段，勒索软件狂热地遍历文件系统以查找目标文件。ShieldFS，一种保护Windows本机文件系统免受勒索软件威胁的附加驱动程序。它创建了一组自适应模型，其中包含由不同的良性应用程序生成的超过17亿个I / O请求数据包（IRP），并通过监视一段时间内的低级文件系统活动来对其进行更新。提议的方法将这些信息与数据（例如写入熵，时间戳等）结合起来，以区分运行中的软件和好软件。任何违反此类模型的进程都将被检测为恶意程序，并且其操作将被回滚。此外，ShieldFS寻找指示符来说明对称密码原语的使用。为此，它调查了潜在恶意进程的内存，以查找典型的块密码密钥计划的痕迹。

　　一种基于白名单的勒索软件检测方法将访问控制策略应用于文件操作过程。白名单包含应用程序使用模式的记录，并且不需要由信任方进行更新。提出的方案包括内核模式下的文件监视组件，用户模式下的访问控制组件和访问控制DB。方法仅关注文档和系统文件。基于蜜文件的方法会检测和阻止勒索软件攻击。一旦恶意进程读取了在目标环境中部署的蜜文件，就使用的名为R-Locker的工具就会阻止攻击。

　　勒索软件攻击背后的团伙不仅在寻找安全和无法追踪的东西，而且还为受害者提供了简便的付款和交换方法，使用的最著名的数字货币是比特币。然而，门罗币的足迹也出现在互联网攻击中，尤其是加密矿工。同意受害者支付勒索赎金可以帮助强化勒索软件背后的黑客，但不能保证恢复数据并针对同一受害者重复这种攻击。虽然在勒索阶段之前已经进行了许多破坏性行动，并阻止了对资源的访问，但这一阶段也可以提供防御的机会

　　在勒索阶段，大多数有关防御的研究都集中在对比特币交易进行分析和分类。例如在CryptoLocker的情况下，考虑了通过检查赎金支付时间戳来分析比特币交易的问题。

　　一个名为BitIodine的模块化框架，该框架能够解析属于同一实体的区块链和集群地址。作者发布了此框架以构建比特币取证工具，特别关注从比特币网络中提取的信息的可视化。用于恶意目的的比特币地址共享相似的交易记录，包括活动时间短，发现量少，交易记录少等。实际上，它们根据交易历史记录对地址进行区分和分类。

　　CloudRPS为用户提供备份计划，同时分析和防止勒索软件攻击。RDS3通过隐式备份计算设备的备用空间中的数据来提供恢复功能。通过协调访问文件的请求并将特权请求重定向到受保护区域，可以保持用户原始数据的一致状态，从而提供补救功能。一种通过备份技术恢复受勒索软件感染的文件和系统的方法，当勒索软件调用加密库的功能时，所提出的程序将被触发并将秘密密钥存储在安全的存储库中。

　　可以将PayBreak实施为一种针对加密勒索软件威胁的主动防御机制。提出的模型监视程序，这些程序调用加密功能并拦截对此类功能的调用。然后，通过引入密钥托管机制，将对称会话密钥安全地存储在密钥库中。通过提供此功能，PayBreak允许受害者无需支付赎金即可检索受感染的文件。FlashGuard是耐勒索软件的固态驱动器（SSD），可提供固件级别的恢复系统。它的设计者修改了SSD的垃圾收集机制，以保护受影响和加密数据的副本的安全。结果，它能够通过返回其先前版本来恢复所有被覆盖的页面。

　　在过去的几年中，诸如勒索软件，Doxware和恶意加密矿工之类的网络犯罪攻击被在野利用。网络犯罪分子一直在寻求创新方法，以便根据人们的恐惧进行数字勒索。勒索软件被认为是通过地下市场勒索赚钱的最成功方法之一。蠕虫式传播机制已经为勒索软件活动引入了快速分发。得益于RaaS商业模式，勒索软件行业变得更加繁荣，坏人可以轻松地拥有定制的勒索软件而无需太多的技能和时间。基于勒索软件行业的不断增长和投资的快速回报，人们期望勒索软件开发人员将继续为自己的变体提供新功能，以扩展目标领域并扩大业务范围。因此，开发一种针对此类攻击的保护机制非常重要。但是，如果不全面了解这些威胁，几乎不可能设计出有效的防御系统.

　　在每个阶段确定的指标使安全专业人员可以根据这些指标建立解决方案，并在早期阶段消除攻击。尽管勒索软件领域正在进行研究，但仍存在一些需要解决的挑战。主要挑战之一是缺少具有代表性特征的勒索软件实例的完整数据库，因此基于机器学习和统计技术的技术可以使用通用数据集来测试其方法并将其与其他方法进行比较。这是未来研究计划的一部分。考虑到研究的分类，可以看出在执行阶段更加注重提供防御性解决方案，而以牺牲大量文件为代价。由于这种攻击具有不可逆的影响，因此在预执行阶段需要对预防性解决方案进行更多工作。在安装阶段提取特征也是另一个有趣的研究主题。