近些年在全球范围内出现了大规模的勒索软件感染事件，多个国家受到了严重影响。勒索软件不是第一次出现，通 过对大量感染案例和样本的分析，可以发现加密勒索软件的传播手段，主要包括以下几个方面：

•带有恶意文件附件或者钓鱼网站链接的邮件
•网站的恶意代码下载
•绑定在某些恶意软件上传播
•借助可移动存储介质传播

当含有加密勒索软件代码在用户电脑上运行时，会主动连接僵尸网络C&C主机，下载加密程序或者获取加密密钥, 然后遍历文件系统并对文件进行加密。

由于加密勒索的运行和加密的操作都是在后台完成，使用者没有感知，常常是使用者在文件无法访问时才发现加密 行为，这时从终端进行防范为时已晚。因此，如何从勒索软件的传播途径入手，在勒索软件到达电脑之前就实现对 其进行阻断，以主动式预防来保护和降低电脑终端被感染的风险就显得意义非凡了。

•攻击者通过电子邮件，将包含有恶意文件或钓鱼链接的邮件发送到用户的邮箱；
•用户打开了邮件的恶意文件附件并在电脑上运行，或者点击链接下载了含有恶意代码的文件，这些程序会自 动向C&C主机发起链接；
•当恶意程序链接到C&C主机后，可能会下载加密程序，同时获取随机加密密钥；
•勒索软件遍历用户电脑的文件，并对文件和应用进行加密处理，完成加密后删除密钥；
•攻击者发出勒索信息，通知用户支付赎金进行解密。

当使用者发现电脑的文件或应用无法访问时，会收到各种形式的勒索金钱的提示，包括以邮件或替换电脑桌面背景 等方式，提示受害者如何将赎金以比特币的形式交付给攻击者。
通过对多种案例和勒索软件的传播路径的分析，如果能够切断传播路径，将会大大减少用户收到勒索软件感染和入 侵的机会。思科建议采用主动的威胁防御模式，从加密勒索软件的传播路径入手，借助于思科Talos安全智能情报 中心和丰富的安全解决方案，着重分析传播路径的1、2和3,根据这几个阶段的不同特点，给出有效和可行的解决方案。

思科Talos安全智能情报中心，通过全球访问的流量侦测和海量样本收集，能够在勒索软件传播的第一时间，分析 其内在特征和传播特点，并将这些信息以各种形式更新到思科多种安全设备和服务中，通过采用全方位的安全防护 手段，实现动态的主动式防护。

思科Tai。s能够提供最新的安全情报信息包括:
•实时更新针对最新漏洞的攻击特征
•实时更新最新的Email和URL信誉
•实时更新最新的恶意软件样本
•实时更新最新的C&C地址

通过各种案例分析，加密勒索软件的传播途径尤其以电子邮件的比例最大，因此首先从邮件防御作为首要的防护手 段进行分析和解决。
思科邮件安全网关，以云安全防御中心Talos为核心，借助于全球最大的IP地址信誉库，采用智能威胁分析技术，能 够实现对带有勒索软件的邮件进行快速发现、分析和响应，有效地切断传播途径。

•垃圾邮件的深度防护

思科邮件安全网关设备，采用了业界领先的s ensorBase信誉过滤技术，能够直接将来信誉度评级差的邮件直接进 行拦截处理，包括带有勒索软件附件的很多垃圾邮件直接被拦截处理。
思科同时结合基于URL与情景感知的分析技术，能够对入站的防垃圾邮件进行深度分析和防护，采用包括DKIM和 SPF等技术，能够实现业界领先的99%的垃圾邮件识别率，并且低于百万分之一的误判率。

・零日威胁爆发过滤

思科邮件安全网关集成了AMP高级恶意代码防护和Outbreak Filter零日病毒爆发过滤技术°AMP通过基于云服务的 模式，能够针对邮件的附件信息进行信誉度判定，并根据其判定结果，确定放行或者拦截操作°OutbreakFilter零 日病毒爆发过滤技术，通过全球范文内的邮件流量侦测和采样分析，对新爆发的垃圾邮件或病毒邮件能够在第一时 间发现其特征，并通知所有的邮件安全设备，在防病毒引擎还没有更新的情况下，实现了零日威胁防护。

根据实际用户的反馈，思科邮件安全网关通过垃圾邮件的深度防护和零日爆发过滤技术，实现了对带有勒索软件邮 件的识别、分析和拦截，有效的切断了传播途径，大大降低了用户被感染加密勒索的风险。

思科ASA NGFW下一代防火墙和Firepower NGIPS产品，以出色的的自适应能力，采用威胁防御为核心的设计 架构，能够在攻击发生的整个过程，提供威胁保护。思科ASA NGFW下一代防火墙支持细粒度的应用可视性和控制(AVC)，基于信誉度和内容分类的URL过滤，基于大数据的高级恶意软件防护(AMP)和领先的下一代入侵防御 (NGIPS),为客户提供对已知和未知威胁的全面防护。

思科ASA NGFW和FirepowerNGIPS针对勒索软件的传播途径，能够有效的进行防御:
•检测并且拦截针对内部主机的攻击，减少勒索软件被植入的可能性
•整合AMP高级恶意软件防护功能
•检测内网中的C&C连接，切断已有勒索软件更新密钥的通路