勒索软件:进化、分类和防御解决方案综述

摘要
近年来，勒索软件已经成为针对终端用户、政府和商业组织的最臭名昭著的恶意软件之一。对于网络犯罪分子来说，它已经成为一项非常有利可图的业务，收入达数百万美元，对财务损失达数十亿美元的组织来说是一个非常严重的威胁。许多研究被提出以解决勒索软件威胁，包括涵盖勒索软件研究的某些方面的调查。然而，在文献中没有研究从目标平台的多样性方面对勒索病毒和勒索病毒防御研究进行完整的介绍。由于勒索软件已经在pc /工作站/台式机/笔记本电脑中流行，并在移动设备中变得更加流行，最近已经在IoT/CPS中流行，并可能很快在IoT/CPS领域进一步增长，了解勒索软件和分析与目标平台有关的防御机制变得更加迫切。为了填补这一空白，并推动进一步的研究，本文从个人计算机/工作站、移动设备和计算机等方面对勒索病毒及其防御研究进行了全面的综述
物联网/ CPS平台。涵盖1990-2020年期间的137项研究，对勒索软件的演变进行了详细概述，全面分析了勒索软件的关键构建模块，对重要的勒索软件家族进行了分类，并对关于pc /工作站、移动设备和IoT/CPS平台的勒索软件防御研究(即分析、检测和恢复)进行了广泛概述。
此外，为未来的勒索病毒研究得出了一个广泛的开放问题列表。我们相信这项调查将通过提供一个最先进的勒索软件研究的完整画面来推动进一步的研究。

近年来，一种独特的恶意软件，即勒索软件，所涉及的事件数量急剧增加。这种臭名昭著的恶意软件不仅针对普通终端用户，还针对政府和几乎任何行业的商业组织。
众多事件包括财富500公司[185]、银行[51]、云提供商[52]、芯片制造商[159]、邮轮运营商[177]、威胁监测服务[93]、政府[3,194]、医疗中心和医院[54]、学校[4]、大学[137]，甚至警察部门[69]。
据预测，由于勒索软件给组织造成的总损失将会持续
到2021年，每11秒就会有一个新组织受到这些攻击[72]。更糟糕的是，据报道，在2020年，德国发生了第一起因勒索软件攻击而造成的人员死亡事件[118]。上述事件已经使勒索病毒成为威胁和国防行为体(即政府、工业和学术界)之间的头号军备竞赛问题。
勒索软件(勒索软件)是恶意软件的一个子集，旨在限制对系统或数据的访问，直到攻击者满足要求的赎金数额[155]。根据勒索软件的使用方法，一般分为加密受害者文件的加密勒索软件和阻止受害者访问其系统的储物柜勒索软件两种。不管使用的方法是什么，这两种勒索软件都要求支付赎金以释放文件或访问系统。尽管第一个勒索软件出现于1989年，并且断断续续地存在了30多年，但它自2005年以来一直是最臭名昭著的威胁之一[103]。网络犯罪分子已经完善了勒索软件的攻击组件(例如，更强大的加密技术、伪匿名支付方法、类似蠕虫的功能等)，甚至开始通过学习过去的经验和利用技术进步来服务勒索软件即服务(RaaS)[162]。
文献中存在大量的分析、检测和防御研究来解决勒索病毒威胁。针对勒索软件研究的某些方面提出了一些调查。然而，目前尚无研究涵盖勒索软件的演化、特征、攻击阶段，以及针对多种平台(即pc /工作站、移动设备和IoT/CPS平台)的勒索软件防御研究的完整情况。我们认为这是文献中的一个重要研究缺口，因为了解勒索软件的关键特征和现有的防御解决方案在对抗这种不断增长的威胁方面变得越来越重要。由于勒索软件已经在pc /工作站/台式机/笔记本电脑中流行，并在移动设备中更加流行，最近已经在IoT/CPS中流行，并可能很快在IoT/CPS领域进一步发展，因此了解勒索软件并分析与目标平台相关的防御机制变得更加必要。为了填补这一研究空白，本文对pc /工作站、移动设备和IoT/CPS平台的勒索软件和勒索软件防御解决方案进行了全面的调查。我们的调查涵盖了1989-2020年期间在各种会议或期刊上发表的137项研究。这是文献中的第一项研究，全面分析了勒索软件的演变，给出了勒索软件的分类，并调研了各种平台(如pc /工作站、移动设备、IoT/CPS环境)上的勒索软件防御研究(即分析、检测和恢复)的最新进展。

•从1989年到2020年的勒索病毒演变的详细概述，包括勒索病毒的构建模块和著名勒索病毒家族的出现。
•对勒索软件、关键构建模块及其特征的全面分析，以及著名勒索软件家族的分类
•勒索软件防御研究(即勒索软件分析，勒索软件检测和勒索软件恢复)的广泛概述，以多种平台为重点
(pc /工作站、移动设备和IoT/CPS平台)。
•引出了在未来的勒索软件防御研究和实践中需要解决的大量开放研究问题。

本调查的结构组织如下:第2节给出了相关工作【这一部分将在本文跳过】。第3节概述了勒索软件及其演变。第4节分析了勒索软件的关键构建模块，并提出了一个值得注意的勒索软件家族的分类(作为在线补充材料)。第5节给出了关于pc /工作站，移动设备和IoT/CPS平台的勒索软件防御研究的广泛概述。第6节介绍了在未来的勒索病毒防御研究中需要解决的开放研究问题。第七部分是论文的总结。

2.相关研究

PASS，不是本文转载的目的所在。主要描述了其他研究者对勒索软件的工作近况和重心。

3.勒索软件和勒索软件的进化

勒索软件是恶意软件的一个子集，它阻止或限制用户访问他们的系统和/或数据，直到支付赎金[104]。勒索软件的主要目的是向受害者勒索钱财。根据采用的方法，勒索软件一般分为两类。
加密勒索软件:这种勒索软件加密受害者的文件，删除或覆盖原始文件，并要求支付赎金来解密文件。
锁定勒索软件:这种类型的勒索软件阻止受害者通过锁定屏幕或浏览器访问其系统，并要求支付赎金来解锁系统。与加密勒索软件不同，它不加密系统或用户数据。
勒索软件攻击阶段的概览如图1所示，这是我们基于之前的研究[16,23,41,100,119]所建立的。尽管有些勒索软件在所示模型中可能不具有单独的阶段，如Communication with C&C，但我们在此工作中的模型概括了勒索软件的攻击阶段。勒索软件的攻击阶段可以总结如下:

感染:在此阶段，勒索病毒被发送到受害者系统(例如，PC/工作站、移动设备、IoT/CPS设备等)。恶意行为者利用几种感染载体来实现勒索软件的交付。
与C&C服务器的通信:感染后，勒索病毒连接到命令和控制(C&C)服务器，与攻击者交换关键信息(即加密密钥、目标系统信息)。虽然有一些勒索软件与C&C服务器进行通信，但也有一些家族不进行任何通信。
破坏:在这一阶段，勒索软件执行实际的恶意行为，如加密文件或锁定系统，以防止受害者访问他/她的文件或系统。
勒索:最后，勒索软件通过显示赎金通知受害者攻击。勒索信披露了攻击细节和付款指令。
我们注意到，一些勒索病毒家族表现出类似蠕虫的行为，它们试图感染居住在同一网络中的更多受害者。我们将进一步详细分析每个攻击阶段在本文的第四节。然而，在此之前，我们全面挖掘了勒索软件的演变，指出了从勒索软件出现到2020年的重要事件。
尽管勒索软件攻击在过去的十年里大幅增加，但勒索软件的历史几乎始于第一台pc的出现。考虑到这些里程碑，勒索病毒的演变如图2所示。第一个勒索软件-艾滋病木马(又名PC Cyborg)创建于1989年[39]。20 000张感染了病毒的软盘通过邮件发给了艾滋病会议的与会者。它正在用一种自定义对称加密算法加密受感染计算机的C:\驱动器上的文件名，并要求赎金。事件发生7年后，研究人员解释了PC半机械人的缺陷，并概述了一个新的密码病毒学概念的出现[196]。他们开发了一种概念验证(PoC)恶意软件，使用公钥加密技术加密用户数据[197]，以提醒社区警惕未来的数字勒索犯罪。
除了艾滋病木马和密码病毒外，勒索病毒直到2005年还没有出现，可能是由于信息技术基础设施不发达，缺乏互联网连接，以及万维网(WWW)的不频率。然而,互联网越来越流行;社交媒体、博客和电子商务平台出现了，到2005年，连接互联网的用户数量达到了10亿，这使得数字勒索[28]和GPCode——第一个现代加密勒索软件出现了。GPCode通过钓鱼电子邮件感染目标计算机，使用自定义对称加密算法，并将加密密钥存储在受害者端。虽然它没有什么效果，但它为未来的勒索软件提供了一个设计模式的例子
在2005年至2006年间，CryZip、Archiveus[106]和Krotten[78]成为最早使用非对称加密的勒索软件家族。使用公钥和私钥进行加密和解密是勒索病毒的一个重要步骤，在不知道攻击者的解密密钥的情况下，几乎不可能进行恢复。
第一个寄存柜勒索软件random . c出现于2008年[155]。它锁定了受害者的桌面，并显示了一条声称来自Windows安全中心的勒索信息，要求用户拨打一个高级电话号码来重新激活许可证[155]。同年，Seftad勒索软件提出了一种修改目标计算机主引导记录的新方法(MBR)，防止系统正常启动[68]。然后，通过Paysafecard等预付支付方式要求赎金
直到加密货币出现之前，勒索软件的主要瓶颈是赎金支付。对于勒索软件的作者来说，没有一种方法不将支付限制在某些地区，不受当地法律当局的约束，并保护他们的匿名性，但允许转移大量的赎金[85]。2009年之后，比特币等加密货币的出现和流行，帮助网络犯罪分子解决了这些问题。由于攻击者认为他们的匿名性通过区块链得以保留(事实上区块链交易可以被追踪，使其成为伪匿名[186])，勒索软件得以克服最大的操作瓶颈。这一进展导致威胁行为者进行更广泛的勒索软件攻击。2011年发现了大约6万个新的勒索软件家族
另一个著名的储物柜勒索软件Reveton(又名警察勒索软件)在2012年以一种不同的技术出现。除了锁定受害者的电脑，它还试图从受害者的电脑[33]中窃取有价值的信息。与此同时，作为高级加密勒索软件变种的发起者，CryptoLocker于2013年诞生。它在加密某些类型的文件(例如。pdf、。zip)使用2048位RSA，并要求以比特币支付赎金。
2014年，曲线比特币(Curve-Tor-Bitcoin, CTB) Locker问世，它的名字来源于它所使用的关键技术。Curve表示使用椭圆曲线加密(Elliptic Curve Cryptography, ECC)进行加密，TOR表示支付赎金时使用的匿名保护网页浏览方案，Bitcoin表示支付赎金[174]。同年，Cryptowall加密勒索软件也在使用TOR和比特币，并删除卷影子副本以防止文件恢复。它感染了60多万个系统
第一款手机锁勒索软件Android Defender于2014年问世。它伪装成一个合法的杀毒软件来欺骗用户[147]。一年后，第一个移动加密勒索软件——Android Defender出现了。感染后，它会扫描移动设备的SD卡，并使用AES加密特定扩展名的文件。二进制文件中的硬编码加密密钥使得提取密钥以解密文件变得轻而易举
从2015年开始，勒索软件开始以其他操作系统为目标。2015年Linux。Encoder[43]作为第一个针对GNU/Linux平台的勒索软件出现[191]。它正在加密主目录和与网站管理相关的目录。第二年，第一个macOS勒索软件KeRanger使用有效的Mac应用程序开发证书签名，绕过了苹果的保护机制。Linux。encoder和KeRanger使用的是混合加密

勒索软件作为一种新型的网络犯罪商业模式，随着2015年“勒索软件即服务”(ransomware - As -a- service, RaaS)的出现，勒索软件的威胁上升到了一个新的维度。RaaS旨在提供用户友好、易于修改的勒索软件套件，任何人都可以在地下市场购买这些套件。这是勒索病毒进化的重要一步，因为它可以很容易地重新打包以感染任何平台，这使它与平台无关。RaaS提升了全球勒索软件攻击的数量
2017年，WannaCry勒索软件出现，成为当年最严重的网络犯罪。在微软Windows的帮助下，它影响了150个国家的25万多个系统SMB服务器远程代码执行漏洞。它使用AES用不同的密钥对每个文件进行加密，然后使用2048位RSA对单个密钥进行加密
2018年，PureLocker出现了，它是用PureBasic编程语言编写的，这使它与平台无关。它使用混合加密，并显示一个勒索信，攻击者要求受害者通过质子不可追踪的安全电子邮件服务联系他/她。
近年来，网络罪犯开始设计新的勒索软件家族，以特定的受害者为目标。其中一个例子是2019年的Ryuk，它只针对企业[159]。与其他勒索软件不同，Ryuk主要通过其他恶意软件感染目标，其中最著名的是TrickBot。
在2020年的全球大流行期间，对卫生中心的需求及其脆弱性增加了对卫生组织的勒索病毒攻击数量，甚至出现了一种名为Corona[6]的新勒索病毒菌株。科罗娜的目标是医院，它正在加密患者的健康记录。在那之后，它显示了一条以covid -19为主题的赎金信息。
从勒索软件的演变过程可以看出，这种臭名昭著的威胁始于1989年的弱威胁，缺乏强而快速的加密技术、多样化的感染载体、(伪)匿名支付方式和种类繁多的目标。然而，随着技术的发展，勒索软件的作者从以前的失败尝试和技术进步中吸取了教训，因此使勒索软件成为头号网络威胁。这种演变不仅影响最终用户，而且影响组织、企业和关键基础设施。虽然安全研究人员可以在第一个例子之后成功地恢复文件/系统
(不成功的)勒索软件攻击，目前，几乎不可能恢复的文件/系统没有赎金或恢复可用的备份。成功的勒索软件攻击不仅会给目标造成金钱和时间的损失，还会损害声誉。随着勒索软件从平台依赖到平台独立，从简单的勒索软件到成熟的RaaS模型，它变得越来越普遍，威胁着几乎每一个计算机化的系统/目标。

4.勒索软件的分类

勒索软件有多种分类方式。在本研究中，我们根据勒索软件的目标、感染方法、C&C通信和恶意行为(破坏技术)进行了分类，如图3所示。在本节中，我们首先提供每个分类类别的概述，然后根据我们的方法对著名的勒索病毒家族进行分类。

以目标为指向的

勒索软件可以根据它们的目标分为两类，这两类是相互正交的:目标受害者和目标平台。
Ransomware的受害者。勒索软件可以针对各种类型的受害者。分析勒索病毒的受害者类型可以为设计实用的防御机制提供有价值的信息。勒索软件的受害者可以分为两类:最终用户和组织。
最终用户是第一批勒索软件家族的主要目标。缺乏安全意识和技术援助使勒索软件对终端用户特别有效[155]。
加密勒索软件可以加密存储在个人设备(例如个人电脑、笔记本电脑、智能手机等)中值得支付的个人文件。与此同时，除非支付赎金，否则储物柜变体可能会锁定最终用户的设备并阻止访问。不出所料，最终用户要求的赎金金额明显低于组织目标的金额[155]。此外，一个单一的勒索软件可能会感染成千上万的最终用户系统，这使得它有利可图。
组织最初并不是勒索软件的主要目标。然而，随着勒索软件的不断发展，包括政府、医院[94]、企业和学校[83]在内的许多类型的组织经常成为攻击目标。在这些攻击中，网络罪犯提前选择他们的目标，并试图造成最大程度的破坏，以期获得大笔赎金[139]。
Locker勒索软件可以锁定目标使用的计算机，这可能导致该组织的整个行动停止[194]。同样，加密勒索软件可以加密存储在组织系统中的有价值的信息，并使其无法访问，直到支付巨额赎金。网络罪犯还可以威胁将目标的数据公之于众。

---

勒索软件的目标平台。了解勒索软件行为的另一个关键点是目标平台。勒索软件以各种平台为目标。大多数情况下，它是专门为平台和目标操作系统设计的，因为它经常利用系统特定的库/函数(即系统调用)来执行其恶意操作[155]。在本研究中，我们将互换使用平台和操作系统术语，并将勒索软件的目标平台分为三类:pc /工作站、移动设备和物联网/CPS设备。 个人电脑/工作站。勒索软件最常见的目标是pc /工作站。由于在用户中非常流行[179]，大多数勒索软件都以安装Windows操作系统的pc和工作站为目标。此外，还有一些勒索软件家族针对其他操作系统，例如macOS的KeRanger和GNU/Linux平台的LinuxEncoder。受害者可以通过重新安装操作系统来减轻屏幕锁定勒索软件的攻击。另一方面，对于加密勒索软件，由于使用了先进的加密技术，几乎不可能解密和恢复文件[183]。因此，加密勒索软件家族是pc /工作站的主要威胁。 移动设备。随着移动设备在社会上的日益普及，智能手机等移动设备成为勒索软件的理想目标。在移动设备方面，勒索软件成为目标 Android和iOS平台，因为这两个平台分享了全球最大的移动操作系统市场。苹果有一个严格控制的生态系统，应用程序在发布给用户之前会被彻底审查。可能因为这个原因，iOS用户没有受到勒索软件的影响。 只有伪造的iOS设备勒索软件的例子[136]。恰恰相反，由于Android平台的开放生态系统，勒索软件对Android用户构成了严重威胁。事实上，第一个针对移动设备的储物柜勒索软件，即Android Defender -在2013年出现，目标是Android平台，并在次年出现了第一个加密勒索软件Simplocker[147]。即使对于个人电脑/工作站来说，加密勒索软件也更多威胁比储物柜变种，它是相反的方式，移动勒索软件。潜在的原因是，在pc /工作站上，寄存柜勒索软件的影响可以通过删除硬盘驱动器来避免[172]，而在移动设备上，相同的过程并不容易。 物联网/ CPS设备。物联网和CPS设备目前还不是勒索软件的主要目标。然而，这类设备在包括但不限于智能家居、智能健康、智能建筑、智能交通、智能城市、智能工厂等众多部署领域变得越来越普遍[135,149]。事实上，工业物联网和CPS设备(如plc、RTUs、RIOs等)已经在推动智能电网、水和天然气管道、核电站和化工厂的工业控制系统。尽管目前针对此类设备的现有勒索软件[61]并不普遍，但未来对手可以更多地针对此类环境。 ## 感染方向 勒索软件的作者采用了传统恶意软件使用的感染技术来感染他们的目标。勒索病毒的感染方式可以分为恶意电子邮件、短信(SMS)、恶意应用程序、下载驱动、漏洞等5种。 恶意电子邮件是勒索病毒最常用的感染载体。攻击者向带有勒索软件附件的受害者发送垃圾邮件[164]。这种垃圾邮件活动可以使用僵尸网络来传播[110,139]。勒索软件可能附带一个恶意文件，或者电子邮件可能包含一个恶意链接，一旦访问就会触发安装勒索软件(驱动下载)。 手机勒索软件经常使用SMS消息或IMs。在这类感染中，攻击者向受害者发送SMS消息或IMs，这将导致他们浏览恶意网站，并将勒索软件下载到他们的平台上[140,147]。 勒索软件攻击者使用恶意应用程序开发并部署包含勒索软件的移动应用程序，这些应用程序伪装成良性应用程序[140,147]。 当用户不知情地访问受感染的网站或点击恶意广告(即恶意广告)时，就会发生驱动下载，然后恶意软件在用户不知情的情况下被下载和安装[176]。 受害者平台中的漏洞，如操作系统[40]、浏览器[163]或软件中的漏洞，可以被勒索软件作者用作感染载体。攻击者可以使用辅助应用程序、漏洞利用工具包来利用目标系统中的已知漏洞或零日漏洞。攻击者可以通过恶意广告和恶意链接将受害者重定向到这些工具包。 ## CC（命令-控制）通信 命令-控制(command-and-control, C&C)服务器是攻击者域内的远程服务器[130]。C&C服务器经常被对手用来通信和配置恶意软件。在勒索软件背景下，C&C服务器主要被加密勒索软件家族用于发送或接收加密密钥，用于加密受害者的文件和/或应用程序。 勒索软件家族大多使用HTTP或HTTPS协议实现此目的[175]。勒索软件家族可以通过硬编码的IP地址或域名连接到C&C服务器，或者使用域名生成算法(DGA)动态快速流动/生成/移位域名。 硬编码的IP /域:勒索软件家族可以将硬编码的IP地址或域嵌入到他们的二进制文件中，以建立到C&C服务器的连接。在这种方法中，每次攻击都保持相同的IP地址或域，为攻击者提供了可靠的通信。然而，这些硬编码值可以被防御系统用来创建用于检测的特征码。 动态域:域生成算法(DGA)被勒索病毒族用来动态联系C&C服务器。这些算法通过快速流动/生成/移动域名，为每次通信向服务器提供唯一的域名。这种形式的通信为勒索软件提供了更健壮的通信，防火墙无法轻易检测到它 ## 恶意行为 尽管所有勒索病毒家族的设计目的都是向受害者勒索钱财，但就恶意行为而言，它们可以表现出不同的特征。勒索软件可以采取的恶意行动可以分为两类:加密和锁定。 加密是由加密勒索软件家族实施的恶意行为，目的是防止访问受害者的文件，除非支付赎金。勒索软件首先准备密钥，然后开始加密过程。以前，勒索软件家族只对位于硬盘[39]特定部分的文件进行加密。随着时间的推移，勒索软件的作者开始瞄准可能包含受害者有价值信息的特定文件类型(例如。doc、。zip、。pdf)。经过加密处理后，勒索软件可以对原始受害文件显示各种破坏行为，如删除或覆盖。在本小节中，我们首先解释勒索软件使用的加密技术，然后简要概述破坏行为。 加密技术:勒索软件可以使用对称、非对称或混合加密技术。为了执行加密操作，勒索软件可以利用系统api，或位于勒索软件实际源代码中的预实现加密算法[168]。 对称密钥加密:对称密钥加密只使用一个密钥对文件进行加密和解密。与非对称密钥加密相比，它加密大量文件所需的资源更少，因此勒索软件可以更快地加密受害者文件[180]。 然而，攻击者需要确保受害者在加密过程后无法访问密钥[155]。加密密钥要么在目标系统上生成，要么嵌入到勒索软件二进制文件中。加密完成后，勒索软件通过C&C通信将加密密钥发送给攻击者。虽然勒索软件家族一直在使用不同的对称密钥加密算法，但AES(高级加密标准)是最流行的算法。 非对称密钥加密:在这种方法中，勒索软件利用一对密钥，即公钥和私钥，对文件进行加密和解密。非对称密钥加密虽然对大量的文件加密效率不高，但由于加密和解密需要单独的密钥，解决了密钥保护问题。攻击者可以像TeslaCrypt[87]那样将公钥嵌入到二进制文件中，这样勒索软件就可以在不连接C&C的情况下启动加密。它们还可以在受害者系统上生成密钥，如CryptoLocker[45]。在一些勒索软件家族中，如WannaCry[12]，攻击者的公钥是通过C&C通信传递的。因此，启动加密需要连接到C&C服务器。此外，一些变种可以为每个受害者生成唯一的公私密钥对。这使得攻击者可以解密一个受害者的文件，而不会泄露私钥，而私钥也可以用来解密其他受害者的文件[155]。 RSA (Rivest-Shamir-Adleman)是最常用的非对称密钥算法。 混合加密:攻击者在混合加密中结合了两种加密技术的优点。在这方面，勒索软件首先使用对称密钥加密来快速加密受害者的文件。然后用攻击者的公钥对所使用的对称密钥进行加密。一般来说，攻击者的公钥被嵌入到勒索软件的二进制文件中，因此这些变体在攻击过程中不需要连接到C&C服务器。 破坏行为:勒索软件在完成加密过程后，对受害者的原始文件进行破坏时，可以表现出不同的行为。一些勒索软件家族会对文件进行加密，这样他们就会用加密版本覆盖原始文件。另一方面，一些家族通过修改主文件表(Master File Table, MFT)删除受害者的原始文件，并创建一个包含原始文件加密版本的新文件[103]。为了消除从文件系统快照中恢复文件的机会，一些勒索软件如锁定后，删除Windows卷影副本感染。

---

锁定。储物柜勒索软件家族锁定系统组件，防止受害者进入。根据目标的不同，勒索软件的锁定可以分为三类:屏幕锁定、浏览器锁定和主引导记录(MBR)锁定。
屏幕锁定勒索软件锁定系统的图形用户界面，阻止访问，同时要求赎金解除限制。他们可以使用不同的方法锁定受害者的屏幕，包括使用操作系统函数(例如CreateDesktop)来创建一个新的桌面并使其持久[103]。一些勒索软件家族，如Reveton[33]可以下载图像或C&C服务器的HTML页面，并动态创建它们的锁横幅。屏幕锁定勒索软件也可以针对移动设备。在这方面，屏幕锁定经常应用于Android勒索软件家族[147]。为了锁定移动设备，虽然有些家族(如LockerPin)将特定参数设置为Android系统api以使Android屏幕持久，但其他家族(如WipeLocker)禁用移动设备的特定按钮(如Home按钮)[76]。
浏览器锁定勒索软件家庭锁定受害者的网络浏览器，并要求赎金。攻击者通过将受害者重定向到包含恶意代码的网页来锁定受害者的浏览器JavaScript代码。与其他恶意勒索软件的策略不同，从浏览器锁中恢复相对简单。为了恐吓受害者，这种勒索软件可以显示“电脑因违反法律而被阻止”的勒索信息。
MBR锁定勒索软件家族，如Seftad[68]，目标系统的主引导记录(MBR)。系统的MBR包含引导操作系统所需的信息。因此，这种恶意行为的目的是防止系统通过用伪造的MBR替换原始的MBR或加密原始的MBR来加载引导代码。

---

数据漏出。除了加密和破坏，一些勒索病毒家族，特别是最近的勒索病毒家族，还试图窃取受害者的宝贵信息(例如信用卡信息、公司文件、个人文件等)[115]。事实上，一些勒索软件家庭要求支付两笔赎金。因此，一种支付用于发送密钥来解密文件，另一种用于防止发布被盗信息[160]。这种行为的动机是向受害者索要更多的赎金，并加快支付过程。

勒索法分类

勒索软件的主要目的是向受害者勒索金钱(即赎金)。勒索软件勒索手段的基本特点是匿名性。在勒索软件的演变过程中，网络罪犯使用了不同的勒索方法。支付方式，如保费短信，预付费代金券，如Paysafe卡已被勒索软件家庭使用。然而，比特币等加密货币由于其去中心化和不受监管的性质、伪匿名性以及不受当地法律当局的约束，目前是勒索资金的最首选方法。

著名勒索病毒家族的分类

由于篇幅限制，我们在在线补充材料中提供了著名勒索病毒家族的分析和分类。我们真诚地建议读者阅读本文的其余部分本章通过本文的DOI链接。我们的分类包括1989-2020年期间在野外观察到的著名勒索软件家族。为了构建著名勒索软件家族的数据集，我们使用了安全公司的主要攻击实例[6,33,38,39,68]，学术论文[11,41,58,103,119]和流行的博客文章[45,63,97,106,147,155,160,187]。

5.勒索软件防御研究

在本节中，我们对勒索软件防御研究进行了广泛的概述。如图4所示，勒索软件防御研究可分为分析、检测、恢复和其他防御研究四类。本文针对pc /工作站、移动设备和IoT/CPS的目标平台，提供了每个研究领域的分类法。基于目标平台，首先概述了各类勒索软件分析技术，然后对勒索软件检测系统进行分类和解释，最后总结了勒索软件的恢复机制。除了这三类之外，还有一些不属于上述任何一类的研究被总结为本调查中的其他方法类别

分析

勒索软件分析包括了解勒索软件的行为和/或特征的活动。与传统的恶意软件分析类似，勒索软件分析技术可以分为静态和动态两类。
静态分析旨在通过从样本中提取结构信息而不实际运行样本来了解样本是否为勒索软件。为了在不运行样本的情况下分析样本并仍然获得有用信息，研究人员对样本二进制文件进行分解，并提取有关样本结构/内容的信息。静态分析通常是快速和安全的，因为样本没有运行。然而，恶意代码的隐藏(混淆、多态、加密)和反反汇编等技术使得静态分析更加困难，利用静态分析得到的恶意代码结构特征逃避防御方案的攻击。
勒索软件的动态分析包括运行样本并观察其行为，以确定样本是否为勒索软件。动态分析是通过在隔离的环境(即沙盒)中运行样本来执行的，以避免所分析的样本可能造成的破坏。研究人员可以使用沙盒环境提供的挂钩技术和功能来监控样本的行为。由于它需要一个孤立的环境和实际激活勒索软件，与静态分析相比，它在时间和资源方面是昂贵的。能够有效对抗静态分析的隐藏技术和反汇编技术，由于不能有效地隐藏勒索软件的行为，无法有效对抗动态分析。然而，勒索病毒的作者利用了反调试技术、沙盒指纹方法和逻辑炸弹方案(例如，根据特定的时间或事件发生激活恶意行为)使得动态分析工作更加困难。
静态分析和动态分析各有优缺点，导致研究者将这两种方法用于混合分析。在本节中，我们对勒索软件研究中提取的静态和动态分析特征进行分类和概述。

---

pc /工作站中的勒索软件分析。在这一小节中，我们给出了结构和行为特征的概述，分别通过静态和动态分析以pc /工作站为目标的勒索软件样本获得。
从勒索软件中获取的pc /工作站的结构特征包括文件哈希、头信息、函数/API/系统调用、字符串、操作码和文件类型。研究人员从针对pc /工作站的勒索病毒样本中获得这些特征，而无需运行样本。
勒索软件在销毁过程结束时显示一个勒索通知。此外，勒索软件的二进制文件包括加密、比特币、特定IP地址[41]等字符串。那些从样本中获得的字符串可能是勒索软件的迹象。
文件哈希:样本的哈希摘要可以根据已知的勒索软件哈希数据库进行查找，以检测勒索软件。然而，仅依靠哈希值的防御机制很容易被攻击者对勒索病毒实施的小操作所规避。
文件头信息:样本文件的文件头(例如，Windows中的PE文件头，
Linux中的ELF (Executable and Linkable Format)头文件和macOS中的Mach-O头文件(Mach-O头文件)可以提供有关样本恶意特征的宝贵信息。研究人员可以通过检查样本的标题来分析部分信息、符号、可选标题等。
函数/API/系统调用:函数/系统/API调用可以通过静态分析得到。
这些调用可被应用程序用于关键操作，如加密、内存管理、文件系统或网络操作，这些操作可以区分勒索软件和良性应用程序[168]。
操作码:指令操作码和操作码序列模式可用于确定样本是否为勒索软件。
勒索软件获取的pc /工作站的行为特征包括注册表活动、主机日志、进程活动、文件系统活动、函数/API/系统调用的输入和输出、I/O访问模式、网络活动、资源使用和传感器读数。研究人员通过在分析环境中运行以pc /工作站为目标的勒索病毒样本来获取这些特征。
注册表活动:在Windows平台的安装过程中，勒索软件在注册表中执行更改，以在系统重启后保持持久性[170]。然而，不仅勒索软件，而且其他恶意软件也会在注册表中执行类似的更改以保持持久性。因此，注册表活动可以作为一个额外的功能来检测勒索软件。
主机日志:从主机日志中提取的事件可以用来捕获系统[48]中的勒索软件行为。
文件系统活动:勒索软件扫描文件系统，加密全部或部分文件，并删除或覆盖现有文件。因此，文件系统活动可以用于勒索软件检测。
函数/API/系统调用:虽然函数/API/系统调用可以通过静态分析得到，但实际调用、参数、结果和序列可以通过动态分析得到。
I/O访问:勒索软件执行的操作(即加密、删除或覆盖)涉及读、写、删除等重复的I/O访问活动。因此，I/O访问模式可以用来检测勒索软件[103]。
网络活动:与通信相关的特征，如源和目的IP地址、端口、域名和协议，可以被研究人员用来确定样本是否显示类似勒索软件的通信行为。
资源使用:由于勒索软件依赖于加密操作，高CPU使用率或内存使用率可能是系统中存在勒索软件的标志[74]。
传感器读数:pc /工作站的车载传感器读数可以给出异常活动的线索，表明系统中存在勒索软件[184]。

---

移动设备勒索软件分析。在本小节中，我们分别从静态和动态分析针对移动设备的勒索软件样本中获得结构和行为特征的概述。
从移动设备勒索软件中获取的结构化特征包括字符串、操作码、应用图像、权限请求和API包。
字符串:从打包的移动应用程序中提取的字符串可以用作检测移动勒索软件的功能。这些字符串可以包含IP地址、域名、勒索信等，这有助于检测勒索软件。
Opcodes:从反汇编的应用程序字节码中获取的指令操作码，可用于了解移动应用程序是否具有勒索软件的特征。
应用程序图像:从应用程序提取的图像可能包含赎金相关的材料
(即赎金消息图像)[76]，因此可作为检测移动勒索软件的特征。
权限:移动应用访问和使用移动设备的资源需要经过用户的批准。权限可以是移动应用程序勒索软件意图的一个指标。
API包:可以从移动应用的源代码中提取API包，以确定恶意加密或锁定特征。
从移动设备勒索软件中获取的行为特征包括函数/API/系统调用、用户交互、文件系统特征和资源使用。
函数/API/系统调用:研究人员可以通过分析移动应用程序在运行时发出的函数/API/系统调用来检测移动勒索病毒的变种。
用户交互:将用户交互与应用程序运行时发生的事件进行匹配，可以用于检测勒索软件的存在。
文件系统特征:像在pc /工作站中一样，从移动设备的文件系统中提取的特征可以用来了解勒索软件的存在。
资源使用:与pc /工作站类似，移动设备上的资源使用模式出现异常(如电量消耗)可能是移动勒索软件存在的迹象

---

物联网/CPS平台中的勒索病毒分析。在本节中，我们概述了从勒索软件中提取的以IoT/CPS平台为目标的结构和行为特征。物联网/CPS环境下的勒索病毒防御研究尚处于起步阶段，相关文献较少。考虑到现有的勒索病毒防御研究的目标
在IoT/CPS平台中，文献只使用了行为特征，即网络活动。
网络活动:研究人员在IoT/CPS环境中捕获与网络相关的特征，以发现标志着勒索软件[14]存在的通信模式。

勒索软件探测

在本小节中，我们将分类和总结与目标平台有关的现有勒索软件检测机制。基于所采用的方法，我们将检测系统分为8类:
•基于黑名单:系统使用已知被勒索软件家族使用的恶意域名或IP地址列表检测勒索软件。
基于规则:系统使用使用分析特征构建的规则来检测勒索软件。规则可以是与恶意软件检测引擎兼容的规则(例如:
YARA)、恶意评分或阈值。
•基于统计的:系统通过统计特征来检测勒索软件，表明样本是勒索软件。
基于形式化方法:该系统使用可以区分恶意和良性模式的形式化模型来检测勒索软件。
•基于自然启发的计算:系统检测勒索软件使用的技术灵感来自自然和生物。
基于信息论:系统使用信息论方法(如熵)检测勒索软件。加密勒索软件菌株执行的加密操作会导致文件的信息内容发生变化。因此，一些研究人员认为熵的显著变化是勒索软件的一个指标。
然而，对已经压缩的文件格式进行的良性加密、压缩和文件转换操作也会导致高熵值。因此，熵通常被用作勒索软件检测的支持特征。
基于机器学习:系统通过使用一组分析功能构建的ML模型来检测勒索软件。基于ml的勒索软件检测系统要么使用结构特征，要么使用行为特征，或者两者都使用。研究人员通过对勒索软件二进制文件的静态分析得到勒索软件的结构特征。在训练过程中利用结构特征
ML分类器，检测系统可以检测勒索软件二进制结构中的模式。
另一方面，通过对勒索软件二进制文件的动态分析获得行为特征。通过在ML分类器的训练过程中使用行为特征，检测系统可以检测出勒索软件二进制程序中的行为模式。
•混合:系统通过一套检测技术检测勒索软件。

---

pc /工作站的勒索软件检测。在本小节中，我们将概述基于规则的、基于机器学习的、基于深度学习的、基于信息论的和其他用于pc /工作站的勒索软件检测系统。
基于黑名单检测。Akbanov等[10]研究了WannaCry勒索软件在SDN上的行为，提出了一种基于SDN的勒索软件检测方法。他们的检测系统作为SDN控制器上的应用程序运行，并监测网络流量，以防止出现恶意域名或WannaCry使用的IP地址。一旦检测到匹配的流，就会生成阻止恶意流量的规则。
基于规则的检测。YARA规则是由Medhat等人[126]的基于规则的勒索软件检测系统使用来自勒索软件二进制文件的文件和加密库、字符串和文件扩展名的API调用创建的。他们的系统使用YARA扫描器扫描每个样本，并根据样本中这些特征的存在性给它们打分。
在CryptoDrop[156]和REDEMPTION[102]中计算恶意评分来检测勒索软件。而CryptoDrop[156]利用文件类型变化、文件相似度和熵、文件删除、文件类型漏斗来确定得分，REDEMPTION [102]利用目录遍历、文件类型变化、访问频率和文件内容特征(即数据块的熵比、文件内容覆盖、删除操作)进行评分计算。在Amoeba[131]由Min等人提出，勒索病毒攻击的风险指标是针对SSD的每一次写操作计算的。Amoeba使用强度(写请求的数量)、相似度(新旧数据的相似度)和页面写操作的熵来计算风险指标并检测勒索病毒。在[101]中，开发了一个生成人工用户环境的勒索软件分析系统，该系统监视文件访问模式和缓冲区熵。另外，通过对分析环境进行截图，并检查截图的结构相似性是否超过阈值，从而调查勒索信，从而检测locker勒索软件。
针对利用网络流量特征的基于规则的系统，提出了REDFISH[133]来检测加密网络共享卷中文件的勒索软件。它监控pc /工作站之间的流量和网络共享卷，并对文件删除数量、删除事件之间的时间间隔和平均读写速度应用三个阈值。Cabaj等人在[44]的工作中，针对勒索病毒家族的HTTP POST消息内容大小构建了质心点。如果来自质心的三个连续HTTP POST消息内容大小的欧氏距离低于阈值，则检测勒索软件。
统计数据检测。Palisse等人提出了一种基于统计的勒索软件检测系统，即数据感知防御(Data Aware Defense, DAD)[141]。DAD侧重于从写操作中获得的特性，如缓冲区内容、大小、偏移量、文件名、进程id和名称以及线程id。考虑到最近的50次写操作，它使用卡方拟合优度测试，检查得到的中位数是否超过某个阈值。
基于理论的检测信息。由于对已经压缩的文件格式进行的良性加密、压缩和文件转换操作也会导致较高的熵值，因此一些研究人员[55,101,102,131,143,156]将熵作为其检测系统的支持特征。然而，目前很少有研究将熵作为勒索软件检测的主要特征。对此，Lee等人[113]提出了一种检测系统，旨在检测勒索软件，并防止勒索软件影响云存储备份。他们的系统计算即将传输到云存储系统的文件的熵，并将其与阈值进行比较，以检测勒索软件。
正式的方法检测。在[91]中，Iffländer等人提出了DIMAQS (Dynamic Identification of Malicious Query Sequences)用于检测以数据库服务器为目标的勒索软件。
DIMAQS采用基于着色Petri网的分类器来检测勒索软件对目标数据库服务器的恶意查询序列。自然启发的基于计算的检测。Lu等人[116]提出了一种基于人工免疫系统的勒索病毒检测系统。该系统使用API调用n-gram作为抗原，并采用双层否定选择算法来区分勒索软件和良性应用。

基于机器学习的检测
通过结构特点:在基于ml的勒索软件检测系统方面
利用pc /工作站的结构特征，研究人员采用了指令操作码、API调用和dll。
[37, 152, 200, 201]使用二进制的指令操作码序列来构建用于勒索软件检测的ML分类器。Zhang等人[200]使用Opcode n-grams来构建深度神经网络
基于神经网络(DNN)的分类器，由Xiao等人[201]构建各种ML分类器。同时使用各种指令(即数据处理、算术、逻辑和控制流)的操作码
为了建立Saleh等人的隐马尔可夫模型(HMM)[152]，使用了操作码密度
建立支持向量机(SVM)分类器用于勒索软件检测。
Martinelli等人[124]使用API调用频率进行勒索软件检测。他们提取
通过静态分析勒索软件样本的API调用，并根据API调用频率训练随机森林(RF)分类器来检测勒索软件。
Poudyal等人[146]没有使用单一的结构特征，而是使用了多种特征来提取二进制文件的操作码和dll，并构建了一个RF分类器。
通过行为特征:针对基于ml的勒索软件检测系统提出
利用行为特征，研究人员监测和/或分析硬件、文件系统、网络流量和API调用行为。
通过硬件行为:研究人员监控PC/工作站硬件，包括存储硬件、机载传感器和内存转储，以检测勒索软件。
研究人员利用CPU在存储设备上执行的I/O操作进行勒索软件检测。然而，对I/O操作和存储硬件的监控产生了高粒度的数据(如块地址、读写类型、数据大小等)，通过监控[35]的I/O操作无法获取进程和文件信息等更高层次的数据，使得检测变得更加困难。Baek等人[35]提出了SSD- insider，通过监视I/O请求头来检测SSD上覆盖行为中的勒索软件模式。他们训练了一个决定
从I/O请求头中获得具有6个覆盖相关特征的树(DT)分类器。在
RansomBlocker [143]， Park等人介绍了一种加密感知的勒索病毒保护系统，该系统可以检查写入主机SSD的数据的熵。他们的系统使用卷积
基于神经网络(CNN)的分类器，区分高熵的良性写操作和加密写操作。
Cohen和Nissim[53]利用volatile框架对虚拟机的volatile内存进行监控。他们从内存转储中提取了DLL和进程特征、内核模块和回调、特权、服务、句柄等，并训练了各种ML模型来检测私有云中的勒索软件。Taylor等人[184]通过观察勒索软件对PC硬件可能产生的旁路效应，利用硬件传感器监测来检测勒索软件行为。他们使用了59种不同的机载传感器的读数，并训练了一个逻辑回归ML模型。在[92]中提出的工作采用了一种基于cpu的行为监测方法来检测基于Intel vPro平台的pc中的勒索软件。他们利用CPU级别的遥测和ML启发式来检测勒索软件的加密操作，也可能是其他硬件级别的恶意软件。
通过文件系统行为:一些研究人员旨在通过监控文件系统活动在更高的层次上检测勒索软件，而不是监控硬件。与硬件行为相比，文件系统行为监控可以提供更低粒度的数据，以获取文件和进程信息。一些研究人员[1,5,29,48,62,79,82,84,89,95,120,127,165,205]将文件系统行为特征与其他结构或行为特征结合起来使用。然而，目前很少有研究将文件系统行为作为勒索软件检测的主要依据。contiella等人[55]提出了通过捕获短期和长期文件系统活动模式来检测勒索病毒的ShieldFS。他们训练RF分类器，以便每个分类器在不同时间尺度上的文件系统活动特征上进行训练。他们使用文件访问、读取、重命名、移动或写入的数量、写入操作的熵和文件夹列表操作作为勒索软件检测的区分特征。
通过网络流量行为:由于勒索软件通常与它的C&C服务器进行密钥交换或数据泄露，一些研究人员旨在通过观察网络流量来检测网络设备中的勒索软件。监控方案可以监控主机的流量，或者整个网络的流量，或者部署到的子网的流量。
在基于主机的流量监测方面，文献[18,132]将网络监测与ML技术相结合用于勒索软件检测。Alhawi等人在NetConverse[18]上利用网络流量的协议类型、IP地址、数据包和字节数以及持续时间等特征构建了一个DT分类器来检测勒索软件。Modi等人[132]旨在通过利用28种特征来检测加密web流量中的勒索软件，这些特征包括连接特征(例如流量、负载和数据包特征)、SSL特征(例如SSL流量的比率、SSL- tls等)和证书特征(例如证书有效性、年龄等)来构建RF、SVM和逻辑回归分类器。
在基于网络的流量监控方案方面，Cusack等人提出了一种基于网络硬件的解决方案，即可编程转发引擎来监控勒索软件感染计算机与C&C服务器之间的网络流量。在监测阶段，提取流入和流出数据包长度和字节数的标准差、流入的平均突发长度、流出的最小间隔时间、流出和流入数据包的比值，利用射频分类器构建检测系统。
通过API调用行为:通过动态分析勒索软件的主要行为特征之一是API调用。在这种情况下，工作[8,15,17,34,49,122,166,182,203]使用API调用作为特征来构建ML分类器，以检测pc /工作站中的勒索软件。一些研究使用API调用作为特征，并构建SVM分类器[182]，Long-Short Term Memory(LSTM)分类器[122]、循环神经网络(RNN)分类器[7]和受限玻尔兹曼机分类器[166]。研究人员还使用API调用的n元语法来构建SVM分类器[15]和各种基于ml的分类器[34]。Chen等人的[49]生成API调用流图(CFG)并训练不同的分类器，Zhou等人[203]使用属于不同API组的API调用的Pearson相关值。除了回顾了利用API调用构建分类器的研究外，一些研究人员更多地关注于寻找最重要的API调用特征。Ahmed等人[8]在特征选择过程中提出了一种新的过滤方法，以找到最适合勒索软件检测的API调用n-grams。他们测试了各种ML分类器的性能。al - rimy等人在[17]上重点研究了如何在多分类器集成中选择最重要的API调用特征和最佳分类器组合来检测勒索软件。
通过一组行为特征:一些研究使用一组行为特征来构建ML分类器，以检测pc /工作站中的勒索软件。对此，提出一种贝叶斯信念网络
Roy和Chen[151]构建了一个LSTM分类器，Homayoun等[84]和Chen等人构建了多个ML分类器。[48]用于勒索软件检测。用于构建分类器的特征集包括Chen等人[48]的主机日志事件序列，Homayoun等人[84]的注册表更改、文件系统活动和dll，以及Goyal等人[79]的10个特征，包括加密文件的生成速率、文件写操作、CPU利用率、影子副本删除、注册表更改、文件重命名、文件大小增加等。
通过结构和行为特征:一些研究人员在勒索软件检测中使用了两组特征，而不是仅使用结构或行为特征。
Abukar等人的人工神经网络(ANNs)和SVM分类器
Hwang等人[89]的RF分类器，Zuhair等人[205]的Naive Bayes和DT分类器，Maigida等人[120]的SVM分类器，Sgandurra等人[165]的logistic回归分类器，以及Hasan和Rahman [82]， Egunjobi等人[62]，Abbasi等人的[1]和Ashraf等人的[29]的各种ML分类器都是用来检测勒索软件的。虽然字符串是上述研究中最常用的结构特征，但API调用、文件和目录操作、注册表项、处理和删除的文件扩展名是这些研究中最常用的行为特征，它们用于构建ML分类器。一些研究采用了特定的技术来选择分类器的最佳特征。对此，Abbasi等人利用互信息(MI)和粒子群优化，Ashraf等人[29]利用MI、主成分分析(PCA)和n-gram技术，Maigida等人[120]采用灰狼优化算法。
杂交检测。除了使用上述一种检测技术的研究外，文献中也有一些研究使用了这些方法中的一组。
Mehnaz等人提出了RWGuard[127]，它采用诱饵文件监控、基于ml的进程监控、文件变化监控、加密API函数挂钩和文件分类来检测勒索软件。诱饵文件用于检测类似勒索软件的进程。进程监控模块使用读、打开、创建、写入和关闭I/O请求的数量以及创建的临时文件的数量来训练大量的ML分类器。文件变化监测模块对被监测文件发生变化前后的相似度、熵、文件类型和文件大小进行比较。最后，crypto API函数挂钩模块试图通过挂钩技术获取进程的加密密钥。Jethva等人[95]提出了一种两层的勒索软件检测系统，将基于ml和基于规则的技术。在第一层中，ML分类器(例如SVM、RF或逻辑回归)试图使用API调用、注册表键操作、dll、枚举目录、字符串和其他特征来检测勒索软件。第二层是基于规则的系统，通过监测文件签名和信息熵的变化来检测勒索软件。
针对pc /工作站的勒索软件检测研究概述:表2给出了针对pc /工作站的勒索软件检测系统的总结。下表概述了有关技术、使用的特征、数据集(即数据源、勒索软件家族和相应数量的勒索软件样本，以及良性样本)和检测精度(即:真阳性率(TPR)和假阳性率(FPR)分别为%)。图5显示了研究使用的技术、特征和评估数据集的分布。

检测技术:基于机器学习的检测是pc /工作站勒索软件检测中最广泛使用的方法。73%的研究采用基于ml的检测。
在基于机器学习的研究中，使用行为特征的研究占大多数(43%)，其次是使用结构特征的研究(12%)，以及同时使用行为特征和结构特征
(18%)。第二种流行的勒索软件检测技术是基于规则的检测，有14%的研究使用了这种技术。除了基于ml和基于规则的系统外，研究人员还使用了来自不同领域的多种检测技术来检测勒索软件，如表2和图5(a)所示。
检测功能:API调用和文件/目录功能是用于pc /工作站勒索软件检测最流行的功能。由于勒索软件在文件系统上执行恶意操作，并在执行操作时进行各种API调用，文件/目录功能和
API调用是勒索软件模式中最受关注的特性。研究人员也使用其他特征。但是，它们不像API调用和文件/目录功能那样频繁地被利用。这可能是因为这些特性依赖于平台(例如dll、registry)，或容易混淆(例如字符串、操作码、网络流量)，或与已经压缩的文件类型(例如熵)存在问题。
评估数据集:VirusTotal是pc /工作站勒索软件检测系统最流行的数据源。其次是VirusShare、hybridanalysis.com等。我们可以看到，大多数研究都使用了来自多个勒索软件家族的样本(数据集中使用的家族平均数量为10)。如表2所示，许多研究在其数据集中使用了超过1000个勒索软件样本。考虑到数据集中良性样本的数量，我们可以看到，一些研究人员试图使用平衡数据集，而另一些研究人员选择基于不平衡数据集来评估他们的方案。虽然大多数研究报告了勒索软件家庭的数量，但有些研究没有说明。
检测精度:针对pc /工作站的勒索软件检测研究报告显示其检测率非常高。TPR在73% ~ 100%之间变化，FPR在0 ~ 16.9%之间变化。
许多研究报告了完美的TPR(即100%)，看起来过于乐观。我们可以看到，这些研究中使用的家庭数量在8到29之间变化。如果雇佣的勒索软件家族数量增加，一些研究的检测精度可能会发生变化。

---

移动设备勒索软件检测。在本小节中，我们将对移动设备上的勒索软件检测系统进行分类和概述。从现有的工作来看，研究人员采用的检测技术主要有基于规则的、基于形式化方法的、基于机器学习的以及混合检测技术。正如第4节所述，Android是移动勒索软件最流行的目标，本小节中总结的检测系统是用于
Android平台。
基于规则的检测:研究人员提出了三种基于规则的移动勒索软件检测系统，它们使用阈值进行检测。RanDroid[24]从应用程序中提取图像和字符串，并计算它们与勒索软件样本图像和字符串的相似度。
根据阈值检测手机勒索软件。在Song等[173]的检测系统中，修改和删除事件在预定的目录中被监控。在这种情况下，该系统会检查CPU、内存和I/O使用率是否超过阈值，并检测勒索软件。在这方面的最后一个研究是Chen等人提出的RansomProber .[47]。它监视预定义的目录，以检测熵的显著变化。如果检测到这种情况，RansomProber会尝试将执行加密的应用程序与前台运行的应用程序进行匹配，以了解加密操作是良性的还是恶意的。由于某些应用程序可能看起来是良性的，但却充当了勒索软件的角色，RansomProber试图通过检查良性加密应用程序通常显示的应用程序上的用户界面元素(即按钮、文件列表元素、提示文本)来检测此类应用程序。
基于形式化方法的检测:两项研究采用了形式化方法来检测移动勒索软件。[129]提出的防御方案及其在[50]中的扩展版本利用通信系统演算(CCS)形式化模型来检测移动勒索软件。该方案首先将应用程序的字节码转换为CCS模型，将字节码中的每条指令转换为CCS进程;描述了CCS模型下勒索软件行为的时序逻辑性质。检测系统利用描述的时序逻辑性质进行形式化验证来检测勒索软件。
基于机器学习的检测。
通过结构特征:在使用结构特征的基于ml的移动设备勒索软件检测系统方面，研究人员使用API包[20,121]、类和方法[157]、权限[21]、本机指令格式的操作码[111]、的灰度图像移动应用程序源代码[98]，以及移动应用程序的结构熵[57]来构建和评估各种ML分类器。
一些研究人员试图将移动勒索软件检测任务卸载到云端，以节省移动设备的资源。在这方面，Alzahrani等人提出了RanDetector .[22]在服务器端提取权限、意图和加密相关的API包，并使用它们训练各种ML分类器进行勒索软件检测。类似的，Faris等[65]的检测系统提取移动应用的API包和权限，利用樽海鞘算法选择最佳特征，利用核极限学习机分类器检测移动勒索软件。
通过硬件行为:Azmoodeh等[32]利用移动应用程序的功耗行为来检测勒索软件。他们使用PowerTutor应用程序定期收集良性和勒索软件的功耗，并在收集的数据上分析了许多ML分类器的性能。
通过结构和行为特征:文献中的一些研究旨在从移动勒索软件样本的静态和动态分析中受益，并使用获得的特征来构建ML模型。Ferrante等人[67]提出了一种移动勒索软件检测系统，通过静态分析提取操作码频率，通过动态分析获得CPU、内存、网络使用情况和系统调用统计信息。总共使用了87个特征来训练和评估各种ML分类器。在DNA-Droid[76]中，提出了一个两层检测框架。DNA-Droid的第一层由一个ML分类器组成，该分类器使用图像、字符串、API包和权限的结构特征来确定样本的恶意性得分。如果第一层确定样本是可疑的，那么第二层在运行时分析其API调用并使用ML分类器来检测勒索软件。
混合检测:除了只使用上述一种检测技术的研究外，文献中也有一些研究使用了这些方法的一组。在这方面,
由Andronio等人提出的HelDroid。[27]使用NLP分类器来检测勒索软件的威胁文本，采用污点分析来检测与勒索软件相关的加密操作的执行流，并利用权限和函数调用的启发式方法来检测恶意行为。作为另一个混合检测系统，GreatEatlon由Zheng等人[202]提出，旨在通过向其威胁性文本、加密和锁定检测器添加新功能来改进HelDroid。GreatEatlon首先利用静态分析得到的大量特征，使用多机器学习分类器集成来检测可疑移动应用程序包;在HelDroid的检测器中增加了对设备管理API滥用、反射滥用和条件执行流控制的检测，以检测移动勒索软件
面向移动设备的勒索软件检测研究综述。针对移动设备的勒索软件检测系统总结如表3所示。下表概述了有关技术、使用的特征、数据集(即数据源、勒索软件家族和相应数量的勒索软件样本，以及良性样本)和检测精度(即:TPR和FPR为%)。图6显示了研究使用的技术、特征和评估数据集的分布。
检测技术和特点:如图6(a)所示，机器学习是移动设备中应用最广泛的勒索软件检测技术。本文回顾的超过60%的移动勒索软件检测系统采用了ML。考虑到所使用的特征，大多数研究使用通过静态分析获得的结构特征来构建ML模型。这可能是由于移动设备的资源限制，不适合对应用程序进行实时行为分析。移动勒索软件检测中还包括基于规则、基于形式化方法和混合检测技术。

就功能而言，API包/调用是移动勒索软件检测中最流行的功能，如图6(b)所示。API包/调用、权限和字符串构成了移动勒索软件检测中使用的51%的功能，这表明每两项研究中就有一项使用了这些功能。考虑图6(b)所示的特征，我们可以看到大多数特征是通过对应用包的静态分析获得的结构性特征。
评估数据集:移动设备勒索软件检测系统最流行的数据源是VirusTotal和HelDroid[27]的数据集。这些数据源后面是
Contagio、Koodus等数据集。我们可以看到，大多数研究使用多个数据源形成数据集。与pc /工作站的情况不同，大多数针对移动勒索软件检测的研究没有报告其数据集中的勒索软件家族数量。
从报告的研究来看，我们最多看到10个家庭被研究使用。考虑到恶意和良性样本的数量，大多数数据集都是不平衡数据集，能够更好地代表真实环境中良性和恶意移动应用的比例。
检测准确率:针对移动设备的勒索软件检测研究报告了非常高的检测率。TPR在83%到100%之间变化，而FPR在0到19%之间变化。只有一项研究报告了完美的TPR(即100%)，而一些研究报告了超过99%的TPR。

---

面向物联网/CPS的勒索软件检测。由于物联网/CPS环境下的勒索软件检测还不是一个很好的研究领域，只有5项研究解决了此类环境下的勒索软件检测问题。考虑到检测研究，所有研究都使用了ML技术。
基于机器学习的检测。
通过网络流量行为:考虑基于ml的勒索软件检测系统
物联网/CPS，目前有两种研究。在第一项研究中，Maimó等[66]提出了一种用于医疗CPS集成临床环境(ICE)的勒索病毒防御系统。该系统监控医疗CPS设备与ICE系统之间的流量。通过提取TCP和UDP流特征，分别使用SVM和朴素贝叶斯分类器检测未知和已知勒索病毒株。在第二项研究中，Wani和Revathi提出了IoTSDN-RAN[190]，旨在使用SDN控制器监测网络流量，并提取数据包大小、主机
受限应用协议(CoAP)头中的IP和目标服务器地址。将提取的特征通过IoTSDN训练一个带有主成分的朴素贝叶斯分类器
分析。
通过一组行为特征:al - hawaweh和Sitnikova[14]，提出了一种基于dl的工业物联网环境中作为主机的工作站勒索软件检测系统。他们的系统依赖于经典的和变分的自动编码器，从API调用、注册表项、文件和目录操作的几个行为特征中选择最合适的特征。同一位作者在同一年发表了另一个工作[13]，在相同的问题范围内，只使用变分自动编码器。与al - hawaweh和Sitnikova不同，Alrawashdeh和Purdy[19]专注于物联网和嵌入式设备中基于硬件的勒索软件检测。
他们提出了一种基于fpga的深度信念网络结构的硬件实现，该结构使用了一些功能，包括文件相关的功能(例如，扩展、操作、删除的扩展、源文件)、注册表键操作、HTTP方法和API统计。
物联网/CPS勒索软件检测研究综述:表4给出了物联网/CPS勒索软件检测系统的总结。该表概述了有关他们的技术、使用的特征、数据集(即数据源、勒索软件家族和相应数量的勒索软件样本，以及良性样本)和检测准确率(即TPR和FPR %)的研究。
检测技术与特点:目前研究人员仅使用机器学习技术对IoT/CPS环境下的勒索软件进行检测。尽管所有的研究都是针对IoT/CPS环境提出的，但只有Wani和Revathi[190]提出的IoTSDN-RAN真正考虑了物联网特定的平台/协议(即CoAP)。在特征方面，通过动态分析提取流特征、API调用、注册表项、文件/目录特征，并将其作为行为特征用于训练机器学习模型。
评估数据集和检测精度:对于所提出的检测系统的评估，大多数研究没有报告任何数据来源。类似地，大多数研究没有报告其数据集中的勒索软件家族的数量。在检测性能方面，针对IoT/CPS环境的勒索软件检测研究报告了较高的检测率。TPR在91% ~ 99.47%之间变化，FPR在2% ~ 13.9%之间变化。

---

不同平台的勒索软件检测技术比较。在本小节中，我们将比较pc /工作站、移动设备和IoT/CPS环境中的检测研究，并将我们的发现与跨各种平台的勒索软件检测进行分享。
检测技术的比较:我们的分析表明，机器学习是在所有平台上检测勒索软件最令人钦佩的技术。具体来说，在总共72%的防御解决方案中，利用机器学习来检测系统中的勒索软件。此外，考虑到以PC/工作站为目标的勒索软件家族行为的多样性，研究人员利用7种不同的技术来检测PC/工作站中的勒索软件。另一方面，研究人员仅使用四种不同的技术来检测移动设备中的勒索软件。由于在IoT/CPS环境中只有少数工作用于勒索软件检测，因此机器学习是该类别中唯一使用的技术。在pc /工作站和移动设备中，基于规则的检测是第二流行的检测勒索软件的方法。研究结果表明，与其他技术相比，研究人员认为从机器学习技术检测系统中的勒索软件行为模式中获益最多。潜在的原因可能与机器学习模型能够更好地处理从未见过的样本和与其他技术相比的泛化能力有关。
使用特征对比:在使用特征方面，研究结果表明，针对pc /工作站和IoT/CPS环境的勒索病毒检测研究表现出与针对移动设备不同的行为。具体来说，我们看到大多数基于机器学习的pc /工作站和IoT/CPS环境的勒索软件检测系统依赖于行为特征。然而，针对移动设备的研究大多利用结构特征。一般来说，与行为特征相比，结构特征更容易提取/收集，因为它们不需要运行样本，也不需要监控平台。由于移动设备的资源比pc /工作站少得多，因此移动设备的结构特征可能比行为特征更受欢迎。我们想指出的是，尽管针对IoT/CPS环境的勒索软件检测研究使用类似于PC /工作站的行为特征，但它们将其检测解决方案适用于资源丰富的设备，如PC或工作站。因此，他们在这方面的姿态与上述分析并不矛盾。
考虑到实际使用的功能，与API相关的功能(如移动设备中的API调用和API包)是所有平台上使用最多的功能。虽然文件/目录功能也非常流行的勒索软件检测pc /工作站，权限随之而来
API包在移动设备上越来越流行。虽然研究人员使用了其他几个功能来检测勒索病毒，但它们没有上述功能被使用得那么频繁，这可能是因为这些功能是平台相关的(例如，dll，注册表活动)，容易混淆
(例如，字符串、操作码、网络流量)，或已经压缩的文件类型存在问题(例如，熵)。
数据集比较:所有平台上勒索软件检测系统使用最广泛的数据源是VirusTotal。这一发现并不奇怪，因为VirusTotal是一个非常流行的恶意软件研究领域的存储库，它免费为学术界的研究人员提供了学术数据集和API。而76%的勒索软件检测系统pc /工作站报告了其数据集中的家庭数量，只有36%的移动勒索软件检测工作报告了其数据集中的家庭数量。有趣的是，大多数物联网/CPS环境下的勒索软件防御解决方案都没有披露关于其数据源的任何详细信息。从数据集中恶意和恶意样本的数量来看，虽然针对pc /工作站的研究同时构建了平衡和不平衡的数据集，但针对移动设备勒索软件检测的数据集大多是不平衡的，能够更真实地反映现实世界中良性和恶意应用的比例.
检测准确率的比较:一般来说，所有综述的勒索软件检测研究都报告了非常高的检测率。具体来说，TPR在两者之间波动73%和100%，FPR在0和19%之间变化。在这方面，许多检测系统为pc /工作站的TPR为100%，这看起来过于乐观。然而，我们只看到一项针对移动设备的研究报告了完美的TPR。由于家族数和评估过程中使用的样本对所得到的结果起着至关重要的作用，因此如果在一个包含良性和恶意样本的综合数据集上对所提出的方案进行评估，则报告的结果可能会更加真实。

勒索软件恢复

在本小节中，我们将针对目标平台对现有的勒索软件恢复机制进行分类和总结。
勒索软件恢复个人电脑/工作站。对pc /工作站的勒索软件恢复研究表明，恢复由勒索软件执行的破坏可以通过三种不同的方式实现:恢复密钥，通过硬件恢复文件，或通过云备份恢复文件。在本小节中，我们将分别概述每个类别下的研究。
密钥恢复:Kolodenker等人[109]提出了PayBreak[109]——一种密钥托管机制，旨在通过挂钩密码学api来捕获加密密钥并解密受害文件。当然，它只对调用相应的加密api进行加密的勒索软件家族有效。
基于硬件的文件恢复:该类研究旨在利用存储硬件(即SSD)的特性恢复受害者的加密文件。基于nand的ssd具有错位更新特性，它会保留已删除数据的前一个版本，直到垃圾收集器(GC)删除它。勒索软件恢复解决方案利用了这个功能。在[35,86,143]中提出的工作在ssd中创建了额外的备份页，以恢复来自勒索软件攻击的数据。另外，在[131]中，Min等人设计了一种SSD系统，可以执行自动备份并最小化备份空间开销。他们的系统利用了一个检测组件，该组件利用硬件加速器来检测内存中受感染的页面。
通过云备份恢复文件:文献中的一些恢复机制旨在利用云环境恢复文件以达到备份的目的。Yun等人[199]提出了一种部署在云端的名为CLDSafe的备份系统。CLDSafe将文件的影子副本保存到一个安全区域，以防止文件丢失。它计算文件版本之间的相似度得分，以选择要备份的文件。在RockFS[125]中，Matos等人旨在使云支持的文件系统的客户端更能抵御勒索软件等攻击。它允许管理员在勒索软件事件发生后通过分析日志恢复文件。它还旨在通过使用秘密共享密钥加密存储在客户端的用户云访问凭据的安全。

---

移动设备的勒索软件恢复。考虑到移动设备的恢复方案，使数据从勒索软件攻击中恢复，目前只有两项研究。MimosaFTL[189]设计为一种基于恢复的勒索病毒防御策略，适用于配备闪存作为外存的移动设备。收集勒索病毒样本的访问行为，应用k均值聚类识别勒索病毒的唯一访问模式在Flash事务层。在[59]中，Yalew等人旨在通过定期执行备份到外部存储来从勒索软件中恢复。

￥# 其他勒索软件研究
勒索病毒防御是一个非常活跃的研究课题。在本小节中，我们将简要概述其余不属于前面应用的分类的辩护研究。这些研究可分为移动目标、访问控制和整体防御三类。
Lee等人[114]提出了一种移动目标防御技术，用于随机改变文件扩展名的勒索软件保护。
在访问控制机制方面，Genç等人[75]提出了UShallNotPass，旨在通过阻止未经授权的应用程序对操作系统中伪随机数生成器函数的访问，在执行加密之前防止勒索软件攻击。另一种名为Key-SSD[9]的勒索软件防御机制实现了对SSD存储单元的磁盘级访问控制，以防止未经授权的应用程序对SSD的访问。
考虑到整体防御系统，Keong等人提出VoterChoice[99]，使用Suricata入侵防御系统来检测恶意活动。一旦检测到这种活动，
基于ml的检测模块使用加密和注册表活动作为特征来检测勒索软件。如果检测到勒索软件，则基于蜜罐的客户端[70]收集样本的活动以了解行为。Jung等人[154]提出了一种勒索软件防御系统，包括监控、检测、安全区域文件备份和灰色列表模块。应用程序的API调用由监控模块监控，以检测勒索软件。如果检测到可疑进程，则使用修改文件的熵来确定应用程序是否为勒索软件。
如果检测到大量读/写操作，那么安全区域组件将备份应用程序访问的所有文件。Shaukat等人[167]提出了一种防御系统，实现了基于蜜文件的陷阱层和基于ml的检测层。它使用一组功能，如API调用、注册表修改、删除影子副本和文件系统操作来训练ML分类器。当陷阱层检测到勒索软件时，它还备份用户文件。

6.OPEN ISSUE

考虑勒索软件的演变和分类，并对勒索软件防御进行研究
pc /工作站、移动设备和IoT/CPS环境中，突出勒索病毒研究中的开放问题至关重要。
勒索软件的不断进化:自从1989年第一个勒索软件出现以来，勒索软件一直在进化。它一直在改变其目标平台和用户、感染方式、加密技术、通信机制、破坏行为和支付方式。目前，勒索软件可以针对各种平台，使用大量的感染载体，利用动态生成的域名，TOR网络，比特币，加密通信，采用强大的AES和RSA，不可逆转地破坏目标平台，窃取信息，获取报酬，且不易被追踪。然而，故事还没有结束。勒索软件不断进化，继续与防御系统的军备竞赛。本文列举了新兴勒索软件家族独特的现代恶意策略，未来的勒索软件研究可以解决这些策略。
有人驾驶的Ransomware攻击。与WannaCry或NotPetya等自动传播的勒索软件不同，熟练的网络罪犯已经开始对商业组织实施人为的勒索软件活动。不像传统的勒索软件会进行感染和在这种自动的恶意行为中，勒索软件的这些步骤是由对系统有深入了解的人工操作人员执行的。因此，防御者必须实时对抗攻击者，而不是对抗自动运行的勒索病毒二进制文件。除了在这些攻击中执行的传统勒索软件操作外，人工操作人员还利用其他恶意负载，窃取数据，传播勒索软件[161]。人类操作的勒索病毒可以在勒索病毒防御研究中提出一个新的维度。
Rootkit时尚。一些勒索软件家族(例如Thanos[64])开始利用rootkit技术来保护他们的机密性[188]。这样的勒索软件可以尝试将自己隐藏在目标平台中以避免被检测，并将其执行延迟一段时间而不是很快执行[117]。
这种行为会对现有系统的检测精度产生负面影响。
勒索软件生活的土地。最近，一些勒索软件家族，如Netwalker[145]，开始利用合法应用程序(如Powershell)进行破坏性行为。
这种攻击被称为Ransomware Living of the Land或fileless Ransomware[178]。由于此类勒索软件利用目标平台的良性工具执行恶意行为，因此不会在系统中留下任何足迹，因此对此类勒索软件的检测变得非常棘手[96]。
改变传统加密。传统上，勒索软件的目标是一旦系统被感染，就加密尽可能多的文件。这种行为会在底层产生一种独特的I/O模式，有助于区分勒索软件和正常应用程序[103]。然而，网络罪犯可以改变他们的加密传统，他们不会积极加密受害者的文件，并阻止操作不被发现。然而，现有的防御系统如何应对勒索软件作者的这种逃避行为是一个问题。
更漏出的攻击。勒索软件采用的主要破坏性策略是使用加密保存受害者的数据，或者锁定系统，除非支付所要求的赎金金额。因此，大多数防御方案都是针对这种恶意企图开发的。然而，勒索团伙最近开始窃取信息，威胁受害者公布信息[6]。由于被盗数据可能包含用户或公司的敏感信息，这些数据的发布可能会对公司或受害者产生不利影响。
利用内部威胁。到目前为止，勒索软件是通过传统的恶意软件感染方法感染企业系统的，如利用工具包、驱动下载、暴力破解或垃圾邮件。这些传统的方法可能对大型企业组织的保护良好的系统无效。为了绕过这些系统，网络罪犯开始贿赂公司员工等内部人员，让他们安装勒索软件。最近在特斯拉检测到一个这样的事件[81]。因此，有必要考虑使勒索病毒感染过程更容易的内部威胁。这样的内部攻击者可以尝试禁用现有的防御系统，或安装勒索软件到未保护的网络段。
新的勒索病毒目标:据我们所知，勒索病毒菌株并没有像针对其他平台那样针对IoT/CPS平台。我们认为，鉴于这种环境的普遍存在，针对IoT/CPS设备的勒索软件攻击可能会更加严重。例如，勒索软件可以针对患者的植入式或移动式医疗设备，并威胁破坏这些设备的服务，除非支付赎金。驱动安全关键系统的ICS也可能成为勒索软件的目标。考虑到这个事实
plc和其他ICS设备几十年来都没有更新和使用，感染此类环境的勒索软件可能会产生灾难性影响。此外，由于自动驾驶汽车(如汽车、无人机、火车、船舶等)是当今研究和实践的活跃领域，未来的勒索病毒菌株也可以针对这种环境[128]。事实上，安全研究人员最近创建了一个针对智能汽车的PoC勒索软件[193]。我们相信，所有这些新兴平台都可以成为一个针对未来的勒索病毒株，需要对在此类平台上执行勒索病毒的可能方式和相应的防御机制进行更多的研究。
勒索软件的成功因素:一个非常关键的问题是，为什么勒索软件在业界和学术界现有的防御努力下仍然成功。毫无疑问，这个问题有很多答案。然而，尽管可能不完全，我们相信以下因素可以是驱动勒索软件成功的主要来源。
延迟升级或关键软件补丁。虽然勒索软件最常通过垃圾邮件感染受害者，但它也可以利用系统软件或其他应用程序中的漏洞。虽然升级和补丁的目的可能是修复这些漏洞，但重要的是不要推迟升级或安全相关的软件补丁，以防止感染。然而，过去与臭名昭著的SamSam和WannaCry勒索软件菌株的经验表明，管理员未能及时应用升级或关键的软件补丁。
安全(联合国)意识到最终用户。勒索软件成功的另一个关键因素是终端用户。尽管我们是否应该期望终端用户具有安全意识存在争议[158]，但我们相信终端用户的安全意识可以发挥关键作用，使现有的防御解决方案更加强大。就勒索病毒感染载体而言，对最终用户进行安全培训是非常重要的。
大流行的影响和特殊情况。截至撰写本调查时，COVID-19大流行形势一直影响着世界各地的每个人。不出所料，勒索病毒的作者一直试图从疫情中获益。许多组织迫使雇主远程工作，从而容易受到勒索软件的攻击。此外，还出现了针对因COVID-19而变得脆弱的医疗保健相关组织的勒索病毒活动。另一方面，针对学校等其他组织的勒索软件攻击减少了[71]。我们认为，大流行局势和其他特殊情况(例如，自然灾害、政治事件等)恶意软件作者可以从中受益，从而感染更多的受害者。
愿意支付。随着勒索软件向商业组织而非普通终端用户发展，以及支付方式的多样化，勒索金额显著增加。对手开始获得数千甚至数百万美元作为他们攻击商业组织的奖励。事实上，勒索软件成功的主要因素之一是受害的商业组织愿意支付所要求的赎金。由于获得的奖励是重大的，它使勒索软件的人力资源能够雇用更熟练的攻击者。最近，一些勒索团伙开始联合力量攻击更大的企业，希望获得更多的赎金。正如一些研究人员指出的那样，我们相信只要受害者继续支付赎金，勒索软件就会继续成为一个巨大的威胁。
防御解决方案的全面性:我们看到大多数防御解决方案缺乏全面性。换句话说，这些系统中采用的方法只对特定类型的勒索软件家族有效。我们相信，这种防御方案可能会有严重的实际问题。勒索软件可能具有各种感染载体、加密技术、通信行为和破坏方法。然而，专注于特定参数的防御解决方案(例如，加密API调用、特定协议的流量跟踪、IP地址、注册表活动、字符串等)可能对采用其他技术的勒索软件家族毫无用处。
硬件vs.基于软件的解决方案:大多数勒索软件防御解决方案都是基于软件的。然而，如果勒索软件可以获得管理员特权，它可以禁用这种防御机制。因此，需要其他防御解决方案，这些解决方案不能被这种内核级别的勒索软件轻易禁用。目前已有一些基于硬件的防御解决方案，检测勒索软件的文献。然而，这些解决方案仅限于保护使用特定存储硬件(例如ssd或特定类别的ssd)的平台。我们相信，针对内核级勒索软件需要新的防御解决方案。
对抗性机器学习攻击:如上一节所分析的，大多数防御解决方案使用ML。虽然ML技术的使用提高了准确性，并能有效检测从未见过的勒索病毒样本，但最近的研究表明基于ml的分类器是一种脆弱的攻击，它可以操纵训练数据或测试数据来绕过检测[181]。这种攻击称为对抗性ML攻击，不仅应用于计算机视觉领域，还应用于包括恶意软件在内的其他领域。恶意软件领域的对抗性机器学习攻击主要针对使用结构特征的机器学习分类器。由于针对pc /工作站和移动设备的勒索软件检测都有几个使用结构特征的分类器，这些分类器可以成为对抗性机器学习攻击的目标。虽然已有针对一般恶意软件领域的攻击和防御研究，但能否将此类攻击直接应用于勒索软件还是一个研究课题。

7.结论

文中从pc /工作站环境、移动设备环境和物联网/CPS环境三个方面，对勒索病毒及其防御研究进行了全面的综述。我们详细概述了勒索软件是如何演变的，彻底分析了勒索软件的关键构建模块，提出了著名的勒索软件家族的分类，并提供了勒索软件防御研究的广泛概述，包括有关各种平台的分析、检测和恢复技术。除此之外，我们还得出了一系列在未来的勒索病毒研究和实践中需要解决的开放研究问题。由于勒索软件已经在pc /工作站中流行，在移动设备中更流行，并且最近已经在IoT/CPS中流行，并可能在IoT/CPS领域进一步快速增长，我们相信本文将在理解目标平台方面的勒索软件研究方面发挥关键作用，并推动进一步的研究。

参考文献

论文：https://dl.acm.org/doi/full/10.1145/3514229