物联网中勒索软件的演变、预防和缓解策略：关键挑战和实际解决方案

埃及信息学杂志22（2021）105审查物联网和勒索软件：演变、缓解和预防Mamoona Humayuna，NZ Jhanjhib，Ahmed Alsayatc，Vasaki Ponnusamyda部。沙特阿拉伯Al-Jouf Jouf大学计算机和信息科学学院信息系统系b马来西亚泰勒大学计算机科学与工程学院c部Jouf大学计算机和信息科学系，沙特阿拉伯Al-Joufd马来西亚东姑阿都拉曼甘巴大学信息和通信技术学院阿提奇莱因福奥文章历史记录：收到2020年2020年4月18日修订2020年5月12日接受2020年5月28日网上发售保留字：物联网（IoT）勒索软件云攻击加密恶意软件比特币A B S T R A C T物联网架构是将现实世界的物体和场所与互联网相结合。技术的蓬勃发展给我们的生活带来了便利，使以前不可能的事情成为可能。物联网在轻松快速地弥合这一差距方面发挥着至关重要的作用物联网正在改变我们的生活方式和技术工作方式，将它们汇集在日常生活的多个应用领域的一个页面然而，物联网必须面对网络诈骗形式的几个挑战，物联网必须面对的主要挑战之一是勒索软件攻击的可能性勒索软件是一种恶意软件，它以某种方式限制对重要信息的访问，并要求为访问此信息支付费用勒索软件攻击每天都在蔓延，并带来灾难性的后果，包括敏感数据丢失、生产力损失、数据破坏、声誉损失和业务停机。这进一步导致数百万美元的日常损失，由于停机时间。这是不可避免的组织修改其年度网络安全目标，并需要实施适当的弹性和恢复计划，以保持业务运行。然而，在继续提供实际解决方案之前，需要综合有关这种关键攻击的现有数据和统计数据为了填补这一空白，本文对物联网环境下勒索软件的演变、预防和缓解进行了全面调查。本文与现有的不同之处在于：首先，它提供了关于物联网中勒索软件演变的更深入的见解。其次，它讨论了勒索软件对物联网的攻击的各个方面，其中包括各种类型的勒索软件，勒索软件的当前研究，现有的技术，以防止和减轻勒索软件攻击物联网以及如何处理受影响的机器，决定支付赎金或不，以及勒索软件在物联网中传播的未来新兴趋势第三，对当前的研究进行了总结总之，这项详细的调查预计将对参与开发物联网安全解决方案的研究人员和从业人员有用©2020 THE COUNTORS.由Elsevier BV代表计算机和人工智能学院发布开罗大学法律系这是一篇CC BY-NC-ND许可证下的开放获取文章（http：//creative-commons.org/licenses/by-nc-nd/4.0/）上提供。内容1.导言. 1062.文献调查1062.1.概览. 1062.2.勒索软件1072.3.勒索软件攻击的演变年份明智的1082.4.勒索软件多于软件需求111*通讯作者.Jhanjhi电子邮件地址：mahumayun@ju.edu.sa（M. Humayun），noorzaman.jhanjhi@ taylors.edu.my（NZ Jhanjhi），asayat@ju.edu.sa（A. Alsayat），vasaki@utar.edu.my（V.Ponnusamy）。开罗大学计算机和信息系负责同行审查https://doi.org/10.1016/j.eij.2020.05.0031110-8665/©2020 THE COURORS.由Elsevier BV代表开罗大学计算机和人工智能学院出版。这是一篇基于CC BY-NC-ND许可证的开放获取文章（http://creativecommons.org/licenses/by-nc-nd/4.0/）。可在ScienceDirect上获得目录列表埃及信息学杂志杂志主页：www.sciencedirect.com106M. Humayun et al./ Egyptian Informatics Journal 22（2021）1052.5.第111章该不该交赎金2.6.感染年份数据量1122.7.勒索软件的主要挑战和防范技术1133.讨论1134.结论和建议1145.未来的工作116参考文献1161. 介绍物联网（IoT）是指设备、传感器、执行器、软件等的互连网络。存储和交换信息[1]。物联网的一些普遍优势包括自动化，通信和信息流，使用更少的时间和精力[2]。在物联网基础设施中，物理设备具有组织和管理的能力，使它们成为智能设备，这些智能设备正在成为人类生活的重要组成部分，从家庭到大型工业和机构部门[3]。物联网通过在个人和智能设备之间引入间接通信，为我们的生活带来了巨大的创新，这使得它容易受到一系列网络诈骗的影响。物联网面临的最可怕的攻击之一是勒索软件攻击[4Ransomware是“Ransom + Ware”两个词的组合，表示支付赎金和Ware，表明它是一种恶意软件攻击。在勒索软件攻击中，攻击者试图通过使用强大的加密算法加密受害者勒索软件攻击的后果包括暂时或在某些情况下，永久性的信息丢失，正常系统操作的中断和财务损失[8]。Ransomware 主 要 分 为 两 种 类 型 ： 即 crypto Ransomware 和 lockerRansomware[6，9]。在一个加密软件攻击中，攻击者从受害者的计算机中加密一些重要信息，并要求解密赎金。这种情况通常以比特币或任何其他不可追踪的方式要求。Crypto Ransomware攻击不会加密受害者计算机的整个硬盘Crypto Ransomware攻击使用对称和非对称方法进行数据加密。一些现有的加密勒索软件攻击是DirtyDecrypt，TelsaCrypt，Crypt Crypt，PadCrypt和Cryptowall勒索软件攻击锁定受害者的机器。在储物柜勒索软件攻击。受害者的数据文件仍然是安全的;但是，通过锁定系统计算资源来限制访问。它通常锁定计算设备或用户界面，并要求赎金解锁。勒索软件有不同的类型，如DMA勒索软件 ， Locky 勒 索 软 件 ， CTB-Ransomware ， Winlock 和Torrentware[3，17第一次Windows加密Ransomware攻击命名为1989年发起的“进攻”。它使用对称密钥和初始化向量组合来加密受害者尽管它的早期开始，勒索软件攻击在20世纪90年代末或21世纪初并不流行，勒索软件从2005年开始成为一种强大的网络攻击，由于物联网的成熟，2012年后勒索软件攻击大幅增加。到2013年，物联网已经在生活的几乎每个领域发展，包括家庭和建筑的自动化[22，24]。根据图1，勒索软件攻击的损失成本在未来几年迅速增加。这表明需要向研究人员和从业人员提供有关这种攻击的严重性及其工作原理的意识？有哪些可能的补救措施？如果一个组织或个人成为勒索软件攻击的目标而这只是通过以全面调查的形式提供勒索软件攻击的详细情况，特别是据我们所知，目前还没有调查可以为我们提供勒索软件攻击的全貌，特别是在物联网的背景在本文中，我们试图通过提供物联网中勒索软件攻击的完整最先进的图片来填补这一空白其余部分的轮廓在下面的图中详细描述。 二、2. 文献调查在本节中，我们详细概述了物联网中勒索软件攻击本节由七个小节组成，每个小节都为用户提供了相关知识，以详细了解针对物联网的勒索软件攻击。第2.1描述了物联网以及与之相关的许多好处第2.2详细描述了两种主要类型第2.3节提供了Ransomware攻击每年的演变情况。第2.4节提供了有关勒索软件攻击的详细信息，以及迄今为止使用的可能解决方案的讨论第2.5指导企业家是否支付赎金。第2.6提供了一些有关勒索软件攻击的有用统计数据，其中包括：过去五年的勒索软件统计数据，前10个国家是勒索软件攻击的主要目标，用于传播此攻击的方式以及此攻击的主要目标部门本文献综述在第2.7节结束，该节提供了Ransomware攻击的主要挑战以及预防技术2.1. 概述物联网是一种创新范式，由于各种技术和通信解决方案的集成，在过去几年中变得非常重要[25]。物联网背后的基本思想是各种事物的普遍存在，如智能设备，传感器，执行器和射频识别（RFID）标签等，它们相互交互和通信以实现共同的目标[2]。物联网的重要性迅速增长是因为它对用户的日常生活和行为产生了巨大影响。下面我们提供一些物联网的定义，以便读者根据[26]，物联网被定义为一个物理对象与信息网络集成的世界，这些物理对象作为积极的参与者参与业务流程。[27]将物联网定义为自主设备的自组织系统，这些设备相互通信以提高业务流程的效率。[28]将物联网定义为使用RFID，GPS，传感器，激光扫描仪或任何其他信息传感设备将对象连接到互联网，以实现对象的识别，监控，跟踪和管理。[29]将物联网定义为互连的传感和致动设备在各种平台上共享信息的能力。所有上述定义都呈现了如图3所示的物联网的相同思想，即物联网使用互联网提供物理对象之间的互连，并且它是一种快速增长的现象。M. Humayun et al./ Egyptian Informatics Journal 22（2021）105107Fig. 1. 勒索软件的预计损坏成本[20]。图二. 研究大纲。积极影响着生活的各个领域然而，物联网的快速增长必须面对不同的挑战，其中一个挑战就是勒索软件攻击[6，30]。如上所述，勒索软件是一种恶意软件攻击，目标是受害者的计算机信息，并加密或锁定此信息。然后，受害者需要支付所要求的赎金，以检索或访问他的数据。随着物联网的发展，勒索软件攻击也在迅速增长。根据赛门铁克的一份报告，勒索软件攻击在2014年增加了113%，加密勒索软件增加了4000%[31，32]。卡巴斯基的另一份报告显示，2012年至2015年期间，勒索软件攻击增加了5倍[33]。Ransom的这种快速增长不仅限于个人，而且现在也针对组织[3]。2.2. 勒索软件的类型正如我们上面讨论的，有两种主要类型的Ransomware，CryptoRansomware和Locked Ransomware。这两种勒索软件通常从电子邮件附件或网页链接开始，当受害者打开附件或收到的网页链接时，勒索软件通过利用现有的操作系统缺陷来攻击受害者计算机。图4显示了Ransomware攻击的分类。在加密勒索软件的情况下，一旦勒索软件变得活跃，它会加密一些重要的用户文件。在这种情况下，Ran- somware不会攻击受害者的整个硬盘，而是根据文件扩展名选择一些重要文件。这种攻击通常使用24位加密方案，几乎是不可能的。108M. Humayun et al./ Egyptian Informatics Journal 22（2021）105图三. 物联网见图4。勒索软件攻击的分类。可以解密而无需解锁密钥。除了电子邮件附件和网页链接，勒索软件攻击通过漏洞利用工具包传播。在利用工具包的情况下，受害者不需要打开附件或遵循网页链接，而受害者是通过一个受损的错过网站感染。在此之后，黑客要求受害者付款，通常以比特币的形式。选择比特币支付赎金的原因是很难追踪攻击者。如果受害者支付了所要求的钱，黑客就会发送解锁密钥。在某些情况下，即使在付款后，黑客也不会发送解密密钥，数据将永远丢失。一些新形式的勒索软件攻击利用操作系统缺陷并复制自己通过网络传播[34图5描述了加密勒索软件攻击图五. Crypto Ransomware如何工作在恶意勒索软件攻击的情况下，当受害者打开附件或网页链接时，勒索软件就会激活并锁定受害者的计算机。受害者现在不能使用计算机设备，除非他付钱。一旦支付了所需的赎金，受害者的设备就会解锁以供使用。然而，在某些情况下，攻击者即使在获得赎金后也不会解锁受害者设备[34，35]。图6显示了恶意勒索软件攻击2.3. 勒索软件攻击的演变第 一 个 勒 索 软 件 攻 击 ， 即 艾 滋 病 特 洛 伊 木 马 （ 也 称 为 PCCyborg）是由哈佛大学培养的生物学家Joseph L. Pop于1989年提出的。然而，当时互联网设施有限，物联网的想法还没有出现，因此，这个艾滋病特洛伊木马通过软盘在世界卫生组织的艾滋病国际会议上分发这种勒索软件使用简单的加密技术来加密数据，这些数据可以很容易地解密[38，39]。虽然Ran- somware攻击的演变可以追溯到1989年，但由于互联网的使用有限和数字货币有限，直到2005年在2005年国际电信联盟提交的一份报告中，物联网一词被建议使用技术以智能方式连接世界上因此，我们可以说勒索软件攻击随着物联网的成熟而成熟。下面我们讨论勒索软件攻击及其从2005年到2019年的影响。2005年：2005年至2008年期间发起了名为GPCoder的恶意软件攻击。一封电子邮件被用作传播恶意软件攻击的来源。在打开此恶意电子邮件的情况下，GPCoder通过受害者计算机传播并加密MS-Office和媒体文件。即使在这个时候，由于缺乏智能设备，物联网也没有那么成熟。因此，勒索软件攻击的提取率相对较低且不复杂。这一时期通常被称为“假防病毒”时代2006年：Ransom在2006年开始吸引黑客。Trojan.Cryzip出现于2006年3月。它将受害者的数据文件复制到受密码保护的存档文件中，稍后可以轻松恢复。木马病毒。Cryzip只是一个黑客的尝试。同年，Trojan.archiveus被推出，这是第一个以从特定的在线药店购买药物的形式要求赎金的恶意软件攻击[41，43]。2007年：2007年出现了勒索软件攻击，目标是俄罗斯。受害者的电脑被锁定，并在受害者设备上显示色情图像，以要求支付M. Humayun et al./ Egyptian Informatics Journal 22（2021）105109见图6。 Locker Ransomware如何工作。通过短信或拨打额外费率的电话号码解锁[22，44]。2008 年 ： 2006 年 出 现 了 一 个 名 为 GPCode.AK 的 特 洛 伊 木 马GPCoder的新变种。它使用1024位RSA密钥对受害者的数据文件进行加密Liberty Reserve是一种集中式数字货币服务，用户只需使用发件人姓名、出生日期或电子邮件地址就可以转账，而无需付出任何努力[46，47]。2010年：Winlock出现在2010年，它是一种储物柜勒索软件攻击[48]。Winlock禁用计算机的I/O接口Winlock攻击在受害者的设备上显示一个模糊的图像，并要求10美元的溢价率短信获得解锁代码。同年，在莫斯科逮捕了参与Winlock攻击的10人，他们从这个SMS计划中赚取了超过1600万美元。2011Reveton Ransomware攻击于2011-12年发起这是一种恶意软件驱动的攻击，用户计算机只需访问一次恶意网站就会被锁定。在Reveton案中，显示在受害者屏幕上的消息受害者被要求使用胁迫支付方法支付赎金，否则受害者将被警告严格的刑事指控[50，51]。2013年：2013年7月，肮脏解密勒索软件推出，它属于加密勒索软件家族之一。 它的目标和加密八种不同类型的受害者这种赎金通常是通过利用工具包或使用含有成人内容的网站启动的。它通过利用色情网站上上传的恶意JavaScript文件传播。这次攻击主要针对各种版本的Windows 操 作 系 统 ， 包 括 Windows 2000 、 NT 、 XP 、 Vista 和Windows 2007。一旦脏解密被激活，它会在各种Windows目录中创建恶意文件[53]。2014年：2014年，Torrent Locker和Cryptowall成为加密勒索软件攻击的一个家族。这两种攻击都是通过垃圾邮件或恶意链接传播的，因为用户打开垃圾邮件电子邮件，Torrentwall或Cryptowall文件被自动下载并执行[54]。 这些攻击的另一种方式是通过恶意链接，自动将受害者重定向到下载Torrent或Cryptowall文件[55]。这些攻击的一个严重缺点是，这两种攻击都会从受感染的机器上窃取电子邮件联系人并传播[56]。这两种攻击都使用空心进程技术来执行恶意代码。空心进程是一种恶意代码注入技术，其中驻留在内存中的合法进程被恶意代码替换。一旦这些攻击变得活跃，用户计算机就会被锁定，屏幕上会出现赎金消息[57]。2014年12月，被认为是最新形式的Torrentallo之一的CTB-locker出现在屏幕上。 到2014年底，物联网已经相当成熟，CTB-DRM也通过垃圾邮件或 恶意 链接 传 播。 CTB-Tor 的 名字 来自 其 核心 优势 ： Curve-Tor-Bitcoins。曲线来自基于椭圆曲线的密码技术，这种Ransomware攻击使用该技术来加密受害者的文件。 核心来自放置在TOR中的恶意服务器，很难取下，比特币是受害者必须支付赎金以获得解密密钥的货币[58]。2015年：物联网的广泛和成熟给人类生活带来了许多积极的变化和便利，特别是随着智能设备的广泛使用。然而，这种技术的巨大发展也有利于犯罪分子寻找新的攻击方式。2015年出现了许多勒索软件攻击，针对许多个人和组织，犯罪分子通过勒索软件攻击赚取了超过450万美元[59]。Cryptowall 3.0出现在2015年初，从那时起，犯罪分子就更难被发现。Cryptowall 3.0是一种便宜且易于使用的病毒，并且传播速度非常快。此病毒不仅加密您的文件，而是它隐藏在操作系统内，并试图将自己添加到启动文件夹。在最坏的情况下，它会删除一些重要的文件，并且更难恢复这些文件[60]。2015年2月，TelsaCrypt作为加密勒索软件攻击家族出现。在其他类型的文件中，TelsaCrypt还针对受害者的 游 戏 文 件 。 TelsaCrypt 加 密 受 害 者 另 一 个 版 本 的 CryptowallRansomware，即Cryptowall 4.0也出现在2015年。加密墙4.0不仅加密受害者的文件，但它也改变了文件的名称因此受害者另一个Ran-110M. Humayun et al./ Egyptian Informatics Journal 22（2021）105一些软件攻击Linux。Encoder也出现在2015年底，这种勒索软件的目标是Linux服务器和基于Linux的网站。它通过利用Magento中的一个缺陷传播，Magento是一个开源的电子商务应用程序。Linux锁定的文件。编码器显示文件扩展名。加密了一旦受害者文件被感染，就会要求以 比 特 币 的 形 式 付 款 。 然 而 ， 这 种 Ran- somware 攻 击 并 不 像Cryptowall 3.0那样使支付增加一倍[63]。2016年：2016年被称为勒索软件攻击之年，因为大多数臭名昭著和破坏性的网络犯罪都袭击了个人和中小型企业。 2016年出现的最危险的勒索软件是Locky和Mamba。2016年曼巴最广为人知的攻击之一是旧金山的公共交通系统，它还在2017年针对KSA的企业网络[64，65]。Mamba Ransomware不针对某些文件，而是针对受害者计算机的整个硬盘。它使用diskcryptor工具加密整个硬盘及其分区，只有在支付赎金后才能被黑客解密[66]。Locky Ransomware攻击也出现在2016年初，它通过利用大的攻击面，隐身和昂贵的金钱勒索方式保持成功。LockyRansomware在Word文档和垃圾邮件中嵌入宏[67]。 SimpleCloud出现在2016年初，当时成为智能手机和平板电脑最流行的操作系统的Android是这次勒索软件攻击的主要目标。这是第一个针对android平台和 加 密 文 件 的 Ran- somware使 受 害 者 无 法 接 近 [68] 。 另 一 个Ransomware攻击Cerber出现在2016年3月，它是一种活跃的勒索软件，即使在没有连接互联网的情况下也会攻击受害者的计算机，因此受害者无法通过拔下插头来保护其计算机。在Cerber攻击中，受害者收到一封带有MS-word文档附件的电子邮件。一旦用户下载附件，Cerber会加密文件并将其扩展名更改为.Cerber[69]。彼佳Ransomware发现在可以2016,它靶向基于Windows的系统，并感染引导记录加密硬盘文件，并停止计算机启动 。 它 通 过 包 括 广 告 在 内 的 各 种 大 型 电 影 传 播 。 当 Petya Ran-somware的目标是受害者的计算机，它要求300$赎金，比特币的形式[71]。另一个Ransom CryptXXX也出现在2016年年中，它来自Reve- ton背后的同一个网络黑手党CryptXXX还针对Windows操作系统和加密文件。当受害者被CryptXXX感染时，需要大约2.4比特币的赎金才能获得解密密钥[72]。RAA Ransomware也在2016年被报道，它被归类为Ransomware服务，并以Java脚本语言编写。RAA通常通过电子邮件或密码保护的附件分发，很难通过反病毒检测到。RAA通常针对企业而不是普通用户[73]。另一个勒索软件攻击Satana也出现在2016年，它会进入引导记录并阻止系统引导[66]。Satana Ransomware以不同的名称隐藏在temporary文件夹中，并会一次又一次地提示用户下载恶意文件，除非用户单击“是”。在Satana安装并运行其恶意代码后，它会等待计算机重新启动并通知用户机器已被感染[74]。Stampado Ransomware也出现在2016年，这种勒索软件包括自我传播功能，因此它会影响整个网络。它可以加密超过1200个扩展名的文件，并在96小时内要求赎金金额如果受害者在给定时间内不支付赎金，文件将被删除[69，75]。图 7显示了2005年至2016年勒索软件攻击的演变以及攻击策略的描述。2017NotPetya攻击出现，成为世界上第二个全球安全问题。这次攻击是2016年出现的Petya Ran- somware攻击的修改版本。NotPetya与Petya的不同之处在于它加密整个系统，而不是只针对几个文件。它会重新启动受感染的系统，并更改其主引导记录，使其无用。系统的用户不能访问任何文件，因为主引导记录是定位系统中任何文件所必需的[71，76]。WannaCry也被称为WannaCrypt Ransomware，于2017年5月作为一个大规模的inci- dent出现。WannaCrypt和以前的Ran-somware攻击之间的区别是大规模的事件。WannaCrypt的目标是全球150多个国家的20多万台计算机[77]。2017-2018年的其他勒索软件攻击[78见图7。 勒索软件的演变[70].M. Humayun et al./ Egyptian Informatics Journal 22（2021）105111见图8。 移动勒索软件攻击次数[82]。2019年也面临着许多关于Ransomware攻击的挑战。2019年初，丹麦一家著名的助听器制造商成为勒索软件攻击的受害者，损失约为1亿美元。同年，另一家名为Pitney Bowes的美国全球航运公司也面临勒索软件攻击，几乎。今年在美国经历了一波勒索软件攻击，其中90%的财富500强公司受到勒索软件攻击的影响。近日，360安全中心截获了一种新型勒索软件CCRyptor。该病毒通过钓鱼电子邮件传播，并使用CVE-2017-11882漏洞将勒索软件攻击发布到受害者机器。这种勒索软件攻击可以加密文件在362不同格式使用RSA + AES 256加密技术。它加密用户文件并等待10天的勒索软件，如果在10天内没有支付金额，所有文件将被删除。图 8显示了2018年第一季度至2019年第一季度的移动勒索软件攻击数量，该数字来自卡巴斯基实验室的调查结果，卡巴斯基实验室是世界上知名的跨国网络安全和防病毒提供商组织之一，总部位于莫斯科。根据图 8，勒索软件攻击的数量随着时间的推移而增加，特别是在智能物联网设备（特别是手机）的使用迅速增长之后。这表明需要保护个人和组织免受勒索软件攻击，并为研究人员和从业人员提供有关勒索软件攻击的最新知识。2.4. 勒索软件超过所需的到目前为止所做的讨论表明，勒索软件是个人和组织目前面临的主要网络威胁之一，现在已经成为一项巨大的业务。安全研究人员试图提供各种解决方案来保护个人和企业免受勒索软件攻击。然而，随着物联网的发展，个人生活以及业务正变得完全依赖于互联网以及人类与计算设备之间的互连性。黑客也在市场上与新的面孔和技术和他们的攻击方式是每一次不同的和不可预测的。在这种情况下，每一个人和组织工作人员都有责任格外小心他们的个人和组织资产，以免成为勒索软件的受害者。存在各种软件和预防措施来保护计算环境，但是个人和企业家必须不时地更新安全软件。有微软最新的补丁来保护操作系统。接下来，一旦你确信你的系统没有感染，最好及时备份你的系统。一旦备份完成，最好拔掉硬盘驱动器以进行安全存储。仅软件不足以保护计算机免受勒索软件攻击，下面我们将讨论一些可用于保护计算机设备免受勒索软件攻击的措施[76，832.5. 赎金该不该付勒索软件攻击后受害者面临的一个关键情况是决定是否支付赎金？勒索软件攻击源不可识别，支付方式非常简单，通过比特币，这加强了攻击者的空间。在某些情况下，如果在给定的时间内没有支付赎金，黑客甚至会将赎金金额增加一倍。此外，赎金金额也随着勒索软件攻击的广泛增长而增加。从组织部门要求的通常数额或赎金平均约为10，000美元，从个人那里，平均从300美元到700美元不等。然而，由于一些组织和个人没有报告他们面临的问题，因此无法收集这方面的可靠统计数据。总是有一个关于支付或不支付的争论？在一些勒索软件攻击中使用的加密技术是如此难以解密，有时它成为必要的支付或有时由于信息的敏感性，它似乎更有效地尽快支付。受害者心中总是有一种恐惧，如果他支付了钱，他是否能够取回数据，以及将来他是否会成为一些此类攻击的目标？另一方面，如果每个受害者都付钱取回数据，这项业务将越来越多地推广，更多的人将受到影响。下面我们提供一些讨论是否支付或不支付赎金或什么112M. Humayun et al./ Egyptian Informatics Journal 22（2021）105表1过去五年中常见的勒索软件攻击统计数据表2受Ransomware数字显示：主要受到勒索软件攻击的国家，勒索软件攻击的方式，攻击时间和物联网发展的比例。根据联邦调查局（FBI）2017年互联网犯罪中心（ICT）的报告，ICT自成立以来收到了4，063，933份互联网犯罪报告，投诉率在过去几年中大幅增加。根据2013年至2017年的ICT统计数据，报告的犯罪数量为14，20，555起，总损失约为55.2亿美元。正如我们上面所讨论的，物联网的进步使社区受益匪浅，但在过去几年中，勒索软件攻击也有所增加。表1显示了过去5年中排名前几位的勒索软件攻击[90表1显示Windows是勒索软件攻击的主要目标。因此，Windows用户有必要保持其操作系统的最新状态，并安装Microsoft推出的最新关键补丁，以保护其设备免受勒索软件攻击的受害者表2显示了根据互联网安全威胁报告，3意大利百分之八根据表2和Fig. 9、美国是兰的主要目标--4印度百分之四somware攻击与29%的记录，从游泳池，而日本是5德国百分之四勒索软件攻击的第二个关键目标印度和德国是678荷兰英国澳大利亚百分之三百分之三百分之三几乎与4%的比例相同，而荷兰，英国，澳大利亚，俄罗斯和巴西在游泳池中排名第四，比例为3%，9俄罗斯百分之三勒索软件攻击10巴西百分之三传播勒索软件攻击的主要来源是电子邮件，恶意链接、社交媒体、U盘和商业应用程序。根据现有文献，应避免赎金[83，84，87-89]上述讨论表明，不应支付赎金金额来阻止黑客。然而，组织和个人必须采取适当的措施来保存他们的数据。2.6. 感染年份的数据量尽管许多个人和组织不支付，但Ransom的业务仍在日益增长，特别是随着物联网的发展本节将介绍一些统计数据从这些来源中，最常见和最容易使用的定向方式是通过电子邮件链接和电子邮件。除了电子邮件之外，勒索软件攻击的第二个来源是社交媒体和电子邮件以外的网站，然后是社交媒体和U盘。表3列出了用于勒索软件传播的前5个来源[9，35，93]。根据图10，电子邮件和电子邮件链接在传播勒索软件攻击中起着关键作用。这些电子邮件的标题通常是这样写的，用户认为它来自一个真实的来源，但它不是。此外，电子邮件附件也是传播勒索软件攻击的一种方式。这些附件是可执行文件，当用户点击自动开始下载，见图9。成为勒索软件攻击主要目标的国家。勒索软件攻击年交了赎金平台CryptoLocker2014> 300万WindowsCryptoWall201518百万WindowsLinux.Encoder2015.. .. ......你好。LinuxTelsaCrypt2015> 80，000美元WindowsCerber2016> 50万Windows拼图2016> 2000WindowsLocky2016> 1百万Windows彼佳2016> 30，000美元Windows坏兔子2017.. .. ......你好。Windows不是彼佳2017> 1万美元WindowsWannaCry2017>$140，000WindowsSamSam2018>$850，000Windows秩国家百分比1美国百分之二十九2日本百分之九M. Humayun et al./ Egyptian Informatics Journal 22（2021）105113表3勒索软件传播的主要来源。表4勒索软件攻击的主要目标。秩源百分比秩目标1电子邮件链接百分之三十一1医疗保健行业2电子邮件附件百分之二十八2政府机构3社交媒体和电子邮件百分之二十四3教育4社交媒体百分之四4律师事务所5USB棒百分之三5移动和MAC用户传播自己。一些网站还旨在通过向用户提供各种交易和奖励来吸引用户的注意力，但这些都被用作传播勒索软件攻击的来源。如今，社交媒体也被用作勒索软件传播的来源。最后但并非最不重要的是使用USB棒而不扫描它。虽然勒索软件攻击是当今时代的主要网络安全威胁之一。然而，一些应用程序由于对数据的敏感性而成为黑客的关键目标。表4显示了勒索软件攻击的主要目标。根据表4，由于患者数据的生命力和机密性，医疗机构是勒索软件攻击的主要目标。然后是政府机构，因为犯罪分子知道数据对政府的重要性，他们希望拿回赎金。Ransomware攻击的第三个主要目标是高等教育机构，因为IT等级薄弱，然后是律师事务所和移动用户，他们成为Ransomware攻击的目标。2.7. 勒索软件的主要挑战和防范技术网络安全和执法供应商正在特别关注勒索软件威胁。新出现的攻击方式被报道，并不时地向人们提供意识，这使得犯罪分子改变了他们的思想和攻击方式。犯罪分子正试图找到隐藏他们的攻击技巧和难以追踪的付款方式的方法。在这种情况下，个人和组织需要更加警惕。表5讨论了在防止勒索软件攻击过程中可能出现的一些值得注意的挑战及其可能的解决方案[7，94除了上述预防措施外，警惕性非常重要，因为俗话说“预防胜于治疗”。个人和组织都需要实施最佳实践来保护自己免受支付赎金的影响。联邦调查局提出的一些最佳做法包括有限的特权，及时备份，禁用宏和Java脚本，软件限制政策和有关勒索软件意识的员工培训。与不同领域中的勒索软件相关的进一步阅读可以参考[97-3. 讨论当今世界的增长和进步与技术的发展是一致的。这种进步伴随着风险和开放的威胁，除了个人和组织的技术。勒索软件是其中最具影响力的来源之一，它有能力动摇组织，个人以及技术增长。最近的研究表明，勒索软件在全球范围内受到影响，主要影响发达国家，如图11所示。研究表明，在过去5年中，安全漏洞增加了67%。到2021年，对行业和个人的勒索软件攻击频率将增加到每11次，预计勒索软件攻击将比目前的攻击率增加5倍。此外，预计到2021年，网络犯罪造成的损失将达到每年6万亿美元。本研究从不同方面深入分析了与勒索软件相关的信息，以帮助、理解和指导研究界的未来发展方向这项研究涵盖，见图10。 勒索软件传播的主要来源。114M. Humayun et al./ Egyptian Informatics Journal 22（2021）105表5勒索软件的挑战和预防技术。预防技术主要是从2005年开始的不同类型的勒索软件，感染的数据和数量以及未来几年进一步感染的预测，研究挑战和预防技术，仅仅重置物联网设备可能并不适用于所有情况，因为已经受损的设备有时除了支付赎金外物联网网络是异构的，因此很难某些攻击者将连接的备份系统作为犯罪分子使用恶意电子邮件和链接进行广告，新用户有时会被这些广告迷住并打开链接勒索软件的挑战之一是在整个网络中为了克服这一挑战，研究人员应该制定一些早期检测勒索软件的策略。物联网设备供应商还应提供在物联网网络中安全运行的数据文件扩展名为了充分保护物联网设备免受勒索软件攻击，应在应用程序执行的整个生命周期内将勒索软件缓解功能纳入物联网设备备份是恢复数据的好方法，而不是支付赎金，但备份应该是当前的。一些攻击者也针对连接的备份系统，因此为了解决这一挑战，最好采取一些可靠的云服务提供商的服务进行备份。另一个解决备份难题的方法是对数据进行多个备份并确保其安全为了解决这个问题，组织应该为员工提供关于可信网站的培训。此外，物联网中应嵌入安全性，以提示用户组织应限制用户权限以保护数据的安全性，需要及时检测恶意节点，使网络不受影响。在检测到感染后，应立即关闭受感染的机器尼克。这项研究进一步主导了成为勒索软件攻击目标的主要原因，包括1）用户行为，大多数用户不知道互联网的安全使用，研究表明，美国70%的员工5)使用除社交网络以外的恶意网站是另一个日益增长的来源6）滥用特权 ， 7 ） 根 据 Syman- tec 报 告 ， 到 2018 年 移 动 勒 索 软 件 增 加 了33%[107]。此外，表6显示了本研究所述的调查结果以及研究标题和研究类型。在[108]中，作者详细阐述了目前对勒索软件的研究以及研究人员用于勒索软件的不同工具。4. 结论和建议技术的蓬勃发展给我们的生活带来了便利，使以前不可能的事情成为可能。物联网在轻松快速地弥合这一差距方面发挥着至关重要的作用。物联网正在改变我们的生活方式和工作方式的技术，通过在日常生活的几个应用领域中将它们集中在一个页面上。但是，安全地管理它们并维护新兴应用程序的安全性至关重要。这些都容易受到几种安全威胁，特别是对运行软件，其中一旦数据或访问可以限制未经授权，滥用特权被攻击的用户/黑客，很难安全地恢复见图11。[106，107]第106话M. Humayun et al./ Egyptian Informatics Journal 22（2021）105115表6目前的研究总结。参考年份研究题目研究类型审查文件提案文件练习题[3]第一章2017使用命令和控制黑名单U[10个国家]2018使用HTTP流量特征的基于U[21日][45个]20162017Windows和Android平台上勒索软件的实验分析：演变和特征演进目标和安全措施UU[48个]2016勒索软件的自动化动态分析：优势、局限性和检测U[八十四]2016利用蜜罐技术UU[九三]2018端到端跟踪勒索软件U[109]第一百零九话2018论勒索软件活动的经济意义：比特币交易的角度U[110]2017勒索软件的经济分析U[111条]2017通过交付方式分析和检测勒索软件U[第112话]2018利用机器学习技术检测Windows Ransomware网络流量UU[一百一十三]2018Windows平台上的Ransomware行为分析UU[一百一十四]2017基于V-detector否定选择算法的U[一百一十五]2018基于上下文感知熵分析的U[一百一十六]2018基于零日感知决策融合的加密勒索软件早期检测模型。U[第117话]2018RAPPER：通过性能计数器进行勒索软件预防。U[第118话]2018R-Risk：通过基于蜜罐文件的方法阻止勒索软件行动U[