信息來源：hackernews

一、概述

勒索病毒作為全球最嚴(yán)峻的網(wǎng)絡(luò)安全威脅之一，2019年持續(xù)對全球范圍內(nèi)的醫(yī)療、教育、能源、交通等社會基礎(chǔ)服務(wù)設(shè)施，社會支柱產(chǎn)業(yè)造成重創(chuàng)。圍繞目標(biāo)優(yōu)質(zhì)化、攻擊精準(zhǔn)化、贖金定制化的勒索策略，以數(shù)據(jù)加密為核心，同時(shí)展開數(shù)據(jù)竊取、詐騙恐嚇的勒索戰(zhàn)術(shù)穩(wěn)定成型，促使勒索病毒在2019年索取贖金的額度有明顯增長。老的勒索家族持續(xù)活躍，新的勒索病毒層出不窮，犯罪行為愈演愈烈，安全形勢不容樂觀。

勒索病毒攻擊2019典型事件

2019年3月初，國內(nèi)發(fā)現(xiàn)大量境外黑客組織借助惡意郵件傳播的GandCrab勒索病毒，黑客通過假冒司法機(jī)構(gòu)發(fā)件人，成功攻擊感染了我國多個(gè)政企機(jī)構(gòu)內(nèi)網(wǎng)，隨后我國多地區(qū)機(jī)構(gòu)發(fā)起安全預(yù)警。

2019年3月下旬，世界最大的鋁產(chǎn)品生產(chǎn)商之一挪威海德魯公司（Norsk Hydro）遭遇勒索軟件公司，隨后該公司被迫關(guān)閉了幾條自動化生產(chǎn)線，損失不可估量。

2019年5月26日，易到用車發(fā)布公告稱其服務(wù)器遭受到連續(xù)攻擊，服務(wù)器內(nèi)核心數(shù)據(jù)被加密，攻擊者索要巨額的比特幣。易到表示嚴(yán)厲譴責(zé)該不法行為，并已報(bào)警。

2019年5月29日，美國佛羅里達(dá)州里維埃拉海灘警察局因員工運(yùn)行了惡意的電子郵件，從而導(dǎo)致該城市基礎(chǔ)服務(wù)設(shè)施遭受勒索軟件加密。市政官員于隨后召開會議，批準(zhǔn)通過一筆大約60萬美元的資金用于支付勒索贖金。

2019年6月中旬，世界最大飛機(jī)零件供應(yīng)商之一ASCO遭遇勒索病毒攻擊，由于被病毒攻擊導(dǎo)致的生產(chǎn)環(huán)境系統(tǒng)癱瘓，該公司將1400名工人中大約1000人送回家?guī)叫菁?，同時(shí)停止了四個(gè)國家的工廠生產(chǎn)。

2019年9月22日，國內(nèi)某大型建筑設(shè)計(jì)有限公司遭到勒索病毒攻擊，被勒索的每臺電腦要給出1.5個(gè)比特幣才能解鎖，該公司的電腦全面崩潰，所有圖紙都無法外發(fā)，該事件引發(fā)微博熱議。

2019年10月，全球最大的助聽器制造商之一Demant遭受勒索病毒入侵，該公司是目前聽力行業(yè)唯一產(chǎn)品線涵蓋助聽器、人工中耳、骨導(dǎo)助聽器、電子耳蝸及調(diào)頻語訓(xùn)系統(tǒng)的全面聽力解決方案提供者，全球聽力檢測設(shè)備領(lǐng)域的領(lǐng)先者，攻擊導(dǎo)致的造成的損失高達(dá)9500W美元。

2019年12月，Maze（迷宮）勒索團(tuán)伙向Southwire集團(tuán)勒索600W美元，Southwire是北美領(lǐng)先的電線電纜制造商之一，勒索團(tuán)伙聲稱：如果Southwire不交贖金，則會在網(wǎng)絡(luò)上公布該公司的泄漏的120G重要數(shù)據(jù)。

二、2019年勒索病毒特點(diǎn)總結(jié)

1.老牌勒索家族轉(zhuǎn)向精準(zhǔn)化，高質(zhì)量的狩獵行動

觀察過去一年騰訊安全威脅情報(bào)中心收到的勒索求助反饋，主流老牌勒索家族（如GlobeImposter，Crysis）實(shí)施的勒索攻擊中，企業(yè)用戶占據(jù)了其絕大部分。這意味著老牌勒索家族已經(jīng)從廣撒網(wǎng)無差別模式的攻擊，轉(zhuǎn)變?yōu)榫珳?zhǔn)化、高質(zhì)量的行動，該轉(zhuǎn)變使攻擊者每次攻擊行動后的收益轉(zhuǎn)化過程更有效。

企業(yè)服務(wù)器被攻陷則多為對外開放相關(guān)服務(wù)使用弱口令導(dǎo)致，當(dāng)企業(yè)內(nèi)一臺服務(wù)器被攻失陷，攻擊者則會將該機(jī)器作為跳板機(jī)，繼續(xù)嘗試攻擊其它局域網(wǎng)內(nèi)的重要資產(chǎn)，在部分勒索感染現(xiàn)場我們也看到攻擊者留下的大量相關(guān)對抗、掃描工具，個(gè)別失陷環(huán)境中攻擊者光是使用的密碼抓取工具就有數(shù)十款之多。

2.威脅公開機(jī)密數(shù)據(jù)成勒索攻擊新手段

勒索病毒發(fā)展歷程中，攻擊者勒索的加密幣種包括門羅幣、達(dá)世幣、比特幣、平臺代金券等。觀察2019年相關(guān)數(shù)據(jù)可知，基于匿名性，穩(wěn)定性，便捷性，相對保值性等特點(diǎn)，比特幣已基本成為勒索市場中唯一不二的硬通貨。

付款方式上，基本使用虛擬貨幣錢包轉(zhuǎn)賬。勒索交涉的溝通過程中，使用IM工具私信的方式在大型攻擊中已消失(少量惡搞、鎖機(jī)類低贖金還在使用)，攻擊者多選擇以匿名、非匿名郵箱溝通交涉，或使用Tor登錄暗網(wǎng)，瀏覽器直接訪問明網(wǎng)相應(yīng)站點(diǎn)使用相應(yīng)的贖金交涉服務(wù)。

2019年，勒索病毒團(tuán)伙開始偏向于贖金定制化，對不同目標(biāo)要價(jià)各不相同，往往根據(jù)被加密數(shù)據(jù)的潛在價(jià)值定價(jià)（通常在5K-10w人民幣），勒索病毒運(yùn)營者的這種手法大幅提高了單筆勒索收益。這也導(dǎo)致個(gè)別大型政企機(jī)構(gòu)在遭受到針對性的加密攻擊后，被開出的勒索金額高達(dá)數(shù)百萬元。

當(dāng)企業(yè)有完善的數(shù)據(jù)備份方案，拒絕繳納贖金時(shí)，勒索團(tuán)伙則采取另一種手段：威脅泄露受害者的機(jī)密文件來勒索。下圖為Maze病毒團(tuán)伙在數(shù)據(jù)加密勒索企業(yè)失敗后，公開放出了被攻擊企業(yè)2GB私密數(shù)據(jù)。

Sodinokibi勒索團(tuán)伙也在黑客論壇發(fā)聲，稱如果被攻擊者拒絕拒絕繳納贖金，則會將其商業(yè)信息出售給其競爭對手。通過加密前先竊取企業(yè)重要數(shù)據(jù)，當(dāng)企業(yè)拒絕交付解密贖金情況時(shí)，再以公開機(jī)密數(shù)據(jù)為籌碼，對企業(yè)實(shí)施威脅勒索。數(shù)據(jù)泄露對大型企業(yè)而言，帶來的損失可能更加嚴(yán)重，不僅會造成嚴(yán)重的經(jīng)濟(jì)損失，還會使企業(yè)形象受損，造成嚴(yán)重的負(fù)面影響。

3.僵尸網(wǎng)絡(luò)與勒索病毒相互勾結(jié)

僵尸網(wǎng)絡(luò)是一種通過多重傳播手段，將大量主機(jī)感染bot程序，從而在控制者和感染僵尸網(wǎng)絡(luò)程序之間所形成的一對多控制的網(wǎng)絡(luò)，僵尸網(wǎng)絡(luò)擁有豐富的資源（肉雞），勒索病毒團(tuán)伙與其合作可迅速提升其勒索規(guī)模，進(jìn)而直接有效增加勒索收益。在2019年，國內(nèi)借助僵尸網(wǎng)絡(luò)實(shí)施的勒索攻擊趨勢也進(jìn)一步提升，我們觀察到主要有以下相互勾結(jié)。

A.Emotet僵尸網(wǎng)絡(luò)伙同Ryuk實(shí)施勒索

Ryuk勒索病毒家族起源于Hermes家族，最早的活躍跡象可追溯到2018年8月，國內(nèi)自2019年7月開始有活動跡象，該團(tuán)伙的特征之一為勒索贖金額度通常極高（超過百萬），觀察國內(nèi)被勒索環(huán)境中可知，該染毒環(huán)境中同時(shí)會伴隨著Emotet病毒的檢出，而國外也有相關(guān)分析，指出該病毒常借助Trickbot，Emotet進(jìn)行分發(fā)。

B.Phorpiex僵尸網(wǎng)絡(luò)伙同Nemty實(shí)施勒索

Nemty 病毒在國內(nèi)早期主要依靠垃圾郵件傳播，在2019年中也依靠Phorpiex僵尸網(wǎng)絡(luò)大面積投遞，下圖中IP：185.176.27.132，騰訊安圖情報(bào)平臺中已標(biāo)識為Phorpiex僵尸網(wǎng)絡(luò)資產(chǎn)，其上投遞了Nemty 1.6版本的勒索變種，此次病毒間的勾結(jié)行為導(dǎo)致在2019年國慶期間Nemty勒索病毒一度高發(fā)，國內(nèi)多家企業(yè)受到Nemty勒索病毒影響。

C.Phorpiex僵尸網(wǎng)絡(luò)伙同GandCrab實(shí)施的勒索

GandCrab勒索病毒首次出現(xiàn)于2018年1月，也是2019上半年是最為活躍的病毒之一。該病毒在一年多的時(shí)間里經(jīng)歷了5個(gè)大版本的迭代，于2019年6月1日在社交媒體公開宣布已成功勒索20億美元將停止運(yùn)營，GandCrab勒索病毒的整個(gè)歷程與使用Phorpiex僵尸網(wǎng)絡(luò)長期投遞有密不可分的關(guān)系。

D.Phorpiex僵尸網(wǎng)絡(luò)群發(fā)勒索恐嚇郵件

你可能收到過類似的郵件：“你已經(jīng)感染了我的私人木馬，我知道你的所有密碼和隱私信息（包括隱私視頻），唯一讓我停下來的方式就是三天內(nèi)向我支付價(jià)值900美元的比特幣?！?

Phorpiex僵尸網(wǎng)絡(luò)利用網(wǎng)絡(luò)中的歷史泄漏郵箱信息，對千萬級別的郵箱發(fā)起了詐騙勒索，當(dāng)命中收件人隱私信息后，利用收件人的恐慌心里，進(jìn)而成功實(shí)施欺詐勒索。勒索過程中，受害者由于擔(dān)心自己隱私信息遭受進(jìn)一步的泄漏，極容易陷入勒索者的圈套，從而受騙繳納贖金。

4.喪心病狂的反復(fù)加密，文件名加密

騰訊安全御見威脅情報(bào)中心在日常處理勒索病毒的現(xiàn)場發(fā)現(xiàn)，有個(gè)別系統(tǒng)內(nèi)同時(shí)被多個(gè)勒索病毒感染。后來的攻擊者在面對文件已被加密的失陷系統(tǒng)，依然將已損壞數(shù)據(jù)再次加密。導(dǎo)致受害者需繳納兩次贖金，且由于解密測試過程無法單一驗(yàn)證，即使繳納贖金，數(shù)據(jù)還原難度也有所提高。

同時(shí)還注意到部分勒索病毒并不滿足于加密文件，連同文件名也一同進(jìn)行修改，從側(cè)面反映出勒索病毒運(yùn)營者也存在競爭激烈，攻擊者對贖金的追求已喪心病狂。

5.中文定制化

中國作為擁有8億多網(wǎng)民的網(wǎng)絡(luò)應(yīng)用大國，毫無疑問成為勒索病毒攻擊的重要目標(biāo)，一部分勒索病毒運(yùn)營者開始在勒索信、暗網(wǎng)服務(wù)頁面提供中文語言界面。

三、2019年勒索病毒攻擊數(shù)據(jù)盤點(diǎn)

2019年，勒索病毒攻擊以1月份攻擊次數(shù)最多，下半年整體攻擊次數(shù)較上半年有所下降。但根據(jù)騰訊安全威脅情報(bào)中心接收到的眾多反饋數(shù)據(jù)，下半年企業(yè)遭受勒索病毒攻擊的反饋數(shù)不減反增，主要原因?yàn)椴糠掷吓评账骷易鍖ζ髽I(yè)網(wǎng)絡(luò)的攻擊更加精準(zhǔn)，致企業(yè)遭遇勒索病毒的損失更加嚴(yán)重。

從2019我們接受到的勒索反饋來看，通過加密用戶系統(tǒng)內(nèi)的重要資料文檔，數(shù)據(jù)，再勒索虛擬幣實(shí)施犯罪仍為當(dāng)前勒索病毒攻擊的的主要形式。使用群發(fā)勒索恐嚇郵件，命中收件人隱私信息后，再利用收件人的恐慌心里，實(shí)施欺詐勒索的方式也較為流行。

加密數(shù)據(jù)勒索不成以泄漏數(shù)據(jù)再次脅迫企業(yè)的方式也成為了勒索團(tuán)伙新的盈利模式(Maze和Sodinokibi已使用)。以鎖定系統(tǒng)的方式進(jìn)行勒索多以易語言為代表編寫的游戲外掛、輔助工具中。同時(shí)也有極少數(shù)以勒索攻擊為表象，以消除入侵痕跡掩蓋真相為目的的攻擊事件，該類型的勒索病毒通常出現(xiàn)在部分定向竊密行動中。

觀察2019全年勒索病毒感染地域數(shù)據(jù)可知，國內(nèi)遭受勒索病毒攻擊中，廣東，北京，江蘇，上海，河北，山東最為嚴(yán)重，其它省份也有遭受到不同程度攻擊。傳統(tǒng)企業(yè)，教育，政府機(jī)構(gòu)遭受攻擊最為嚴(yán)重，互聯(lián)網(wǎng)，醫(yī)療，金融，能源緊隨其后。

2019全年勒索病毒攻擊方式依然以弱口令爆破為主，其次為通過海量的垃圾郵件傳播，勾結(jié)僵尸網(wǎng)絡(luò)發(fā)起的攻擊有上升趨勢。勒索病毒也通過高危漏洞，軟件供應(yīng)鏈形等形式傳播。

 

四、2019年國內(nèi)勒索病毒活躍TOP榜

觀察2019全年勒索病毒活躍度，GlobeImposter家族最為活躍，該病毒在國內(nèi)傳播主要以其12生肖系列，12主神系列為主（加密擴(kuò)展后綴中包含相關(guān)英文，例如：.Zeus865），各政企機(jī)構(gòu)都是其重點(diǎn)攻擊目標(biāo)。

其次為Crysis系列家族，該家族伙同其衍生Phobos系列一同持續(xù)活躍，緊隨GlobeImposter之后。

GandCrab家族雖然在2019年6月1日宣布停止運(yùn)營，但在之后短時(shí)間內(nèi)依然有部分余毒擴(kuò)散，該病毒以出道16個(gè)月，非法獲利20億美元結(jié)束傳播，雖然其2019生命周期只有一半，但其瘋狂斂財(cái)程度堪稱年度之最。

緊隨其后的則是被稱為GandCrab接班人的Sodinokibi，該病毒在傳播手法，作案方式，病毒行為上于GandCrab有許多相似，為2019年勒索病毒中最具威脅的新型家族之一。

Stop家族則寄生于大量的破解軟件中，持續(xù)攻擊加密了國內(nèi)大量技術(shù)人員的工程制圖，音頻，視頻制作材料。老牌勒索家族持續(xù)活躍，新的勒索病毒不斷涌現(xiàn)。越來越多的不法分子參與到這個(gè)黑產(chǎn)行業(yè)中來。

GlobeImposter

GlobeImposter出現(xiàn)于2017年中，加密文件完成后會留下名為HOW TO BACK YOUR FILES.(txt html exe)類型的勒索說明文件。該病毒加密擴(kuò)展后綴繁多，其規(guī)模使用且感染泛濫的類型有12生肖4444，12生肖/主神666，12生肖/主神865，12生肖/主神865qq等系列，由于該病毒出現(xiàn)至今仍然無有效的解密工具，各政企機(jī)構(gòu)需提高警惕。

Crysis

Crysis勒索病毒從2016年開始具有勒索活動 ，加密文件完成后通常會添加“ID+郵箱+指定后綴”格式的擴(kuò)展后綴，例：“id-編號.[gracey1c6rwhite@aol.com].bip”，其家族衍生Phobos系列變種在今年2月開始也有所活躍。該病毒通常使用弱口令爆破的方式入侵企業(yè)服務(wù)器，安全意識薄弱的企業(yè)由于多臺機(jī)器使用同一弱密碼，面對該病毒極容易引起企業(yè)內(nèi)服務(wù)器的大面積感染，進(jìn)而造成業(yè)務(wù)系統(tǒng)癱瘓。

GandCrab

GandCrab勒索病毒首次出現(xiàn)于2018年1月，是國內(nèi)首個(gè)使用達(dá)世幣（DASH）作為贖金的勒索病毒，也是2019上半年是最為活躍的病毒之一。該病毒在一年多的時(shí)間里經(jīng)歷了5個(gè)大版本的迭代，該病毒作者也一直和安全廠商、執(zhí)法部門斗智斗勇。該病毒在國內(nèi)擅長使用弱口令爆破，掛馬，垃圾郵件等各種方式傳播。

2018年10月16日，一位敘利亞用戶在推特表示，GandCrab病毒加密了他的電腦文件，因無力支付勒索贖金，他再也無法看到因?yàn)閼?zhàn)爭喪生的小兒子的照片。隨后GandCrab放出了敘利亞地區(qū)的部分密鑰，并在之后的病毒版本中將敘利亞地區(qū)列入白名單不再感染，這也是國內(nèi)有廠商將其命名為“俠盜勒索”的原因。

2019年6月1日，GandCrab運(yùn)營團(tuán)隊(duì)在某俄語論壇公開聲明“從出道到現(xiàn)在的16個(gè)月內(nèi)共賺到20多億美金，平均每人每年入賬1.5億，并成功將這些錢洗白。同時(shí)宣布關(guān)閉勒索服務(wù)，停止運(yùn)營團(tuán)隊(duì)，后續(xù)也不會放出用于解密的密鑰，往后余生，要揮金如土，風(fēng)流快活去”。

2019年6月17日，Bitdefender聯(lián)合羅馬尼亞與歐洲多地區(qū)警方一起通過線上線下聯(lián)合打擊的方式，實(shí)現(xiàn)了對GandCrab最新病毒版本v5.2的解密。該事件也標(biāo)志著GandCrab勒索團(tuán)伙故事的終結(jié)。

Sodinokibi

Sodinokibi勒索病毒首次出現(xiàn)于2019年4月底，由于之后GandCrab停止運(yùn)營事件，該病毒緊跟其后將GandCrab勒索家族的多個(gè)傳播渠道納入自身手中。該病毒目前在國內(nèi)主要通過web相關(guān)漏洞和海量的釣魚郵件傳播，也被國內(nèi)廠商稱為GandCrab的“接班人”，從該病毒傳播感染勢頭來看，毫無疑問是勒索黑產(chǎn)中的一顆上升的新星。

Stop

Stop勒索病毒家族在國內(nèi)主要通過破解軟件等工具捆綁進(jìn)行傳播，加密時(shí)通常需要下載其它病毒輔助工作模塊。Stop勒索病毒使用勒索后綴變化極為頻繁，通常勒索980美元，并聲稱72小時(shí)內(nèi)聯(lián)系病毒作者將獲得50%費(fèi)用減免，同時(shí)，該病毒除加密文件外，還具備以下行為特點(diǎn)。

1.加密時(shí)，禁用任務(wù)管理器、禁用Windows Defender、關(guān)閉Windows Defender的實(shí)時(shí)監(jiān)控功能;
2.通過修改hosts文件阻止系統(tǒng)訪問全球范圍內(nèi)大量安全廠商的網(wǎng)站；
3.因病毒執(zhí)行加密時(shí)，會造成系統(tǒng)明顯卡頓，為掩人耳目，病毒會彈出偽造的Windows 自動更新窗口；
4.釋放一個(gè)被人為修改后不顯示界面的TeamViewer模塊，用來實(shí)現(xiàn)對目標(biāo)電腦的遠(yuǎn)程控制；
5.下載AZORult竊密木馬，以竊取用戶瀏覽器、郵箱、多個(gè)聊天工具的用戶名密碼；

Paradise

Paradise勒索病毒最早出現(xiàn)于2018年7月，該病毒勒索彈窗樣式與Crysis極為相似，勒索病毒加密文件完成后將修改文件名為以下格式：[原文件名]_[隨機(jī)字符串]_{郵箱}.隨機(jī)后綴，并留下名為Instructions with your files.txt 或###_INFO_you_FILE_###.txt 的勒索說明文檔。

Maze

Maze（迷宮）勒索病毒也叫ChaCha勒索病毒，擅長使用Fallout EK漏洞利用工具通過網(wǎng)頁掛馬等方式傳播。被掛馬的網(wǎng)頁，多見于黃賭毒相關(guān)頁面，通常會逐步擴(kuò)大到盜版軟件、游戲外掛（或破解）、盜版影視作品下載，以及某些軟件內(nèi)嵌的廣告頁面，該病毒的特點(diǎn)之一是稱根據(jù)染毒機(jī)器的價(jià)值來確認(rèn)勒索所需的具體金額，該勒索病毒同時(shí)也是將數(shù)據(jù)加密勒索轉(zhuǎn)向數(shù)據(jù)泄露的先行者。

Nemty

NEMTY勒索病毒出現(xiàn)于今年8月，該病毒早期版本加密文件完成后會添加NEMTY擴(kuò)展后綴，也因此得名。NEMTY 變種病毒加密文件完成后會添加“._NEMTY_random_7個(gè)隨機(jī)字符”擴(kuò)展名后綴，由于該病毒與Phorpiex僵尸網(wǎng)絡(luò)合作，在2019年國慶期間感染量有一次爆發(fā)增長，該病毒會避開感染俄羅斯、白俄羅斯、烏克蘭及多個(gè)中亞國家。

Medusalocker

Medusalocker該病毒出現(xiàn)于2019年10月，已知該病毒主要通過釣魚欺詐郵件及托口令爆破傳播。該病毒早期版本加密文件完成后添加擴(kuò)展后綴.encrypted，最新傳播病毒版本加密文件后添加.ReadTheInstructions擴(kuò)展后綴。攻擊者會向受害者勒索1BTC（比特幣），市值約6.5萬元。

Ryuk

Ryuk的特點(diǎn)之一是傾向于攻擊數(shù)據(jù)價(jià)值較高的政企機(jī)構(gòu)，且贖金普遍極高（最近聯(lián)系作者要價(jià)11個(gè)比特幣，價(jià)值約75萬元RMB，在國外該病毒開出的贖金額度通常高達(dá)數(shù)百萬RMB），Ryuk勒索家族起源于Hermes家族，最早的活躍跡象可追溯到2018年8月，國內(nèi)發(fā)現(xiàn)該病毒的投遞與Emotet僵尸網(wǎng)絡(luò)有著密不可分的關(guān)系。

五、勒索病毒接下來會怎樣

1、勒索病毒與安全軟件的對抗加劇

隨著安全軟件對勒索病毒的解決方案成熟完善，勒索病毒更加難以成功入侵用戶電腦，病毒傳播者會不斷升級對抗技術(shù)方案。

2、勒索病毒傳播場景多樣化

過去勒索病毒傳播主要以釣魚郵件為主，現(xiàn)在勒索病毒更多利用了高危漏洞、魚叉式攻擊，或水坑攻擊等方式傳播，乃至通過軟件供應(yīng)鏈傳播，都大大提高了入侵成功率。

3、勒索病毒攻擊目標(biāo)轉(zhuǎn)向企業(yè)用戶

個(gè)人電腦大多能夠使用安全軟件完成漏洞修補(bǔ)，在遭遇勒索病毒攻擊時(shí)，個(gè)人用戶往往會放棄數(shù)據(jù)，恢復(fù)系統(tǒng)。而企業(yè)用戶在沒有及時(shí)備份的情況下，會傾向于支付贖金，挽回?cái)?shù)據(jù)。因此，已發(fā)現(xiàn)越來越多攻擊目標(biāo)是政府機(jī)關(guān)、企業(yè)、醫(yī)院、學(xué)校。

4、勒索病毒更新迭代加快

隨著安全廠商與警方的不斷努力，越來越多的勒索病毒將會被破解，被打擊，這也將加劇黑產(chǎn)從業(yè)者對病毒進(jìn)行更新迭代。

5、勒索贖金定制化，贖金進(jìn)一步提高

隨著用戶安全意識提高、安全軟件防御能力提升，勒索病毒入侵成本越來越高，攻擊者更偏向于向不同企業(yè)開出不同價(jià)格的勒索贖金，定制化的贖金方案能有效提升勒索成功率，直接提升勒索收益。如某公司被勒索病毒入侵后，竟被勒索9.5個(gè)比特幣，還有Ryuk團(tuán)伙動輒開出上百萬的勒索贖金單，都代表勒索病毒贖金未來會有進(jìn)一步的提高。

6、勒索病毒開發(fā)門檻降低

觀察近期勒索病毒開發(fā)語言類型可知，越來越多基于腳本語言開發(fā)出的勒索病毒開始涌現(xiàn)，甚至開始出現(xiàn)使用中文編程“易語言”開發(fā)的勒索病毒。

例如使用Python系列的“Py-Locker”勒索病毒，易語言供應(yīng)鏈傳播鬧的沸沸揚(yáng)揚(yáng)的“unname1989”勒索病毒，甚至利用bat腳本結(jié)合Winrar相關(guān)模塊直接對文件進(jìn)行壓縮包密碼加密的“FakeGlobeimposter”病毒等，門檻低意味著將有更多的黑產(chǎn)人群進(jìn)入勒索產(chǎn)業(yè)這個(gè)領(lǐng)域，也意味著該病毒將持續(xù)發(fā)展泛濫。

7、勒索病毒產(chǎn)業(yè)化加劇

隨著勒索病毒的不斷涌現(xiàn)，騰訊安全御見威脅情報(bào)中心觀察到勒索代理同樣繁榮。當(dāng)企業(yè)遭遇勒索病毒攻擊，關(guān)鍵業(yè)務(wù)數(shù)據(jù)被加密，而理論上根本無法解密時(shí)，勒索代理機(jī)構(gòu)，承接了受害者和攻擊者之間談判交易恢復(fù)數(shù)據(jù)的業(yè)務(wù)。我們注意到勒索代理機(jī)構(gòu)常年購買搜索關(guān)鍵字廣告承接生意。

8、勒索病毒多平臺擴(kuò)散

目前受到的勒索病毒攻擊主要是windows系統(tǒng)，但是管家也陸續(xù)發(fā)現(xiàn)了MacOS、Android等平臺的勒索病毒，隨著windows的防范措施完善和攻擊者永不滿足的貪欲，未來勒索病毒在其他平臺的影響力也會逐步增大。

9、勒索病毒黑產(chǎn)參與者持續(xù)上升，勒索病毒影響規(guī)模進(jìn)一步擴(kuò)大

GandCrab通過16個(gè)月賺夠20億美金高調(diào)“退休”的故事被廣為流傳，可以預(yù)見，此事件將引爆黑暗中更多人的貪欲，在未來相當(dāng)長一段時(shí)間內(nèi)，將會有越來越多的人投身勒索行業(yè)，黑產(chǎn)從業(yè)者將持續(xù)上升。

隨著各類型病毒木馬盈利模式一致，各類型病毒均有可能隨時(shí)附加勒索屬性。蠕蟲，感染，僵尸網(wǎng)絡(luò)，挖礦木馬，在充分榨干感染目標(biāo)剩余價(jià)值后，都極有可能下發(fā)勒索模塊進(jìn)行最后一步敲詐，2019年老的勒索家族持續(xù)活躍，新的勒索病毒也層出不窮，可預(yù)測未來由勒索病毒導(dǎo)致的網(wǎng)絡(luò)攻擊將依然是企業(yè)安全面臨的重要問題之一。

六、勒索病毒防范措施

企業(yè)用戶可參考以下措施加強(qiáng)防御

A、定期進(jìn)行安全培訓(xùn)，日常安全管理可參考“三不三要”思路

1.不上鉤：標(biāo)題吸引人的未知郵件不要點(diǎn)開
2.不打開：不隨便打開電子郵件附件
3.不點(diǎn)擊：不隨意點(diǎn)擊電子郵件中附帶網(wǎng)址
4.要備份：重要資料要備份
5.要確認(rèn)：開啟電子郵件前確認(rèn)發(fā)件人可信
6.要更新：系統(tǒng)補(bǔ)丁/安全軟件病毒庫保持實(shí)時(shí)更新

B、全網(wǎng)安裝專業(yè)的終端安全管理軟件，由管理員批量殺毒和安裝補(bǔ)丁，后續(xù)定期更新各類系統(tǒng)高危補(bǔ)丁。

C、部署流量監(jiān)控/阻斷類設(shè)備/軟件，便于事前發(fā)現(xiàn),事中阻斷和事后回溯。

D、建議由于其他原因不能及時(shí)安裝補(bǔ)丁的系統(tǒng)，考慮在網(wǎng)絡(luò)邊界、路由器、防火墻上設(shè)置嚴(yán)格的訪問控制策略，以保證網(wǎng)絡(luò)的動態(tài)安全。

E、使用內(nèi)網(wǎng)強(qiáng)制密碼安全策略來避免使用簡單密碼。

1.一些關(guān)鍵服務(wù)，應(yīng)加強(qiáng)口令強(qiáng)度，同時(shí)需使用加密傳輸方式，對于一些可關(guān)閉的服務(wù)來說，建議關(guān)閉不要的服務(wù)端口以達(dá)到安全目的。不使用相同口令管理多臺關(guān)鍵服務(wù)器。

2.建議對數(shù)據(jù)庫賬戶密碼策略建議進(jìn)行配置，對最大錯誤登錄次數(shù)、超過有效次數(shù)進(jìn)行鎖定、密碼有效期、到期后的寬限時(shí)間、密碼重用等策略進(jìn)行加固設(shè)置。

F、建議網(wǎng)絡(luò)管理員、系統(tǒng)管理員、安全管理員關(guān)注安全信息、安全動態(tài)及最新的嚴(yán)重漏洞，攻與防的循環(huán)，伴隨每個(gè)主流操作系統(tǒng)、應(yīng)用服務(wù)的生命周期。

G、建議對數(shù)據(jù)庫的管理訪問節(jié)點(diǎn)地址進(jìn)行嚴(yán)格限制，只允許特定管理主機(jī)IP進(jìn)行遠(yuǎn)程登錄數(shù)據(jù)庫。

H、做好安全災(zāi)備方案，可按數(shù)據(jù)備份三二一原則來指導(dǎo)實(shí)施

1.至少準(zhǔn)備三份：重要數(shù)據(jù)備份兩份
2.兩種不同形式：將數(shù)據(jù)備份在兩種不同的存儲類型，如服務(wù)器/移動硬盤/云端/光盤等
3.一份異地備份：至少一份備份存儲在異地，當(dāng)發(fā)生意外時(shí)保證有一份備份數(shù)據(jù)安全。

個(gè)人消費(fèi)者可使用安全防護(hù)軟件

騰訊電腦管家可對各勒索病毒家族變種及時(shí)防御攔截，同時(shí)管家文檔守護(hù)者通過集成多個(gè)主流勒索家族的解密方案，通過完善的數(shù)據(jù)備份防護(hù)方案，在2019中為數(shù)千萬的管家用戶提供文檔保護(hù)恢復(fù)服務(wù)。通過自研解密方案成功為上千名不幸感染勒索病毒者提供了解密服務(wù)，幫助其成功恢復(fù)了被病毒加密的文件。