2018年勒索病毒活动情况回顾

文章来源自：腾讯御见威胁情报中心，由“重庆信息安全产业技术创新联盟”整理发布。
 

勒索病毒感染地域分布和行业分布

观察2018年勒索病毒攻击地域分布可知，勒索病毒在全国各地均有分布，其中广东，浙江，山东，河南等地最为严重。勒索病毒攻击行业中以传统行业，教育，互联网行业最为严重，医疗，政府机构紧随其后。分析可知，勒索病毒影响到事关国计民生的各个行业，一旦社会长期依赖的基础涉及遭受攻击，将带来难以估计，且不可逆转的损失。

二、勒索类型

1.使用正规加密工具：
该勒索方式不同于传统的勒索病毒攻击流程，黑客通过入侵服务器成功后，使用正规的磁盘加密保护软件对受害者机器数据进行攻击。

例如BestCrypt Volume Encryption软件，BestCrypt Volume Encryption是一款专业加密软件厂商开发的磁盘保护软件，能将整个分区加密，加密后除非有加密时候设置的口令，否则难以通过第三方去恢复解密。黑客通过利用专业加密软件对服务器上的磁盘进行加密，并要求缴纳大量赎金方式进一步提供文件解密恢复服务。

 

 

3.虚假勒索诈骗邮件：
此勒索类严格意义上来讲不属于病毒，但由于该类型勒索巧妙利用了人性的弱点：通过电子邮件威胁、恐吓，欺骗受害人向某个加密钱包转帐，这一作法在2018相当流行。

腾讯安全团队在2018年陆续接收到多起该类型勒索用户反馈。勒索者通过大量群发诈骗邮件，当命中收件人隐私信息后，利用收件人的恐慌心里，进而成功实施欺诈勒索。勒索过程中，受害者由于担心自己隐私信息遭受进一步的泄漏，极容易陷入勒索者的圈套，从而受骗缴纳赎金。

 

 

负责勒索病毒编写制作，与安全软件免杀对抗。通过在“暗网”或其它地下平台贩卖病毒代码，接受病毒定制，或出售病毒生成器的方式，与勒索者进行合作拿取分成。

勒索实施者：

 

帮助勒索者传播勒索病毒，最为熟悉的则是僵尸网络，例Necurs、Gamut，全球有97%的钓鱼邮件由该两个僵尸网络发送。

代理：

 

通过勒索病毒各种传播渠道不幸中招的受害者，如有重要文件被加密，则向代理或勒索者联系缴纳赎金解密文件。

众所周知，除非勒索病毒存在逻辑漏洞，或者取得解密密钥，以当前的计算机算力去解密几乎不可能，而通过搜索引擎可发现大量号称可解密多种主流勒索病毒的公司，该类部分解密公司，实际上是勒索者在国内的代理，利用国内用户不方便买数字货币以及相对更加便宜的价格，吸引受害者联系解密，在整个过程中赚取差价。根据某解密公司官网上公开的记录，一家解密公司靠做勒索中间代理一个月收入可达300W人民币。

 

根据已公开的新闻事件整理

观察分析2018年典型勒索攻击事件不难发现，勒索病毒团伙为了提高收益，已将攻击目标从最初的大面积撒网无差别攻击，转向精准攻击高价值目标。比如直接攻击医疗行业，企事业单位、政府机关服务器，包括制造业在内的传统企业面临着日益严峻的安全形势。

尽管WannaCry大范围攻击已过去一年多，但依然引起多次大型攻击事件。腾讯安全团队监测发现，直到现在依然有部分企业、机构存在电脑未修复该高危漏洞。一年前爆发流行的WannaCry勒索病毒仍然在某些企业、机关、事业单位内网出现。

以医疗行业安全性相对较高的三甲医院为例，42%三甲医院内依然有PC电脑存在永恒之蓝漏洞未修复。平均每天有7家三甲医院被检出WannaCry勒索病毒（所幸多为加密功能失效的病毒版本）

制造业正迎来「工业4.0」的重大历史契机，面对需要将无处不在的传感器、嵌入式系统、智能控制系统和产品数据、设备数据、研发数据、运营管理数据紧密互联成一个智能网络的新模式，一个全新的安全需求正在产生。

腾讯高级副总裁丁珂曾经指出：数字经济时代信息安全已不只是一种基础能力，还是产业发展升级的驱动力之一；安全是所有0前面的1，没有了1，所有0都失去了意义。

五、勒索病毒家族活跃TOP榜

伴随着数字货币过去两年的高速发展，在巨大的利益诱惑，以GandCrab，GlobeImposter，Crysis等为代表的勒索家族依然高度活跃，以上为2018年最具代表性的10个勒索病毒家族，下面通过简单介绍让大家了解当前流行的勒索病毒。

1.GandCrab：
GandCrab最早出现于2018年1月，是首个使用达世币（DASH）作为赎金的勒索病毒，也是2018年也是最为活跃的病毒之一。GandCrab传播方式多种多样，主要有弱口令爆破，恶意邮件，网页挂马传播，移动存储设备传播，软件供应链感染传播。该病毒更新速度极快，在1年时间内经历了5个大版本，数各小版本更新，最新版本为5.1.6（截止2018年底），国内最为最活跃版本为5.0.4。

 

3.Crysis：
Crysis勒索病毒加密文件完成后通常会添加“ID+邮箱+指定后缀”格式的扩展后缀，例：“id-编号.[gracey1c6rwhite@aol.com].bip，id-编号.[stopencrypt@qq.com].bip”。

该病毒通常使用弱口令爆破的方式入侵企业服务器，安全意识薄弱的企业由于多台机器使用同一弱密码，面对该病毒极容易引起企业内服务器的大面积感染，进而造成业务系统瘫痪。

 

5.Satan:
撒旦（Satan）勒索病毒在2017年初被外媒曝光，被曝光后，撒旦（Satan）勒索病毒并没有停止攻击的脚步，反而不断进行升级优化，跟安全软件做持久性的对抗。该病毒利用JBoss、Tomcat、Weblogic，Apache Struts2等多个组件漏洞以及永恒之蓝漏洞进行攻击感染传播。

 

7.Stop：
该家族病毒不仅加密文件，还会静默安装修改后的TeamViwer进而导致中毒电脑被攻击者远程控制，同时修改Host文件，阻止受害者访问安全厂商的网站，禁用Windows Defender开机启动，实时监测功能，令电脑失去保护。为防止加密文件造成的CPU占用卡顿，还会释放专门的模块伪装Windows补丁更新状态。

 

9.FilesLocker:
FilesLocker勒索病毒在2018年10月出现，并在网上大量招募传播代理。目前已升级到2.0版本，加密文件后会添加[fileslocker@pm.me]的扩展后缀。该病毒由于加密完成后使用弹窗告知受害者勒索信息，所以病毒进程未退出情况下有极大概率可通过内存查找到文件加密密钥进而解密。

 

六、勒索病毒未来趋势
1、勒索病毒与安全软件的对抗加剧
随着安全软件对勒索病毒的解决方案成熟完善，勒索病毒更加难以成功入侵用户电脑，病毒传播者会不断升级对抗技术方案。

2、勒索病毒传播场景多样化
过去勒索病毒传播主要以钓鱼邮件为主，现在勒索病毒更多利用了高危漏洞（如永恒之蓝）、鱼叉邮件攻击，或水坑攻击等方式传播，大大提高了入侵成功率。

3、勒索病毒攻击目标转向企业用户
个人电脑大多能够使用安全软件完成漏洞修补，在遭遇勒索病毒攻击时，个人用户往往会放弃数据，恢复系统。而企业用户在没有及时备份的情况下，会倾向于支付赎金，挽回数据。因此，已发现越来越多攻击目标是政府机关、企业、医院、学校。

4、勒索病毒更新迭代加快
以GandCrab为例，当第一代的后台被安全公司入侵之后，随后在一周内便发布了GandCrab2，该病毒在短短一年时间内，已经升级了5个大版本，无数个小版本。

5、勒索赎金提高
随着用户安全意识提高、安全软件防御能力提升，勒索病毒入侵成本越来越高，赎金也有可能随之提高。上半年某例公司被勒索病毒入侵后，竟被勒索9.5个比特币。如今勒索病毒的攻击目标也更加明确，或许接下来在赎金上勒索者会趁火打劫，提高勒索赎金。

6、勒索病毒加密对象升级
传统的勒索病毒加密目标基本以文件文档为主，现在越来越多的勒索病毒会尝试加密数据库文件，加密磁盘备份文件，甚至加密磁盘引导区。一旦加密后用户将无法访问系统，相对加密而言危害更大，也有可能迫使用户支付赎金。

7、勒索病毒开发门槛降低
观察近期勒索病毒开发语言类型可知，越来越多基于脚本语言开发出的勒索病毒开始涌现，甚至开始出现使用中文编程“易语言”开发的勒索病毒。例如使用Python系列的“Py-Locker”勒索病毒，易语言供应链传播闹的沸沸扬扬的“unname1889”勒索病毒，门槛低意味着将有更多的黑产人群进入勒索产业这个领域，也意味着该病毒将持续发展泛滥。

8、勒索病毒产业化
随着勒索病毒的不断涌现，腾讯御见威胁情报中心甚至观察到一类特殊的产业诞生：勒索代理业务。当企业遭遇勒索病毒攻击，关键业务数据被加密，而理论上根本无法解密时，而勒索代理机构，承接了受害者和攻击者之间谈判交易恢复数据的业务。

9、勒索病毒感染趋势上升
随着虚拟货币的迅速发展，各类型病毒木马盈利模式一致，各类型病毒均有可能随时附加勒索属性。蠕虫，感染，僵尸网络，挖矿木马，在充分榨干感染目标剩余价值后，都极有可能下发勒索功能进行最后一步敲诈，这一点观察GandCrab勒索病毒发展趋势已有明显的体现，预测未来勒索病毒攻击将持续上升。

七、勒索病毒预防措施
1.定期进行安全培训，日常安全管理可参考“三不三要”思路
1)不上钩：标题吸引人的未知邮件不要点开
2)不打开：不随便打开电子邮件附件
3)不点击：不随意点击电子邮件中附带网址
4)要备份：重要资料要备份
5)要确认：开启电子邮件前确认发件人可信
6)要更新：系统补丁/安全软件病毒库保持实时更新

2.全网安装专业的终端安全管理软件，由管理员批量杀毒和安装补丁，后续定期更新各类系统高危补丁。 

3.部署流量监测/阻断类设备/软件，便于事前发现,事中阻断和事后回溯。

4.建议由于其他原因不能及时安装补丁的系统，考虑在网络边界、路由器、防火墙上设置严格的访问控制策略，以保证网络的动态安全。

5.建议对于存在弱口令的系统，需在加强使用者安全意识的前提下，督促其修改密码，或者使用策略来强制限制密码长度和复杂性。 

6.建议对于存在弱口令或是空口令的服务，在一些关键服务上，应加强口令强度，同时需使用加密传输方式，对于一些可关闭的服务来说，建议关闭不要的服务端口以达到安全目的。不使用相同口令管理多台关键服务器。

7.建议网络管理员、系统管理员、安全管理员关注安全信息、安全动态及最新的严重漏洞，攻与防的循环，伴随每个主流操作系统、应用服务的生命周期。

8.建议对数据库账户密码策略建议进行配置，对最大错误登录次数、超过有效次数进行锁定、密码有效期、到期后的宽限时间、密码重用等策略进行加固设置。

9.建议对数据库的管理访问节点地址进行严格限制，只允许特定管理主机IP进行远程登录数据库。

做好安全灾备方案，可按数据备份三二一原则来指导实施
1.至少准备三份：重要数据保证至少有三个以上的备份。
2.两种不同形式：将数据备份在两种不同的存储类型，如服务器/移动硬盘/云端/光盘等。
3.一份异地备份：至少一份备份存储在异地，当发生意外时保证有一份备份数据安全。