勒索病毒究竟是什么？我們要怎么預(yù)防？中了勒索病毒還有的救嗎？

　　一、概述
　　勒索病毒并不是什么新鮮事物，已經(jīng)零零散散存在了很多年，一直被當(dāng)作偶發(fā)性破壞性強(qiáng)的破壞性程序記錄在案，直到WannaCry勒索蠕蟲病毒爆發(fā)，給所有人上了一課：?jiǎn)市牟】竦钠茐恼呖梢园牙账鞑《九c蠕蟲病毒有機(jī)結(jié)合起來，制造大面積的災(zāi)難性后果。之后，安全軟件與勒索病毒的技術(shù)對(duì)抗即不斷升級(jí)，勒索病毒的攻擊也日益呈現(xiàn)出技術(shù)手段更成熟，攻擊目標(biāo)更精準(zhǔn)，產(chǎn)業(yè)分工更具體的特性。
　　回顧2018年勒索病毒的感染數(shù)據(jù)，會(huì)注意到整體上升趨勢(shì)較為明顯。

　　勒索病毒感染地域分布和行業(yè)分布

　　觀察2018年勒索病毒攻擊地域分布可知，勒索病毒在全國(guó)各地均有分布，其中廣東，浙江，山東，河南等地最為嚴(yán)重。勒索病毒攻擊行業(yè)中以傳統(tǒng)行業(yè)，教育，互聯(lián)網(wǎng)行業(yè)最為嚴(yán)重，醫(yī)療，政府機(jī)構(gòu)緊隨其后。分析可知，勒索病毒影響到事關(guān)國(guó)計(jì)民生的各個(gè)行業(yè)，一旦社會(huì)長(zhǎng)期依賴的基礎(chǔ)涉及遭受攻擊，將帶來難以估計(jì)，且不可逆轉(zhuǎn)的損失。
　　二、勒索類型
　　1.使用正規(guī)加密工具：
　　該勒索方式不同于傳統(tǒng)的勒索病毒攻擊流程，黑客通過入侵服務(wù)器成功后，使用正規(guī)的磁盤加密保護(hù)軟件對(duì)受害者機(jī)器數(shù)據(jù)進(jìn)行攻擊。例如BestCrypt Volume Encryption軟件，BestCrypt Volume Encryption是一款專業(yè)加密軟件廠商開發(fā)的磁盤保護(hù)軟件，能將整個(gè)分區(qū)加密，加密后除非有加密時(shí)候設(shè)置的口令，否則難以通過第三方去恢復(fù)解密。黑客通過利用專業(yè)加密軟件對(duì)服務(wù)器上的磁盤進(jìn)行加密，并要求繳納大量贖金方式進(jìn)一步提供文件解密恢復(fù)服務(wù)。
　　2.病毒加密：
　　該類勒索為最常見的病毒類型攻擊手法，主要分為兩類，一是劫持操作系統(tǒng)引導(dǎo)區(qū)禁止用戶正常登錄系統(tǒng)，二是使用高強(qiáng)度的加密算法加密用戶磁盤上的所有數(shù)據(jù)文件，兩種方式可能存在相互引用。病毒由于使用高強(qiáng)度的對(duì)稱或非對(duì)稱加密算法對(duì)數(shù)據(jù)進(jìn)行了加密，當(dāng)無法拿到文件解密密鑰的情況下，解密恢復(fù)文件的可能性極低。這也是勒索病毒攻擊者能一次次得手的技術(shù)前提。
　　3.虛假勒索詐騙郵件：
　　此勒索類嚴(yán)格意義上來講不屬于病毒，但由于該類型勒索巧妙利用了人性的弱點(diǎn)：通過電子郵件威脅、恐嚇，欺騙受害人向某個(gè)加密錢包轉(zhuǎn)帳，這一作法在2018相當(dāng)流行。安全局在2018年陸續(xù)接收到多起該類型勒索用戶反饋。勒索者通過大量群發(fā)詐騙郵件，當(dāng)命中收件人隱私信息后，利用收件人的恐慌心里，進(jìn)而成功實(shí)施欺詐勒索。勒索過程中，受害者由于擔(dān)心自己隱私信息遭受進(jìn)一步的泄漏，極容易陷入勒索者的圈套，從而受騙繳納贖金。
　　三、勒索病毒產(chǎn)業(yè)鏈
　　勒索病毒在經(jīng)過爆發(fā)式的增長(zhǎng)后，產(chǎn)業(yè)鏈條化較為明顯，各角色分工明確，完整的一次勒索攻擊流程可能涉及勒索病毒作者，勒索實(shí)施者，傳播渠道商，代理，受害者5個(gè)角色，各角色具體分工如下：
　　勒索病毒作者：負(fù)責(zé)勒索病毒編寫制作，與安全軟件免殺對(duì)抗。通過在“暗網(wǎng)”或其它地下平臺(tái)販賣病毒代碼，接受病毒定制，或出售病毒生成器的方式，與勒索者進(jìn)行合作拿取分成。
　　勒索實(shí)施者：從病毒作者手中拿到定制版本勒索病毒或勒索病毒原程序，通過自定義病毒勒索信息后得到自己的專屬病毒，與勒索病毒作者進(jìn)行收入分成。
　　傳播渠道商：幫助勒索者傳播勒索病毒，最為熟悉的則是僵尸網(wǎng)絡(luò)，例Necurs、Gamut，全球有97%的釣魚郵件由該兩個(gè)僵尸網(wǎng)絡(luò)發(fā)送。
　　代理：向受害者假稱自己能夠解密各勒索病毒加密的文件，并且是勒索者提出贖金的50%甚至更低，但實(shí)際上與勒索者進(jìn)行合作，從中賺取差價(jià)。代理常通過搜索關(guān)鍵字廣告推廣。
　　受害者：通過勒索病毒各種傳播渠道不幸中招的受害者，如有重要文件被加密，則向代理或勒索者聯(lián)系繳納贖金解密文件。
　　眾所周知，除非勒索病毒存在邏輯漏洞，或者取得解密密鑰，以當(dāng)前的計(jì)算機(jī)算力去解密幾乎不可能，而通過搜索引擎可發(fā)現(xiàn)大量號(hào)稱可解密多種主流勒索病毒的公司，該類部分解密公司，實(shí)際上是勒索者在國(guó)內(nèi)的代理，利用國(guó)內(nèi)用戶不方便買數(shù)字貨幣以及相對(duì)更加便宜的價(jià)格，吸引受害者聯(lián)系解密，在整個(gè)過程中賺取差價(jià)。根據(jù)某解密公司官網(wǎng)上公開的記錄，一家解密公司靠做勒索中間代理一個(gè)月收入可達(dá)300W人民幣。
　　四、勒索病毒2018典型攻擊事件

　　觀察分析2018年典型勒索攻擊事件不難發(fā)現(xiàn)，勒索病毒團(tuán)伙為了提高收益，已將攻擊目標(biāo)從最初的大面積撒網(wǎng)無差別攻擊，轉(zhuǎn)向精準(zhǔn)攻擊高價(jià)值目標(biāo)。比如直接攻擊醫(yī)療行業(yè)，企事業(yè)單位、政府機(jī)關(guān)服務(wù)器，包括制造業(yè)在內(nèi)的傳統(tǒng)企業(yè)面臨著日益嚴(yán)峻的安全形勢(shì)。
　　盡管WannaCry大范圍攻擊已過去一年多，但依然引起多次大型攻擊事件。安全局監(jiān)測(cè)發(fā)現(xiàn)，直到現(xiàn)在依然有部分企業(yè)、機(jī)構(gòu)存在電腦未修復(fù)該高危漏洞。一年前爆發(fā)流行的WannaCry勒索病毒仍然在某些企業(yè)、機(jī)關(guān)、事業(yè)單位內(nèi)網(wǎng)出現(xiàn)。以醫(yī)療行業(yè)安全性相對(duì)較高的三甲醫(yī)院為例，42%三甲醫(yī)院內(nèi)依然有PC電腦存在永恒之藍(lán)漏洞未修復(fù)。平均每天有7家三甲醫(yī)院被檢出WannaCry勒索病毒(所幸多為加密功能失效的病毒版本)
　　制造業(yè)正迎來「工業(yè)4.0」的重大歷史契機(jī)，面對(duì)需要將無處不在的傳感器、嵌入式系統(tǒng)、智能控制系統(tǒng)和產(chǎn)品數(shù)據(jù)、設(shè)備數(shù)據(jù)、研發(fā)數(shù)據(jù)、運(yùn)營(yíng)管理數(shù)據(jù)緊密互聯(lián)成一個(gè)智能網(wǎng)絡(luò)的新模式，一個(gè)全新的安全需求正在產(chǎn)生。
　　騰訊高級(jí)副總裁丁珂曾經(jīng)指出：數(shù)字經(jīng)濟(jì)時(shí)代信息安全已不只是一種基礎(chǔ)能力，還是產(chǎn)業(yè)發(fā)展升級(jí)的驅(qū)動(dòng)力之一;安全是所有0前面的1，沒有了1，所有0都失去了意義。
　　五、勒索病毒家族活躍TOP榜

　　伴隨著數(shù)字貨幣過去兩年的高速發(fā)展，在巨大的利益誘惑，以GandCrab，GlobeImposter，Crysis等為代表的勒索家族依然高度活躍，以上為2018年最具代表性的10個(gè)勒索病毒家族，下面通過簡(jiǎn)單介紹讓大家了解當(dāng)前流行的勒索病毒。
　　1. GandCrab：
　　GandCrab最早出現(xiàn)于2018年1月，是首個(gè)使用達(dá)世幣(DASH)作為贖金的勒索病毒，也是2018年也是最為活躍的病毒之一。GandCrab傳播方式多種多樣，主要有弱口令爆破，惡意郵件，網(wǎng)頁(yè)掛馬傳播，移動(dòng)存儲(chǔ)設(shè)備傳播，軟件供應(yīng)鏈感染傳播。該病毒更新速度極快，在1年時(shí)間內(nèi)經(jīng)歷了5個(gè)大版本，數(shù)各小版本更新，目前最新版本為5.1.6(截止2018年底)，國(guó)內(nèi)最為最活躍版本為5.0.4。
　　2. GlobeImposter：
　　GlobeImposter出現(xiàn)于2017年12月，該病毒發(fā)展到今天已有4個(gè)大版本，該病毒加密文件完成后添加擴(kuò)展后綴較多，主要有以下類型，目前最活躍版本病毒加密文件完成后會(huì)添加.*4444的擴(kuò)展后綴
　　(GOTHAM .YAYA .CHAK .GRANNY .SKUNK .SEXY .MAKGR .TRUE .BIG1 .LIN .BIIT .BUNNY .FREEMAN .reserve .DREAM .CHIEF.WALKER .Ox4444 .booty .YOYO .BIG3 .xx .BIG2 .sexy2 .sexy1 .China4444 .Help4444 .Rat4444 .Tiger4444 .Rabbit4444 .Dragon4444 .Snake4444 .Horse4444 .Goat4444 .Monkey4444 .Rooster4444 .Dog4444 .Pig4444)
　　3. Crysis：
　　Crysis勒索病毒加密文件完成后通常會(huì)添加“ID+郵箱+指定后綴”格式的擴(kuò)展后綴，例：“id-編號(hào).[gracey1c6rwhite@aol.com].bip，id-編號(hào).[stopencrypt@qq.com].bip”。
　　該病毒通常使用弱口令爆破的方式入侵企業(yè)服務(wù)器，安全意識(shí)薄弱的企業(yè)由于多臺(tái)機(jī)器使用同一弱密碼，面對(duì)該病毒極容易引起企業(yè)內(nèi)服務(wù)器的大面積感染，進(jìn)而造成業(yè)務(wù)系統(tǒng)癱瘓。
　　4. WannaCry：
　　WannaCry于2017年5月12日在全球范圍大爆發(fā)，引爆了互聯(lián)網(wǎng)行業(yè)的“生化危機(jī)”。借助“永恒之藍(lán)”高危漏洞傳播的WannaCry在短時(shí)間內(nèi)影響近150個(gè)國(guó)家，致使多個(gè)國(guó)家政府、教育、醫(yī)院、能源、通信、交通、制造等諸多關(guān)鍵信息基礎(chǔ)設(shè)施遭受前所未有的破壞，勒索病毒也由此事件受到空前的關(guān)注，由于當(dāng)前網(wǎng)絡(luò)中仍有部分機(jī)器未修復(fù)漏洞，所以該病毒仍然有較強(qiáng)活力(大部分加密功能失效)。
　　5. Satan:
　　撒旦(Satan)勒索病毒在2017年初被外媒曝光，被曝光后，撒旦(Satan)勒索病毒并沒有停止攻擊的腳步，反而不斷進(jìn)行升級(jí)優(yōu)化，跟安全軟件做持久性的對(duì)抗。該病毒利用JBoss、Tomcat、Weblogic，Apache Struts2等多個(gè)組件漏洞以及永恒之藍(lán)漏洞進(jìn)行攻擊感染傳播。
　　6. Hermes:
　　Hermes勒索病毒首次活躍于2017年11月，加密文件完成后會(huì)在文件名后添加.HRM擴(kuò)展后綴。該家族擅長(zhǎng)使用釣魚郵件，RDP(遠(yuǎn)程桌面管理)爆破攻擊，軟件供應(yīng)鏈劫持等方式進(jìn)行傳播，使用RSA+AES的加密方式，在沒有拿到病毒作者手中私鑰情況下，文件無法解密。
　　7. Stop：
　　該家族病毒不僅加密文件，還會(huì)靜默安裝修改后的TeamViwer進(jìn)而導(dǎo)致中毒電腦被攻擊者遠(yuǎn)程控制，同時(shí)修改Host文件，阻止受害者訪問安全廠商的網(wǎng)站，禁用Windows Defender開機(jī)啟動(dòng)，實(shí)時(shí)監(jiān)測(cè)功能，令電腦失去保護(hù)。為防止加密文件造成的CPU占用卡頓，還會(huì)釋放專門的模塊偽裝Windows補(bǔ)丁更新狀態(tài)。
　　8. Rapid:
　　Rapid勒索病毒在2017開始有過活躍，該病毒主要通過弱口令爆破，惡意郵件、網(wǎng)站掛馬等方式進(jìn)行傳播，目前國(guó)內(nèi)活躍版本加密完成后會(huì)添加no_more_ransom的擴(kuò)展后綴。病毒加密文件后無法解密。
　　9. FilesLocker:
　　FilesLocker勒索病毒在2018年10月出現(xiàn)，并在網(wǎng)上大量招募傳播代理。目前已升級(jí)到2.0版本，加密文件后會(huì)添加[fileslocker@pm.me]的擴(kuò)展后綴。該病毒由于加密完成后使用彈窗告知受害者勒索信息，所以病毒進(jìn)程未退出情況下有極大概率可通過內(nèi)存查找到文件加密密鑰進(jìn)而解密。
　　10. Py-Locker:
　　該勒索病毒家族使用Python語(yǔ)言編寫，令人驚訝的是捕獲到的個(gè)別樣本攜帶了正規(guī)的數(shù)字簽名，簽名人名稱為L(zhǎng)A CREM LTD，具有正規(guī)數(shù)字簽名的文件極易被安全軟件放行。根據(jù)勒索信息，受害者若想解密受損文件，必須使用tor瀏覽器訪問境外網(wǎng)站(暗網(wǎng))購(gòu)買解密工具。
　　六、勒索病毒未來趨勢(shì)
　　1、勒索病毒與安全軟件的對(duì)抗加劇
　　隨著安全軟件對(duì)勒索病毒的解決方案成熟完善，勒索病毒更加難以成功入侵用戶電腦，病毒傳播者會(huì)不斷升級(jí)對(duì)抗技術(shù)方案。
　　2、勒索病毒傳播場(chǎng)景多樣化
　　過去勒索病毒傳播主要以釣魚郵件為主，現(xiàn)在勒索病毒更多利用了高危漏洞(如永恒之藍(lán))、魚叉郵件攻擊，或水坑攻擊等方式傳播，大大提高了入侵成功率。
　　3、勒索病毒攻擊目標(biāo)轉(zhuǎn)向企業(yè)用戶
　　個(gè)人電腦大多能夠使用安全軟件完成漏洞修補(bǔ)，在遭遇勒索病毒攻擊時(shí)，個(gè)人用戶往往會(huì)放棄數(shù)據(jù)，恢復(fù)系統(tǒng)。而企業(yè)用戶在沒有及時(shí)備份的情況下，會(huì)傾向于支付贖金，挽回?cái)?shù)據(jù)。因此，已發(fā)現(xiàn)越來越多攻擊目標(biāo)是政府機(jī)關(guān)、企業(yè)、醫(yī)院、學(xué)校。
　　4、勒索病毒更新迭代加快
　　以GandCrab為例，當(dāng)?shù)谝淮暮笈_(tái)被安全公司入侵之后，隨后在一周內(nèi)便發(fā)布了GandCrab2，該病毒在短短一年時(shí)間內(nèi)，已經(jīng)升級(jí)了5個(gè)大版本，無數(shù)個(gè)小版本。
　　5、勒索贖金提高
　　隨著用戶安全意識(shí)提高、安全軟件防御能力提升，勒索病毒入侵成本越來越高，贖金也有可能隨之提高。上半年某例公司被勒索病毒入侵后，竟被勒索9.5個(gè)比特幣。如今勒索病毒的攻擊目標(biāo)也更加明確，或許接下來在贖金上勒索者會(huì)趁火打劫，提高勒索贖金。
　　6、勒索病毒加密對(duì)象升級(jí)
　　傳統(tǒng)的勒索病毒加密目標(biāo)基本以文件文檔為主，現(xiàn)在越來越多的勒索病毒會(huì)嘗試加密數(shù)據(jù)庫(kù)文件，加密磁盤備份文件，甚至加密磁盤引導(dǎo)區(qū)。一旦加密后用戶將無法訪問系統(tǒng)，相對(duì)加密而言危害更大，也有可能迫使用戶支付贖金。
　　7、勒索病毒開發(fā)門檻降低
　　觀察近期勒索病毒開發(fā)語(yǔ)言類型可知，越來越多基于腳本語(yǔ)言開發(fā)出的勒索病毒開始涌現(xiàn)，甚至開始出現(xiàn)使用中文編程“易語(yǔ)言”開發(fā)的勒索病毒。例如使用Python系列的“Py-Locker”勒索病毒，易語(yǔ)言供應(yīng)鏈傳播鬧的沸沸揚(yáng)揚(yáng)的“unname1889”勒索病毒，門檻低意味著將有更多的黑產(chǎn)人群進(jìn)入勒索產(chǎn)業(yè)這個(gè)領(lǐng)域，也意味著該病毒將持續(xù)發(fā)展泛濫。
　　8、勒索病毒產(chǎn)業(yè)化
　　隨著勒索病毒的不斷涌現(xiàn)，安全局情報(bào)中心甚至觀察到一類特殊的產(chǎn)業(yè)誕生：勒索代理業(yè)務(wù)。當(dāng)企業(yè)遭遇勒索病毒攻擊，關(guān)鍵業(yè)務(wù)數(shù)據(jù)被加密，而理論上根本無法解密時(shí)，而勒索代理機(jī)構(gòu)，承接了受害者和攻擊者之間談判交易恢復(fù)數(shù)據(jù)的業(yè)務(wù)。
　　9、勒索病毒感染趨勢(shì)上升
　　隨著虛擬貨幣的迅速發(fā)展，各類型病毒木馬盈利模式一致，各類型病毒均有可能隨時(shí)附加勒索屬性。蠕蟲，感染，僵尸網(wǎng)絡(luò)，挖礦木馬，在充分榨干感染目標(biāo)剩余價(jià)值后，都極有可能下發(fā)勒索功能進(jìn)行最后一步敲詐，這一點(diǎn)觀察GandCrab勒索病毒發(fā)展趨勢(shì)已有明顯的體現(xiàn)，預(yù)測(cè)未來勒索病毒攻擊將持續(xù)上升。
　　七、勒索病毒預(yù)防措施
　　1. 定期進(jìn)行安全培訓(xùn)，日常安全管理可參考“三不三要”思路
　　1) 不上鉤：標(biāo)題吸引人的未知郵件不要點(diǎn)開
　　2) 不打開：不隨便打開電子郵件附件
　　3) 不點(diǎn)擊：不隨意點(diǎn)擊電子郵件中附帶網(wǎng)址
　　4) 要備份：重要資料要備份
　　5) 要確認(rèn)：開啟電子郵件前確認(rèn)發(fā)件人可信
　　6) 要更新：系統(tǒng)補(bǔ)丁/安全軟件病毒庫(kù)保持實(shí)時(shí)更新
　　2. 全網(wǎng)安裝專業(yè)的終端安全管理軟件，由管理員批量殺毒和安裝補(bǔ)丁，后續(xù)定期更新各類系統(tǒng)高危補(bǔ)丁。
　　3. 部署流量監(jiān)測(cè)/阻斷類設(shè)備/軟件，便于事前發(fā)現(xiàn),事中阻斷和事后回溯。
　　4. 建議由于其他原因不能及時(shí)安裝補(bǔ)丁的系統(tǒng)，考慮在網(wǎng)絡(luò)邊界、路由器、防火墻上設(shè)置嚴(yán)格的訪問控制策略，以保證網(wǎng)絡(luò)的動(dòng)態(tài)安全。
　　5. 建議對(duì)于存在弱口令的系統(tǒng)，需在加強(qiáng)使用者安全意識(shí)的前提下，督促其修改密碼，或者使用策略來強(qiáng)制限制密碼長(zhǎng)度和復(fù)雜性。
　　6. 建議對(duì)于存在弱口令或是空口令的服務(wù)，在一些關(guān)鍵服務(wù)上，應(yīng)加強(qiáng)口令強(qiáng)度，同時(shí)需使用加密傳輸方式，對(duì)于一些可關(guān)閉的服務(wù)來說，建議關(guān)閉不要的服務(wù)端口以達(dá)到安全目的。不使用相同口令管理多臺(tái)關(guān)鍵服務(wù)器。
　　7. 建議網(wǎng)絡(luò)管理員、系統(tǒng)管理員、安全管理員關(guān)注安全信息、安全動(dòng)態(tài)及最新的嚴(yán)重漏洞，攻與防的循環(huán)，伴隨每個(gè)主流操作系統(tǒng)、應(yīng)用服務(wù)的生命周期。
　　8. 建議對(duì)數(shù)據(jù)庫(kù)賬戶密碼策略建議進(jìn)行配置，對(duì)最大錯(cuò)誤登錄次數(shù)、超過有效次數(shù)進(jìn)行鎖定、密碼有效期、到期后的寬限時(shí)間、密碼重用等策略進(jìn)行加固設(shè)置。
　　9. 建議對(duì)數(shù)據(jù)庫(kù)的管理訪問節(jié)點(diǎn)地址進(jìn)行嚴(yán)格限制，只允許特定管理主機(jī)IP進(jìn)行遠(yuǎn)程登錄數(shù)據(jù)庫(kù)。
　　做好安全災(zāi)備方案，可按數(shù)據(jù)備份三二一原則來指導(dǎo)實(shí)施
　　1. 至少準(zhǔn)備三份：重要數(shù)據(jù)保證至少有兩個(gè)備份。
　　2. 兩種不同形式：將數(shù)據(jù)備份在兩種不同的存儲(chǔ)類型，如服務(wù)器/移動(dòng)硬盤/云端/光盤等。
　　3. 一份異地備份：至少一份備份存儲(chǔ)在異地，當(dāng)發(fā)生意外時(shí)保證有一份備份數(shù)據(jù)安全。
病毒知識(shí)相關(guān)文章：

1.電腦病毒知識(shí)

2.計(jì)算機(jī)病毒知識(shí)

3.電腦病毒防范常識(shí)

4.有關(guān)電腦病毒和進(jìn)程的七點(diǎn)知識(shí)

5.殺死電腦病毒

6.世界上最神秘的病毒有哪些