2019上半年勒索病毒专题报告

2019上半年由勒索病毒攻击造成的国内外大小事件，可发现伴随着传统行业逐渐数字化、网络化、智能化、逐步拥抱产业互联网化的大浪潮中，暴露出一系列网络安全问题。勒索病毒也乘机发难，疯狂敛财，影响日渐扩大。全球范围内的交通、能源、医疗等社会基础服务设施，成为勒索病毒攻击的目标。

2019年，GandCrab勒索病毒运营团队宣称自己在一年半的时间里获利20亿美元，这一消息震惊全球，这个成功案例也将大大刺激更多不法分子继续经营勒索病毒业务。在我国大量攻击者借助恶意邮件、假冒司法机构发送暗藏GandCrab勒索病毒的伪装邮件，致多个政企机构内网被破坏。

2019年3月，世界最大的铝制品生产商挪威海德鲁公司（Norsk Hydro）遭遇勒索软件公司，随后该公司被迫关闭几条自动化生产线。

2019年5月26日，国内某打车软件平台发布公告称其服务器遭受连续攻击，服务器内核心数据被加密，攻击者索要巨额比特币。该公司严厉谴责该不法行为，并向公安机关报警。

2019年5月29日，美国佛罗里达州里维埃拉海滩警察局因员工打开恶意电子邮件，从而导致该市基础服务设施遭受勒索软件加密。市政官员于随后召开会议，批准动用大约60万美元支付勒索赎金。

2019年6月中旬，世界最大飞机零件供应商之一ASCO遭遇勒索病毒攻击，由于被病毒攻击导致的生产环境系统瘫痪，该公司将1400名工人中大约1000人带薪休假，同时停止了四个国家的工厂生产。

上半年勒索病毒攻击的一些数据

观察2019年勒索病毒感染的地域分布，勒索病毒在全国各地均有不同程度传播，以广东，山东，河南，四川，江苏等地受害最为严重。

观察勒索病毒影响的行业，以传统行业与教育行业受害最为严重，互联网，医疗，企事业单位紧随其后。

 2019上半年，勒索病毒的感染量一直稳定，累计被攻击的计算机超过250万台，时间分布上以2019年1月份最为活跃，2月到6月整体较为平稳，近期略有上升趋势。

2019上半年，勒索病毒的主要攻击方式依然以弱口令爆破攻击为主，其次为通过海量的垃圾邮件传播，而利用高危漏洞、漏洞工具包主动传播的方式紧随其后，整体攻击方式呈现多元化的特征。

网络勒索的五个套路

随着勒索产业的迅速发展壮大，通过围绕数据加密，数据泄露，乃至诈骗等核心元素展开的网络勒索类型也是千姿百态。网络勒索具有匿名性、隐蔽性、便捷性等特点，深受黑产青睐。其中典型的勒索病毒作案实施过程如下，一次完整的勒索可能涉及5个角色（一人可能充当多个角色）。

· 勒索病毒作者：负责勒索病毒编写制作，与安全软件免杀对抗。通过在“暗网”或其它地下平台贩卖病毒代码，接受病毒定制，或出售病毒生成器的方式，与勒索者进行合作拿取分成。

· 勒索者：从病毒作者手中拿到定制版本勒索病毒或勒索病毒原程序，通过自定义病毒勒索信息后得到自己的专属病毒，与勒索病毒作者进行收入分成。

· 传播渠道商：帮助勒索者传播勒索病毒，最为熟悉的则是僵尸网络，例Necurs、Gamut，全球有97%的钓鱼邮件由该两个僵尸网络发送。

· 解密代理：向受害者假称自己能够解密各勒索病毒加密的文件，并且是勒索者提出赎金的50%甚至更低，但实际上与勒索者进行合作，在其间赚取差价。从世界范围内看，勒索病毒产业链养活了大量从事解密代理的组织，这些人直接购买搜索关键字广告，让勒索病毒受害企业通过他们完成解密交易，解密代理充当了中间人的角色，从中获取大量利益。

· 受害者：通过勒索病毒各种传播渠道不幸中招的受害者，如有重要文件被加密，则向代理或勒索者联系缴纳赎金解密文件。

网络勒索的表现形式，基本不外乎以下五种：

1.数据加密勒索：

这种方式是当前受害群体最多、社会影响最广，勒索犯罪中最为活跃的表现形式，该方式通过加密用户系统内的重要资料文档，数据，再结合虚拟货币实施完整的犯罪流程。以GandCrab为代表的勒索集团当属该类勒索产业中的佼佼者，该黑产团伙在运营短短一年多的时间内，非法敛财20亿美元，该病毒也一度影响了包括我国在内的多个国家基础设施的正常运转，在我国境内制造了大量GandCrab病毒感染事件。

2.系统锁定勒索：

该形式勒索与数据加密勒索有着极大的相似性，在部分真实攻击场景中该方式也会结合数据加密勒索方式共同实施。这种方式的攻击重点不是针对磁盘文件，而是通过修改系统引导区，篡改系统开机密码等手段将用户系统锁定，导致用户无法正常登录到系统。

通过该模式实施的勒索在电脑和安卓手机系统也较为常见。国内PC多见以易语言为代表编写的一系列锁机病毒，将病毒捆绑在破解工具、激活工具、游戏外挂中，欺骗用户通过论坛，网盘，下载站等渠道传播。

3.数据泄漏勒索：

该类型勒索通常情况针对企业实施，黑客通过入侵拿到企业内相关机密数据，随后敲诈企业支付一定金额的赎金，黑客收到赎金后称会销毁数据，否则将进入撕票流程，在指定时间将企业机密数据公开发布，以此要挟企业支付酬金。大规模的数据泄露对大企业而言不仅会造成严重的经济损失，也会为极大的负面影响。

4.诈骗恐吓式勒索：

此类型勒索与企业数据泄露造成的勒索有着相似点，针对个人用户隐私发起攻击。不同点为攻击者手中根本没有隐私数据，他们通过伪造、拼接与隐私有关的图片、视频、文档等等恐吓目标实施诈骗勒索。

此类勒索者会大量群发诈骗邮件，当命中收件人隐私信息后，利用收件人的恐慌心里实施欺诈勒索。勒索过程中，受害者由于担心自己隐私信息遭受进一步的泄漏，容易陷入圈套，从而受骗缴纳赎金。

5.破坏性加密数据掩盖入侵真相

在部分涉及各行业重要数据，各国家机密数据的染毒场景中，有时也会发现一些不同于感染传统勒索病毒的案例。区别在于，观察此类染毒环境中可发现，病毒对部分文件会进行多次加密，甚至对文件进行了无法修复的破坏，且病毒不做白名单过滤，极易将系统直接搞崩溃。分析此类染毒场景可知病毒真实意图似乎更偏向于破坏，而不在于图财。

部分黑客组织在实施APT攻击、窃取企业数据之后，为消除痕迹，会进一步投递破坏性的勒索病毒，将用户资料加密，部分APT攻击者的终极目的就是为了对目标基础设施打击以造成无法修复的损坏。勒索病毒的加密机制，让这些攻击行动变得较为常见，从而有利于黑客组织掩盖真实攻击意图。

关于勒索病毒解密和打击犯罪

成熟的勒索病毒通常使用高强度非对称加密（RSA+其它）算法来对文件进行加密，这也导致未能拿到病毒作者手中的私钥情况下，在常规技术手段下被加密的文件无法解密，少数可解密情况仅包含以下场景：

a.由于勒索病毒自身设计缺陷导致的加密算法可逆，密钥泄漏场景下的文件可解密。

此类型导致的可解密的病毒有Satan家族部分版本，Stop家族染毒部分版本，Aurora(欧若拉)家族，xorist家族等。

b.勒索病毒作者自己公开了手中的密钥，进而开发出了解密工具。

例如FilesLocker早期1.x，2.x等版本，病毒作者通过公开自身使用私钥的方式，让部分染毒的系统得以成功解密恢复文件。

c.得益于警方与安全公司的合作，执法部门对勒索团伙进行打击后拿到病毒作者掌握的密钥，进而得以开发出解密工具。

例如Bitdefender联合罗马尼亚与欧洲多地区警方针对GandCrab勒索家族的数次打击。最新版本的GandCrab 5.2破坏的文件也能成功恢复。

国内安全公司在2019年也更多的配合执法部门对勒索病毒犯罪进行打击，2019年，这些行动取得了一定成果。

a.2018年12月，国内发现有使用二维码支付赎金的勒索病毒案件，2万多台电脑被感染。不久，研发该病毒的“95后”罗某被东莞网警抓获。2019年6月11日，广东东莞市第三人民法院对该案进行了开庭审理，罗某涉嫌破坏计算机信息系统罪，被检察机关提起公诉。

b.2019年6月中，武汉市公安局江汉分局历经3个月的侦查，破获一起网络敲诈案，广东一对夫妻在深圳注册两家公司（勒索病毒解密代理公司）联合黑客攻击国内多家公司的电脑，以解密为由非法牟利，前后获利约700万元，相关犯罪嫌疑人已被民警抓获。

勒索病毒下一阶段的演变

1、勒索病毒与安全软件的对抗将会加剧

随着安全软件对勒索病毒的防御方案已相对成熟完善，勒索病毒更加难以成功入侵用户电脑，病毒传播者则会不断升级对抗技术方案。

2、勒索病毒传播场景更加多样化

过去勒索病毒传播主要以钓鱼邮件为主，现在勒索病毒更多利用了高危漏洞、鱼叉式攻击，或水坑攻击等非常专业的黑客攻击方式传播，乃至通过软件供应链传播，都大大提高了入侵成功率和病毒影响面。

3、勒索病毒攻击的重点是企业用户

个人电脑大多能够使用安全软件完成漏洞修补，首先攻击门槛就相对比较高。在遭遇勒索病毒攻击时，个人用户数据的重要性往往弱于企业用户，除个别用户之外，大多选择放弃数据重装系统，也绝不接受勒索。而企业用户则有相反的特性：很多企业系统因为管理的原因、或系统安全维护的成本较高，系统版本较低，不能及时安装补丁等客观因素，导致企业网络更容易被入侵，而企业数据的高价值，又会让企业受害者倾向于支付赎金挽回数据。因此，我们观察到的情况是，勒索病毒越来越多针对政府机关、企业、医院、学校等机构用户。

4、勒索病毒的更新迭代速度加快

随着安全厂商与警方的不断努力，越来越多的勒索病毒被破解，被打击，这也将加剧黑产从业者对病毒进行快速迭代。

5、勒索赎金提高

随着用户安全意识提高、安全软件防御能力提升，勒索病毒入侵成本也相应提高，勒索赎金也随之增长。有企业被勒索病毒入侵后，勒索数额高达9.5个比特币（市值超过10万元人民币），已多次观察到部分勒索病毒会根据用户数据的价值调整勒索金额。

6、勒索病毒开发门槛降低

观察近期勒索病毒开发语言类型可知，越来越多基于脚本语言开发出的勒索病毒开始涌现，甚至开始出现使用中文编程“易语言”开发的勒索病毒。例如使用Python系列的“Py-Locker”勒索病毒，易语言供应链传播闹的沸沸扬扬的“unname1889”勒索病毒，门槛低意味着将有更多的黑产人群进入勒索产业这个领域，也意味着该病毒将持续发展泛滥。

8、勒索病毒产业化特性愈发明显

随着勒索病毒的不断涌现，勒索代理服务正在变得越来越稳定，甚至走向正规化。通过观察，我们注意到勒索解密代理企业长年累月直接购买搜索引擎关键字广告推广业务，当企业遭遇勒索病毒攻击，关键业务数据被加密，而理论上根本无法解密时，而勒索代理机构，承接了受害者和攻击者之间谈判交易恢复数据的业务。

勒索病毒与挖矿木马混合感染的情况多见，在一些企业内网被入侵攻击的案例中，我们观察到同时存在挖矿木马感染和勒索病毒感染，入侵者基本使用了相同的传播渠道。两种攻击方式混合，使攻击者获利最大化。

9、勒索病毒多平台扩散

目前受到的勒索病毒攻击主要是windows系统，但是管家也陆续发现了针对MacOS、Android等平台的勒索病毒，随着windows的防范措施完善和攻击者永不满足的贪欲，未来勒索病毒在其他平台的影响力也会逐步增加。

10、勒索病毒黑产参与者将持续上升

GandCrab通过16个月赚够20亿美金高调“退休”的故事被广为流传，可以预见，此事件将引爆黑暗中更多人的贪欲，在未来相当长一段时间内，将会有越来越多的人投身勒索行业，黑产从业者数量将持续上升。

随着虚拟货币的迅速发展，各类型病毒木马盈利模式一致，各类型病毒均有可能随时附加勒索属性。蠕虫，感染，僵尸网络，挖矿木马，在充分榨干感染目标剩余价值后，都极有可能下发勒索模块进行最后一步敲诈，预测未来勒索病毒攻击事件将持续上升。

针对勒索病毒的防御方案

A、定期进行安全培训，日常安全管理可参考“三不三要”思路

1.不上钩：标题吸引人的未知邮件不要点开

2.不打开：不随便打开电子邮件附件

3.不点击：不随意点击电子邮件中附带网址

4.要备份：重要资料要备份

5.要确认：开启电子邮件前确认发件人可信

6.要更新：系统补丁/安全软件病毒库保持实时更新

B、全网安装部署终端安全管理软件，推荐企业用户使用腾讯御点，个人用户使用腾讯电脑管家。同时，针对一些大中型企业，我们建议采用腾讯御界高级威胁检测系统监测内网风险，企业管理员可以通过这些安全解决方案及时发现内网入侵风险，及时封堵弱点，修补漏洞，避免重要业务系统被勒索病毒破坏。

C、建议由于其他原因不能及时安装补丁的系统，考虑在网络边界、路由器、防火墙上设置严格的访问控制策略、软件限制策略，以保证网络的动态安全。

D、建议对于存在弱口令的系统，需在加强使用者安全意识的前提下，督促员工停止使用弱密码，或使用安全策略来强制规定密码长度和复杂性。

E、对网络资产进行核查，如果存在一些非必要开启的网络服务或端口，可以按照最小权限原则进行关闭或禁用，最大程度减少黑客入侵的攻击面。

F、企业应建设、培养专业的网络安全管理人才建设，密切关注网络安全动态，安全攻防需要长期的技术投入和人员投入例如部署SSL证书以保安全，为企业邮箱部署邮箱证书等等。

G、建议对重要的网络服务进行远程访问策略配置、对管理节点进行限制，只限定允许的IP地址访问管理后台。数据库服务避免使用弱密码，配置最大错误登录次数，防止远程黑客进行暴力破解。

资料采集于：腾讯安全