腾讯安全发布勒索病毒报告：目标锁定政企用户 破坏力显著增强

本篇文章1820字，读完约5分钟

自从2017年wannacry风靡全球以来，ransomware已经正式进入了大众的视野，影响了许多行业和机构，并成为最受关注的网络安全问题之一。回顾整个2018年，以whole冒名顶替者、crysis和gandcrab为代表的勒索病毒越来越猖獗。肆无忌惮的攻击者将勒索病毒与蠕虫相结合，以企业、机构和相关政府部门为目标，接连制造了多起大规模的敲诈事件，极大地增强了其影响力和破坏性，一度引起社会各界的广泛关注。

可以预见，未来的软件攻击将呈现出技术手段日益成熟、攻击目标更加精确、产业分工更加具体的特点。所以，如何抵御这种勒索攻击就显得尤为重要。近日，腾讯证券正式发布了《2018年敲诈勒索活动回顾报告》(以下简称《报告》)。《报告》分析了过去一年中国主要软件组织的分布和攻击技术，全面预测了未来技术发展趋势。此外，《报告》还提出了321安全容灾方案的原则，对企业网络安全建设具有一定的参考价值。

谁最受软件青睐

2018年全年，软件攻击总体呈上升趋势，导致了许多大规模的网络攻击。从攻击的地理分布来看，ransomware分布在全国各地，尤其是广东、浙江和河南。同时，ransomware也偏爱受感染的行业，其中传统行业、教育和互联网最为严重，其次是医疗和政府机构。

(照片:软件感染的地理分布)

以医疗行业为例，在该行业网络安全相对完善的前三家医院中，有42%的医院在计算机方面仍然存在永远无法修补的蓝色漏洞；平均而言，每天有7家3A医院的电脑检测到恶意软件。2018年初，中国的两家省级医院相继遭受了勒索软件攻击，一度导致医院在一段时间内无法接受治疗，甚至导致系统长期瘫痪。

制造业也是最常被勒索的对象之一。2018年，TSMC和波音飞机制造厂相继遭受病毒勒索。制造业正面临“工业4.0”的重大历史机遇。面对将无处不在的传感器、嵌入式系统、智能控制系统以及产品数据、设备数据、R&D数据和运行管理数据连接成智能网络的新模式，一种新的安全需求正在出现。

尽管ransomware更喜欢上述行业，但事实表明，ransomware对关系国计民生的各种行业都构成了一定的威胁。社会长期依赖的基础设施一旦遭到攻击，将会给社会带来不可预测和不可逆转的损失。

抢劫犯也有家人、解密公司或他们的代理人

在勒索软件攻击系统后，它通常会向受害者勒索数字现金或其他货币，这在病毒领域是名副其实的强盗。2018年，在经历了爆炸性增长后，ransomware不再独自作战，而是以家族形式为王，角色分工明确。一个完整的软件攻击过程可能涉及五个角色:软件的作者、软件的实现者、通信渠道的提供者、代理和受害者。

具体来说，病毒作者主要负责编写、制作和对抗安全软件；敲诈实施者从病毒作者那里获得定制的源程序，通过定制的病毒信息获得独家病毒，并与病毒作者分享收入；沟通渠道帮助敲诈实施者完成病毒传播；作为一个重要的部分，代理人向受害者谎称他可以解密由ransomware加密的软件，并索要赎金以赚取差价。

(照片:勒索黑制作产业链)

近两年来，随着数字现金的迅速发展，以gandcrab、globe冒名顶替者和crysis为代表的敲诈勒索家族在巨大利益的诱惑下依然十分活跃。其中，攻击技术已经成为整个勒索家族延续的核心驱动力，如使用常规加密工具、病毒加密和虚假勒索欺诈加密等，已经成为攻击者常用的策略之一。

以2018年最活跃的ransomware家族之一gandcrab为例，作为第一个使用dash作为赎金的ransomware，其传输方式多种多样，主要包括弱密码爆炸、恶意邮件、网站挂马传输、移动存储设备传输、软件供应链感染传输等。病毒的更新速度非常快，一年之内它经历了五个大版本和几个小版本的小修复。目前，最新版本是5 . 1 . 6(2018年底)，在中国最活跃的版本是5.0.4。

(照片:ransomware和crab ransomware页面)

众所周知，除非ransomware有逻辑漏洞或获得解密密钥，否则用目前的计算机计算能力几乎不可能解密它。如今，市场上也有解密公司，它们实际上是中国勒索者的代理。它利用了国内用户不方便购买数字现金的弱点，吸引受害者以相对较低的价格联系并解密，从而在整个过程中赚取差价。根据解密公司官方网站上公布的交易记录，一家解密公司通过充当敲诈中介，每月可以赚取300瓦人民币。

321数据备份方法是对抗软件最直接的方法