9、“麒麟2．1”的勒索病毒

2018年3月1日，監(jiān)測(cè)到了“麒麟2．1”的勒索病毒。通過(guò)QQ等聊天工具傳文件方式傳播，一旦中招就會(huì)鎖定電腦文件，登錄后會(huì)轉(zhuǎn)走支付寶所有余額。中招后，它會(huì)鎖定電腦文件，表面上要求掃碼用支付寶付款3元，但實(shí)際上掃碼是登錄支付寶，登錄后會(huì)轉(zhuǎn)走支付寶所有余額。

10、2018年3月，CrySiS勒索病毒爆發(fā)

服務(wù)器文件被加密為．java后綴的文件，采用RSA＋AES加密算法，主要運(yùn)用了Mimikatz、IP掃描等黑客工具，進(jìn)行RDP爆破，利用統(tǒng)一密碼特性，使用相同密碼對(duì)全網(wǎng)業(yè)務(wù)進(jìn)行集中攻擊，通過(guò)RDP爆破的方式植入，同時(shí)此勒索病毒在最近也不斷出現(xiàn)它的新的變種，其加密后綴也不斷變化之中。

11、2018年12月1日，一個(gè)以微信為支付手段的勒索病毒在國(guó)內(nèi)爆發(fā)

幾日內(nèi)，該勒索病毒至少感染了10萬(wàn)臺(tái)電腦，通過(guò)加密受害者文件的手段，已達(dá)到勒索贖金的目的，而受害者必需通過(guò)微信掃一掃支付110元贖金才能解密。

2018年6月，羅某某自主研發(fā)出病毒“cheat”，用于盜取他人支付寶的賬號(hào)密碼，進(jìn)而以轉(zhuǎn)賬方式盜取資金。

同時(shí)制作內(nèi)含“cheat”木馬病毒代碼的某開(kāi)發(fā)軟件模塊，在互聯(lián)網(wǎng)上發(fā)布，任何通過(guò)該開(kāi)發(fā)軟件編寫(xiě)的應(yīng)用軟件均包含木馬病毒代碼，代碼在后臺(tái)自動(dòng)運(yùn)行，記錄用戶淘寶、支付寶等賬號(hào)密碼，以及鍵盤(pán)操作，上傳至服務(wù)器。此外，嫌疑人通過(guò)執(zhí)行命令對(duì)感染病毒的計(jì)算機(jī)除系統(tǒng)文件、執(zhí)行類文件以外的所有文件進(jìn)行加密，隨后彈出包含解密字樣和預(yù)置微信收款二維碼的勒索界面，解密程序標(biāo)題顯示“你的電腦已被加密，請(qǐng)執(zhí)行以下操作，掃一掃二維碼，你需要支付110進(jìn)行解密”。

4 常見(jiàn)傳播方式

勒索病毒的傳播方式有很多，比如服務(wù)器入侵傳播、利用漏洞傳播、郵件附件傳播、通過(guò)軟件供應(yīng)鏈傳播和掛馬網(wǎng)頁(yè)傳播等，我們這里總結(jié)了幾種最常見(jiàn)傳播方式。

4．1郵件附件傳播

通過(guò)偽裝成產(chǎn)品訂單詳情或圖紙等重要文檔類的釣魚(yú)郵件，在附件中夾帶含有惡意代碼的腳本文件。一旦用戶打開(kāi)郵件附件，便會(huì)執(zhí)行里面的腳本，釋放勒索病毒。這類傳播方式的針對(duì)性較強(qiáng)，主要瞄準(zhǔn)公司企業(yè)、各類單位和院校，他們最大的特點(diǎn)是電腦中的文檔往往不是個(gè)人文檔，而是公司文檔。最終目的是給公司業(yè)務(wù)的運(yùn)轉(zhuǎn)制造破壞，迫使公司為了止損而不得不交付贖金。

如Locky病毒，該病毒一般是通過(guò)郵件方式進(jìn)行傳播，黑客對(duì)目標(biāo)對(duì)象發(fā)送帶有附件的惡意郵件，員工或者領(lǐng)導(dǎo)一旦打開(kāi)附件后，電腦、手機(jī)上的各種重要文件，包括軟件源代碼、Word、PPT、PDF、圖片等都會(huì)被加密，無(wú)法正常使用。

4．2服務(wù)器入侵傳播

以Crysis家族為代表的勒索軟件主要采用此類攻擊方式。黑客首先通過(guò)弱口令、系統(tǒng)或軟件漏洞等方式獲取用戶名和密碼，再通過(guò)RDP（遠(yuǎn)程桌面協(xié)議）遠(yuǎn)程登錄服務(wù)器，一旦登錄成功，黑客就可以在服務(wù)器上為所欲為，例如：卸載服務(wù)器上的安全軟件并手動(dòng)運(yùn)行勒索軟件。所以，在這種攻擊方式中 ，一旦 服務(wù)器被入侵，安全軟件一般是不起作用的。

服務(wù)器能夠被成功入侵的主要原因還是管理員的帳號(hào)密碼被破解。而造成服務(wù)器帳號(hào)密碼被破解的主要原因有以下幾種：為數(shù)眾多的系統(tǒng)管理員使用弱密碼，被黑客暴力破解；還有一部分是黑客利用病毒或木馬潛伏在用戶電腦中，竊取密碼；除此之外還有就是黑客從其他渠道直接購(gòu)買(mǎi)賬號(hào)和密碼。黑客得到系統(tǒng)管理員的用戶名和密碼后，再通過(guò)遠(yuǎn)程登錄服務(wù)器，對(duì)其進(jìn)行相應(yīng)操作。

4．3軟件供應(yīng)鏈攻擊傳播

軟件供應(yīng)鏈攻擊是指利用軟件供應(yīng)商與最終用戶之間的信任關(guān)系，在合法軟件正常傳播和升級(jí)過(guò)程中，利用軟件供應(yīng)商的各種疏忽或漏洞，對(duì)合法軟件進(jìn)行劫持或篡改，從而繞過(guò)傳統(tǒng)安全產(chǎn)品檢查達(dá)到非法目的的攻擊類型。

2017年爆發(fā)的Fireball、暗云III、類Petya、異鬼II、Kuzzle、XShellGhost、CCleaner等，以及2018年12月被曝光的國(guó)產(chǎn)“cheat”后門(mén)事件均屬于軟件供應(yīng)鏈攻擊。而在烏克蘭爆發(fā)的類Petya勒索軟件事件也是其中之一，該病毒通過(guò)稅務(wù)軟件M．E．Doc的升級(jí)包投遞到內(nèi)網(wǎng)中進(jìn)行傳播。

4．4漏洞傳播

漏洞傳播存在多種類型。

1、通過(guò)服務(wù)器弱口令傳播

如Rapid勒索病毒，根據(jù)部分網(wǎng)友在部分論壇中的反饋發(fā)現(xiàn)，該病毒通過(guò)服務(wù)器弱口令方式傳播。

2、永恒之藍(lán)系列

①Wannacry及其變種可謂該系列病毒中最為臭名昭著的一類了，爆發(fā)以來(lái)造成的損失不計(jì)其數(shù)，包括安全狗在內(nèi)的眾多廠商均針對(duì)該系列病毒推出過(guò)解決方案。

②Petya勒索病毒的變種。使用的傳播攻擊形式和WannaCry類似，但該病毒除了使用了永恒之藍(lán)（MS17－010）漏洞，還罕見(jiàn)的使用了黑客的橫向滲透攻擊技術(shù)，利用WMIC／PsExec／mimikatz等

③Satan勒索病毒。通過(guò)永恒之藍(lán)漏洞攻擊工具在局域網(wǎng)內(nèi)橫向傳播，主動(dòng)入侵未安裝補(bǔ)丁的服務(wù)器

3、利用掛馬網(wǎng)頁(yè)傳播

通過(guò)入侵主流網(wǎng)站的服務(wù)器，在正常網(wǎng)頁(yè)中植入木馬，讓訪問(wèn)者在瀏覽網(wǎng)頁(yè)時(shí)利用IE或Flash等軟件漏洞進(jìn)行攻擊。這類勒索軟件屬于撒網(wǎng)抓魚(yú)式的傳播，并沒(méi)有特定的針對(duì)性，一般中招的受害者多數(shù)為裸奔用戶，未安裝任何殺毒軟件。

4、復(fù)合傳播方式

I、GandCrab家族勒索病毒

傳播渠道相對(duì)其他家族豐富很多，包括掛馬攻擊、水坑攻擊、漏洞攻擊和釣魚(yú)郵件攻擊，其中水坑攻擊令人防不勝防。水坑攻擊傳播通過(guò)入侵網(wǎng)站后臺(tái)，將網(wǎng)頁(yè)內(nèi)容篡改為亂碼，并且提示需要更新字體，誘導(dǎo)用戶下載運(yùn)行“字體更新程序”，實(shí)際上用戶下載到的是GandCrab2勒索病毒。GandCrab3勒索病毒還通過(guò)Bondat蠕蟲(chóng)下載傳播。

II、Crysis勒索軟件

Crysis這個(gè)勒索軟件主要通過(guò)垃圾郵件、釣魚(yú)郵件、游戲修補(bǔ)程序、注冊(cè)機(jī)、捆綁破解軟件等方式傳播；有的廠商則認(rèn)為主要傳播方式是利用服務(wù)器弱口令漏洞，爆破遠(yuǎn)程登錄用戶名和密碼，進(jìn)而通過(guò)RDP（遠(yuǎn)程桌面協(xié)議）遠(yuǎn)程登錄目標(biāo)服務(wù)器運(yùn)行勒索病毒，黑客遠(yuǎn)程登錄服務(wù)器后手動(dòng)操作。

III、GlobeImposter勒索者病毒

GlobeImposter勒索者病毒可以利用電子郵件、文件傳輸?shù)确绞竭M(jìn)行擴(kuò)散，更主要的特點(diǎn)是利用系統(tǒng)的漏洞發(fā)起動(dòng)態(tài)攻擊。針對(duì)企業(yè)服務(wù)器的攻擊以弱口令爆破服務(wù)器后遠(yuǎn)程登錄的方式最為常見(jiàn)。黑客使用自動(dòng)化攻擊腳本，暴力破解服務(wù)器管理員賬號(hào)密碼，入侵后可秘密控制服務(wù)器，卸載服務(wù)器上的殺毒軟件并植入勒索病毒。

5、總結(jié)

黑客為了提高勒索軟件的傳播效率，也在不斷更新攻擊方式，釣魚(yú)郵件傳播依然是黑客常用的傳播手段，服務(wù)器入侵的手法更加?jì)故爝\(yùn)用，同時(shí)也開(kāi)始利用系統(tǒng)自身的漏洞進(jìn)行傳播。

5 針對(duì)企業(yè)服務(wù)器勒索攻擊

5．1以企業(yè)服務(wù)器為攻擊目標(biāo)已成勒索病毒新趨勢(shì)

從去年下半年開(kāi)始，勒索病毒在國(guó)內(nèi)的攻擊重點(diǎn)開(kāi)始轉(zhuǎn)向了各類服務(wù)器，尤其以windows服務(wù)器為甚。黑客利用弱口令和各類系統(tǒng)漏洞，軟件漏洞向服務(wù)器遠(yuǎn)程滲透投毒，經(jīng)常出現(xiàn)一個(gè)服務(wù)集群多臺(tái)主機(jī)被感染的情況，造成的影響輕則服務(wù)中斷，有嚴(yán)重的更影響到整個(gè)公司的運(yùn)營(yíng)，已經(jīng)成為影響企業(yè)安全的一大問(wèn)題。

企業(yè)服務(wù)器上的數(shù)據(jù)文件一旦被加密，將嚴(yán)重威脅到公司的正常運(yùn)轉(zhuǎn)，企業(yè)也更傾向于向不法黑客交付贖金。服務(wù)器或?qū)⒊蔀椴环ê诳蛡鞑ダ账鞑《镜闹攸c(diǎn)攻擊目標(biāo)。

2018開(kāi)年以來(lái)，針對(duì)Windows服務(wù)器的勒索病毒攻擊此起彼伏，尤其是最近國(guó)內(nèi)數(shù)家機(jī)構(gòu)服務(wù)器同時(shí)被GlobeImposter勒索病毒攻擊，黑客在突破企業(yè)防護(hù)邊界后釋放并運(yùn)行勒索病毒，最終導(dǎo)致系統(tǒng)被破壞，日常業(yè)務(wù)大面積癱瘓，服務(wù)器安全問(wèn)題開(kāi)始備受關(guān)注。

6 勒索攻擊發(fā)展趨勢(shì)

1、遠(yuǎn)程訪問(wèn)弱口令攻擊成為主流

許多企業(yè)工作中需要進(jìn)行遠(yuǎn)程維護(hù)，所以許多機(jī)器都啟用了遠(yuǎn)程訪問(wèn)。如果密碼過(guò)于簡(jiǎn)單，它將很容易被攻擊者利用。到了2018年，通過(guò)弱口令爆破遠(yuǎn)程登錄服務(wù)器、再植入勒索病毒的攻擊方式最為常見(jiàn)。幾個(gè)影響力最大的勒索病毒幾乎全都采用這種方式進(jìn)行傳播，感染用戶數(shù)量最多。

2、勒索病毒變種更新迭代更快

勒索病毒每隔一段時(shí)間就會(huì)出現(xiàn)一個(gè)新變種，有的修改加密算法，增加了加密速度，有的為了對(duì)抗查殺，使用了免殺、反逆向、反沙箱等手段。此外有的勒索病毒新版本開(kāi)始使用隨機(jī)后綴，從而增加了受害者查找所中勒索病毒類型的難度。

3、國(guó)產(chǎn)勒索病毒開(kāi)始活躍

最近針對(duì)國(guó)內(nèi)用戶的勒索病毒流行，此類通常會(huì)使用全中文的勒索提示界面，個(gè)別會(huì)要求直接通過(guò)微信、支付寶二維碼的形式來(lái)索取贖金。鑒于國(guó)內(nèi)移動(dòng)支付操作簡(jiǎn)單，與其它語(yǔ)言版本的勒索病毒相比，索取的贖金數(shù)值不高且支付操作簡(jiǎn)單，因此受害者支付贖金的可能性更高。

4、勒索門(mén)檻越來(lái)越低

隨著各種編程語(yǔ)言編寫(xiě)的勒索病毒的出現(xiàn)，勒索軟件的開(kāi)發(fā)門(mén)檻越來(lái)越低。而且我們發(fā)現(xiàn)繼使用PHP、Python等語(yǔ)言之后，另一種更簡(jiǎn)單易用的腳本語(yǔ)言——AutoIt語(yǔ)言也被發(fā)現(xiàn)用于編寫(xiě)勒索病毒，加上網(wǎng)上迅速傳播的一些勒索病毒的技術(shù)細(xì)節(jié)，導(dǎo)致了勒索病毒從制作到傳播的技術(shù)門(mén)檻不斷降低。

5、內(nèi)網(wǎng)安全重視程度亟需加強(qiáng)

Wannacry集中爆發(fā)在企業(yè)和高校等組織的內(nèi)網(wǎng)，核心原因還是內(nèi)網(wǎng)安全重視程度不夠，MS17－010漏洞遲遲未得到修復(fù)，很多內(nèi)網(wǎng)主機(jī)445文件共享端口未被禁用是主要原因。

如果內(nèi)網(wǎng)提前做安全加固，比如及時(shí)修復(fù)MS17－010 SMB服務(wù)遠(yuǎn)程代碼執(zhí)行漏洞，針對(duì)Windows系統(tǒng)不安全項(xiàng)做核查修復(fù)（比如禁用SMB服務(wù)），定期異地備份系統(tǒng)數(shù)據(jù)等亦可避免感染這次的Wannacry勒索蠕蟲(chóng)或降低勒索蠕蟲(chóng)感染帶來(lái)的損失。無(wú)論是內(nèi)網(wǎng)還是外網(wǎng)，定期的防黑加固甚至一套完整的縱深防御體系建設(shè)應(yīng)該被重視并予以執(zhí)行。

7 如何防范勒索病毒？

7．1對(duì)勒索病毒的方法

第一，已知病毒。對(duì)于已知病毒的防范，技術(shù)手段比較多，首先是把相關(guān)補(bǔ)丁打上，然后將殺毒軟件、IPS、WAF等安全設(shè)備的事件庫(kù)升級(jí)到最新版本，基本就能有效防范已知的勒索病毒。

第二，未知病毒。對(duì)于未知病毒的防范一直以來(lái)都是個(gè)難點(diǎn)，基本上所有中招的單位中的都是未知勒索病毒。針對(duì)這種病毒的防范，只能采用主動(dòng)防護(hù)的措施，從系統(tǒng)底層采用白名單技術(shù)，嚴(yán)格控制對(duì)系統(tǒng)中文件的操作權(quán)限，禁止非信任程序?qū)ξ募�的加密操作，可以有效的防止新勒索病毒的攻擊。�?duì)勒索病毒的防護(hù)還是應(yīng)該采用主動(dòng)防護(hù)的措施，事先部署防勒索系統(tǒng)，將重要文件保護(hù)起來(lái)。

勒索病毒以防為主，目前大部分勒索病毒加密后的文件都無(wú)法解密，注意日常防范措施：

1、．?dāng)?shù)據(jù)備份和恢復(fù)：可靠的數(shù)據(jù)備份可以將勒索軟件帶來(lái)的損失最小化，但同時(shí)也要對(duì)這些數(shù)據(jù)備份進(jìn)行安全防護(hù)，避免被感染和損壞。

2、小心使用不明來(lái)源的文件，陌生郵件及附件也需謹(jǐn)慎打開(kāi)

3、安裝安全防護(hù)軟件并保持防護(hù)開(kāi)啟狀態(tài)

4、及時(shí)安裝Windows漏洞補(bǔ)�。�

5、同時(shí)，也請(qǐng)確保一些常用的軟件保持最新版本，特別是Java，F(xiàn)lash和Adobe Reader等程序，其舊版本經(jīng)常包含可被惡意軟件作者或傳播者利用的安全漏洞。

6、為電腦設(shè)置較強(qiáng)的密碼——尤其是開(kāi)啟遠(yuǎn)程桌面的電腦。并且不要在多個(gè)站點(diǎn)重復(fù)使用相同的密碼。

7、安全意識(shí)培訓(xùn)：對(duì)員工和廣大計(jì)算機(jī)用戶進(jìn)行持續(xù)的安全教育培訓(xùn)是十分必要的，應(yīng)當(dāng)讓用戶了解勒索軟件的傳播方式，如社交媒體、社會(huì)工程學(xué)、不可信網(wǎng)站、不可信下載源、垃圾郵件和釣魚(yú)郵件等。通過(guò)案例教育使用戶具備一定的風(fēng)險(xiǎn)識(shí)別能力和意識(shí)。

目前，勒索軟件仍然是一項(xiàng)頂級(jí)的流行性安全威脅。為了攻擊大型企業(yè)和組織，勒索軟件不斷研究新型變體，企業(yè)機(jī)密文件和數(shù)據(jù)的安全風(fēng)險(xiǎn)與日俱增。結(jié)合了基于信任的行為分析和其他反勒索軟件功能（如白名單和應(yīng)用程序控制，行為分析，網(wǎng)絡(luò)監(jiān)控，漏洞屏蔽和高仿真機(jī)器學(xué)習(xí)）的跨代技術(shù)方式的安全解決方案可以更好地保護(hù)企業(yè)，同時(shí)最大限度地減少對(duì)其計(jì)算機(jī)內(nèi)部資源的影響。