本報(bào)告由北京江民新科技術(shù)有限公司赤豹安全實(shí)驗(yàn)室，綜合了江民大數(shù)據(jù)威脅情報(bào)平臺(tái)、江民終端反病毒監(jiān)測(cè)網(wǎng)、國(guó)內(nèi)外研究數(shù)據(jù)、以及權(quán)威媒體公開報(bào)道，通過對(duì)勒索病毒的長(zhǎng)期監(jiān)測(cè)與跟蹤分析，針對(duì)全球2018年全年勒索病毒感染現(xiàn)狀與趨勢(shì)進(jìn)行分析、研究，涵蓋了勒索軟件的起源、特征、現(xiàn)狀、技術(shù)趨勢(shì)和防御方案等多個(gè)方面。

1 勒索軟件簡(jiǎn)介

1．1什么是勒索病毒？

勒索病毒，是一種流行的木馬，通過騷擾、恐嚇甚至采用綁架用戶文件等方式，使用戶數(shù)據(jù)資產(chǎn)或計(jì)算資源無法正常使用，并以此為條件向用戶勒索錢財(cái)。主要以漏洞利用、RDP弱口令暴力破解、釣魚郵件、網(wǎng)頁(yè)掛馬等形式進(jìn)行傳播。這種病毒利用各種加密算法對(duì)文件進(jìn)行加密后，向文件所有者索要贖金。如果感染者拒付贖金，就無法獲得加密的私鑰，無法恢復(fù)文件。

這種病毒其實(shí)只是傳統(tǒng)安全技術(shù)的一個(gè)小小的應(yīng)用創(chuàng)新，以前加密技術(shù)一直用于防，現(xiàn)在卻用于攻，從防到攻，突然發(fā)現(xiàn)原來加密技術(shù)可以這么玩。在數(shù)字世界里，勒索這門生意，這幾年卻正蓬勃興起。勒索軟件的概念可以追溯到1989 年，那時(shí)人們通過人工投遞的軟盤，將 PC 鎖定惡意代碼發(fā)送給受害者，但自2014年以來，隨著比特幣等加密數(shù)字貨幣在全球的廣泛使用，這類業(yè)務(wù)有了令人側(cè)目的增長(zhǎng)。

1．2勒索病毒為什么愈演愈烈？

一方面，利用勒索病毒的成本非常低。在黑市上只要幾千元就可以購(gòu)買一個(gè)未知病毒，勒索成功一次就可以獲利幾萬元甚至幾十萬元，十幾倍到上百倍的利潤(rùn)，著實(shí)讓人瘋狂。

另一方面，勒索病毒防護(hù)非常麻煩。因?yàn)樗��?jiǎn)單粗暴，直接對(duì)文件加密，管殺不管埋，只要加密成功，就等著收贖金，傳統(tǒng)的安全防護(hù)措施對(duì)這種不講道理的攻擊手段束手無策。

第三方面，虛擬貨幣缺乏監(jiān)管�，F(xiàn)實(shí)中一個(gè)勒索案最難解決的問題是如何收贖金，而由于虛擬貨幣監(jiān)管缺位，恰恰解決了這個(gè)贖金問題。

所以，門檻低、啟動(dòng)成本低、高收益、風(fēng)險(xiǎn)低，這些因素組合在一起，勒索病毒愈演愈烈！

1．3勒索病毒發(fā)展簡(jiǎn)史

1、原始階段：

最早的勒索軟件出現(xiàn)于1989年，名為“艾滋病信息木馬”。該木馬通過替換系統(tǒng)文件，在開機(jī)時(shí)計(jì)數(shù)，一旦系統(tǒng)啟動(dòng)達(dá)到90次時(shí)，該木馬將隱藏磁盤的多個(gè)目錄，C盤的全部文件名也會(huì)被加密，從而導(dǎo)致系統(tǒng)無法啟動(dòng)。此時(shí)，屏幕顯示信息聲稱用戶的軟件許可已過期，要求郵寄189美元以解鎖系統(tǒng)。

2006年出現(xiàn)的Redplus勒索木馬是國(guó)內(nèi)首款勒索軟件。該木馬會(huì)隱藏用戶文檔，然后彈出窗口勒索贖金，金額從70元至200元不等。據(jù)我國(guó)計(jì)算機(jī)病毒應(yīng)急處理中心統(tǒng)計(jì)，全國(guó)各地的該病毒及其變種的感染報(bào)告有580多例。而實(shí)際上用戶的文件并未丟失，只是被移動(dòng)到一個(gè)具有隱藏屬性的文件夾中。

2、新發(fā)展期，比特幣贖金階段：

從2013年的CryptoLocker開始，勒索軟件進(jìn)入了新的發(fā)展期，比特幣進(jìn)入了黑客的視野。CryptoLocker可以感染大部分Windows操作系統(tǒng)，通常通過郵件附件傳播，附件執(zhí)行后會(huì)對(duì)特定類型的文件進(jìn)行加密，之后彈出付款窗口，也就是從這款軟件開始，黑客開始要求機(jī)構(gòu)使用比特幣的支付贖金，而就是這款軟件為黑客組織帶來了近41000枚比特幣的收入，按照比特幣最新的市價(jià)這些比特幣的價(jià)值有近10億美元之巨。

3、勒索軟件平臺(tái)化及開源化趨勢(shì)：

同為2015年一款名為Tox的勒索軟件開發(fā)包在年中發(fā)布，通過注冊(cè)服務(wù)，任何人都可創(chuàng)建勒索軟件，管理面板會(huì)顯示感染數(shù)量、支付贖金人數(shù)以及總體收益，Tox的創(chuàng)始人收取贖金的20％。

2015年下半年，土耳其安全專家發(fā)布了一款名為Hidden Tear的開源勒索軟件。它僅有12KB，雖然體量較小，但是麻雀雖小五臟俱全，這款軟件在傳播模塊，破壞模塊等方面的設(shè)計(jì)都非常出色。盡管來自土耳其的黑客一再?gòu)?qiáng)調(diào)此軟件是為了讓人們更多地了解勒索軟件的工作原理，可它作為勒索軟件的開源化，還是引發(fā)了諸多爭(zhēng)議，在閱讀了這款勒索軟件的源代碼后，筆者也是突然醒悟原來編程的思路與方法真的是別有洞天，破壞性思維和建設(shè)性思維的確是完全不同的風(fēng)格。

4、與竊取大眾隱私信息結(jié)合的趨勢(shì)

近年來，針對(duì)某些快捷酒店住宿系統(tǒng)及私營(yíng)醫(yī)院HIS系統(tǒng)的入侵、脫庫(kù)（脫庫(kù)指黑客入侵到系統(tǒng)后進(jìn)行信息竊取行為）事件頻發(fā)，而16年之前黑客一般只會(huì)將信息悄然盜出后在黑市上待價(jià)而沽，但目前黑客更是要在出售掉隱私信息之前還要對(duì)醫(yī)院及酒店進(jìn)行勒索。去年底美國(guó)好萊塢某醫(yī)療中心就被黑客攻陷，并勒索340萬美元的贖金，雖然經(jīng)過一番討價(jià)還價(jià)醫(yī)院最終支付了1．7萬美元后運(yùn)營(yíng)恢復(fù)，但是該院的就診記錄不久就出現(xiàn)在了的數(shù)據(jù)黑市上。

而且最近的勒索病毒明顯加強(qiáng)了“用戶體驗(yàn)”的建設(shè)，會(huì)給用戶很強(qiáng)的心理暗示，比如某些最新的勒索軟件將UI設(shè)計(jì)成無法退出的界面，而且贖金隨時(shí)間漲價(jià)，還會(huì)以倒計(jì)時(shí)強(qiáng)化緊迫感。

2 2018年勒索病毒感染情況

2．12018年勒索病毒感染情況

根據(jù)江民病毒監(jiān)測(cè)中心對(duì)勒索病毒監(jiān)測(cè)到的數(shù)據(jù)統(tǒng)計(jì)發(fā)現(xiàn)，2017年1月到8月，和2018年7到10月是勒索病毒感染高發(fā)期，2017年勒索病毒感染事件共計(jì)為263．2萬次，2018年為119．5萬次，較去年下降了54．6％。

2．2服務(wù)器攻擊趨勢(shì)及攻擊者家族

近一個(gè)多月以來，每周都有企業(yè)Windows服務(wù)器遭受勒索病毒攻擊，針對(duì)服務(wù)器的勒索病毒攻擊呈現(xiàn)走高趨勢(shì)。今年以來，兩大針對(duì)服務(wù)器攻擊的勒索病毒家族（GlobeImposter和Crysis家族）均出現(xiàn)爆發(fā)傳播的跡象。

GlobeImposter，Crysis，BTCWare三款勒索病毒，是近來針對(duì)服務(wù)器攻擊的主流，占比超過90％。這三款勒索病毒，都屬于全球爆發(fā)類的勒索病毒，其中GlobeImposter更是多次攻擊國(guó)內(nèi)醫(yī)療和公共服務(wù)機(jī)構(gòu)，國(guó)內(nèi)外安全機(jī)構(gòu)多次發(fā)布過該家族的預(yù)警。

3 主要勒索事件匯總

3．1近兩年勒索事件

1、2017年1月份，撒旦（Satan）惡意勒索程序首次出現(xiàn)。

Satan病毒的開發(fā)者通過網(wǎng)站允許用戶生成自己的Satan變種，并且提供CHM和帶宏腳本W(wǎng)ord文檔的下載器生成腳本進(jìn)行傳播。Satan勒索病毒主要用于針對(duì)服務(wù)器的數(shù)據(jù)庫(kù)文件進(jìn)行加密，非常具有針對(duì)性加密完成后，會(huì)用中英韓三國(guó)語(yǔ)言索取0．3個(gè)比特幣作為贖金，并威脅三天內(nèi)不支付不予解密。

2、2017年5月12日，一種名為“想哭”的勒索病毒襲擊全球

超過150多個(gè)國(guó)家和地區(qū)，影響領(lǐng)域包括政府部門、醫(yī)療服務(wù)、公共交通、郵政、通信和汽車制造業(yè)。不法分子利用NSA（National Security Agency，美國(guó)國(guó)家安全局）泄露的危險(xiǎn)漏洞“EternalBlue”（永恒之藍(lán)）進(jìn)行傳播。勒索病毒肆虐，儼然是一場(chǎng)全球性互聯(lián)網(wǎng)災(zāi)難，給廣大電腦用戶造成了巨大損失。最新統(tǒng)計(jì)數(shù)據(jù)顯示，150多個(gè)國(guó)家和地區(qū)超過10萬臺(tái)電腦遭到了勒索病毒攻擊、感染。

3、2017年6月27日晚，Petya勒索病毒爆發(fā)

歐洲多個(gè)國(guó)家被大規(guī)模攻擊，尤其是烏克蘭，政府機(jī)構(gòu)、銀行、企業(yè)等均遭大規(guī)模攻擊，其中烏克蘭副總理的電腦也遭受攻擊。病毒作者要求受害者支付價(jià)值300美元的比特幣之后，才會(huì)回復(fù)解密密鑰。

4、2017年10月24日，俄羅斯、烏克蘭等國(guó)遭到勒索病毒BadRabbit攻擊

烏克蘭敖德薩國(guó)際機(jī)場(chǎng)、首都基輔的地鐵支付系統(tǒng)及俄羅斯三家媒體中招，德國(guó)、土耳其等國(guó)隨后也發(fā)現(xiàn)此病毒。

5、xiaoba勒索病毒

10月20日，發(fā)現(xiàn)一例國(guó)產(chǎn)勒索病毒Xiaoba。該病毒加密后文件以．xiaoba［數(shù)字］結(jié)尾，不同文件類型其結(jié)尾數(shù)字也不相同，其贖金可以通過微信、支付寶支付，目前暫未發(fā)現(xiàn)該勒索病毒有大范圍傳播。倒計(jì)時(shí)200秒還不繳贖金，被加密的文件就會(huì)被全部銷毀。

6、2018年1月，GandGrab勒索家族首次出現(xiàn)

應(yīng)該算是勒索病毒家族中的最年輕，但是最流行的一個(gè)勒索病毒家族，短短幾個(gè)月的時(shí)候內(nèi)，就出現(xiàn)了多個(gè)此勒索病毒家族的變種，而且此勒索病毒使用的感染方式也不斷發(fā)生變化，使用的技術(shù)也不斷在更新，此勒索病毒主要通過郵件進(jìn)行傳播，采用RSA＋ASE加密的方式進(jìn)行加密，文件無法還原。

7、2018年2月，多家互聯(lián)網(wǎng)安全企業(yè)截獲了Mind Lost勒索病毒

該勒索軟件采用C＃語(yǔ)言開發(fā)，其主要功能是采用AES加密方式加密本地文件，之后引導(dǎo)受害者至指定的網(wǎng)頁(yè)要求付費(fèi)解密文件，與以往勒索軟件不同的是，此次勒索軟件并沒有要求受害者支付比特幣等數(shù)字貨幣進(jìn)行付費(fèi)解密操作，而是直接要求用戶使用信用卡或借記卡支付贖金，以此來套取銀行卡信息，進(jìn)而將此信息出售給不法分子從而牟取更大利益。加密樣本賬戶的電腦的Users目錄下的文件，如果后綴為”．txt”，”．jpg”，”．png”，”．pdf”，”．mp4″，”．mp3″，”．c”，”．py”的文件就直接加密，且解密贖金達(dá)到200美元。其加密完成后顯示的提示圖片如下：

8、GlobeImposter勒索病毒家族

GlobeImposter勒索病毒家族是從2017年5月開始出現(xiàn)，并在2017年11月和2018年3月有兩次較大范圍的疫情爆發(fā)，在2017年11月前的GlobeImposter勒索病毒大部分被稱為GlobeImposter1．0，此時(shí)的病毒樣本加密后綴名以“．CHAK”較為常見，在2018年3月時(shí)出現(xiàn)了GlobeImposter2．0，此時(shí)的病毒樣本加密后綴名以“．TRUE”，“．doc”較為常見，GlobeImposter也增加了很多新型的技術(shù)進(jìn)行免殺等操作。