2018年勒索病毒威胁态势全报告

近日，针对2018年勒索病毒的发展现状及趋势，北京江民新科技术有限公司发布了《2018年勒索病毒威胁态势全报告》。

本报告由北京江民新科技术有限公司赤豹安全实验室，综合了江民大数据威胁情报平台、江民终端反病毒监测网、国内外研究数据、以及权威媒体公开报道，通过对勒索病毒的长期监测与跟踪分析，针对全球2018年全年勒索病毒感染现状与趋势进行分析、研究，涵盖了勒索软件的起源、特征、现状、技术趋势和防御方案等多个方面。

一、勒索软件简介

1、什么是勒索病毒?

勒索病毒，是一种流行的木马，通过骚扰、恐吓甚至采用绑架用户文件等方式，使用户数据资产或计算资源无法正常使用，并以此为条件向用户勒索钱财。主要以漏洞利用、RDP弱口令暴力破解、钓鱼邮件、网页挂马等形式进行传播。这种病毒利用各种加密算法对文件进行加密后，向文件所有者索要赎金。如果感染者拒付赎金，就无法获得加密的私钥，无法恢复文件。

这种病毒其实只是传统安全技术的一个小小的应用创新，以前加密技术一直用于防，现在却用于攻，从防到攻，突然发现原来加密技术可以这么玩。在数字世界里，勒索这门生意，这几年却正蓬勃兴起。勒索软件的概念可以追溯到1989 年，那时人们通过人工投递的软盘，将 PC 锁定恶意代码发送给受害者，但自2014年以来，随着比特币等加密数字货币在全球的广泛使用，这类业务有了令人侧目的增长。

2、勒索病毒为什么愈演愈烈?

一方面，利用勒索病毒的成本非常低。在黑市上只要几千元就可以购买一个未知病毒，勒索成功一次就可以获利几万元甚至几十万元，十几倍到上百倍的利润，着实让人疯狂。

另一方面，勒索病毒防护非常麻烦。因为它简单粗暴，直接对文件加密，管杀不管埋，只要加密成功，就等着收赎金，传统的安全防护措施对这种不讲道理的攻击手段束手无策。

第三方面，虚拟货币缺乏监管。现实中一个勒索案最难解决的问题是如何收赎金，而由于虚拟货币监管缺位，恰恰解决了这个赎金问题。

所以，门槛低、启动成本低、高收益、风险低，这些因素组合在一起，勒索病毒愈演愈烈!

3、勒索病毒发展简史

1)原始阶段：

最早的勒索软件出现于1989年，名为“艾滋病信息木马”。该木马通过替换系统文件，在开机时计数，一旦系统启动达到90次时，该木马将隐藏磁盘的多个目录，C盘的全部文件名也会被加密，从而导致系统无法启动。此时，屏幕显示信息声称用户的软件许可已过期，要求邮寄189美元以解锁系统。

2006年出现的Redplus勒索木马是国内首款勒索软件。该木马会隐藏用户文档，然后弹出窗口勒索赎金，金额从70元至200元不等。据我国计算机病毒应急处理中心统计，全国各地的该病毒及其变种的感染报告有580多例。而实际上用户的文件并未丢失，只是被移动到一个具有隐藏属性的文件夹中。

2)新发展期，比特币赎金阶段：

从2013年的CryptoLocker开始，勒索软件进入了新的发展期，比特币进入了黑客的视野。CryptoLocker可以感染大部分Windows操作系统，通常通过邮件附件传播，附件执行后会对特定类型的文件进行加密，之后弹出付款窗口，也就是从这款软件开始，黑客开始要求机构使用比特币的支付赎金，而就是这款软件为黑客组织带来了近41000枚比特币的收入，按照比特币最新的市价这些比特币的价值有近10亿美元之巨。

3)勒索软件平台化及开源化趋势：

同为2015年一款名为Tox的勒索软件开发包在年中发布，通过注册服务，任何人都可创建勒索软件，管理面板会显示感染数量、支付赎金人数以及总体收益，Tox的创始人收取赎金的20%。

2015年下半年，土耳其安全专家发布了一款名为Hidden Tear的开源勒索软件。它仅有12KB，虽然体量较小，但是麻雀虽小五脏俱全，这款软件在传播模块，破坏模块等方面的设计都非常出色。尽管来自土耳其的黑客一再强调此软件是为了让人们更多地了解勒索软件的工作原理，可它作为勒索软件的开源化，还是引发了诸多争议，在阅读了这款勒索软件的源代码后，笔者也是突然醒悟原来编程的思路与方法真的是别有洞天，破坏性思维和建设性思维的确是完全不同的风格。

4)与窃取大众隐私信息结合的趋势

近年来，针对某些快捷酒店住宿系统及私营医院HIS系统的入侵、脱库(脱库指黑客入侵到系统后进行信息窃取行为)事件频发，而16年之前黑客一般只会将信息悄然盗出后在黑市上待价而沽，但目前黑客更是要在出售掉隐私信息之前还要对医院及酒店进行勒索。去年底美国好莱坞某医疗中心就被黑客攻陷，并勒索340万美元的赎金，虽然经过一番讨价还价医院最终支付了1.7万美元后运营恢复，但是该院的就诊记录不久就出现在了的数据黑市上。

而且最近的勒索病毒明显加强了“用户体验”的建设，会给用户很强的心理暗示，比如某些最新的勒索软件将UI设计成无法退出的界面，而且赎金随时间涨价，还会以倒计时强化紧迫感。

二、2018年勒索病毒感染情况

1、2018年勒索病毒感染情况

根据江民病毒监测中心对勒索病毒监测到的数据统计发现，2017年1月到8月，和2018年7到10月是勒索病毒感染高发期，2017年勒索病毒感染事件共计为263.2万次，2018年为119.5万次，较去年下降了54.6%。

2、服务器攻击趋势及攻击者家族

近一个多月以来，每周都有企业Windows服务器遭受勒索病毒攻击，针对服务器的勒索病毒攻击呈现走高趋势。今年以来，两大针对服务器攻击的勒索病毒家族(GlobeImposter和Crysis家族)均出现爆发传播的迹象。

GlobeImposter,Crysis,BTCWare三款勒索病毒，是近来针对服务器攻击的主流，占比超过90%。这三款勒索病毒，都属于全球爆发类的勒索病毒，其中GlobeImposter更是多次攻击国内医疗和公共服务机构，国内外安全机构多次发布过该家族的预警。

三、主要勒索事件汇总

1、近两年勒索事件

1)2017年1月份，撒旦(Satan)恶意勒索程序首次出现。

（编辑：核心网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!