2018年勒索病毒威胁态势全报告

Satan病毒的开发者通过网站允许用户生成自己的Satan变种，并且提供CHM和带宏脚本Word文档的下载器生成脚本进行传播。Satan勒索病毒主要用于针对服务器的数据库文件进行加密，非常具有针对性加密完成后，会用中英韩三国语言索取0.3个比特币作为赎金，并威胁三天内不支付不予解密。

2)2017年5月12日，一种名为“想哭”的勒索病毒袭击全球

超过150多个国家和地区，影响领域包括政府部门、医疗服务、公共交通、邮政、通信和汽车制造业。不法分子利用NSA(National Security Agency，美国国家安全局)泄露的危险漏洞“EternalBlue”(永恒之蓝)进行传播。勒索病毒肆虐，俨然是一场全球性互联网灾难，给广大电脑用户造成了巨大损失。最新统计数据显示，150多个国家和地区超过10万台电脑遭到了勒索病毒攻击、感染。

3)2017年6月27日晚，Petya勒索病毒爆发

欧洲多个国家被大规模攻击，尤其是乌克兰，政府机构、银行、企业等均遭大规模攻击，其中乌克兰副总理的电脑也遭受攻击。病毒作者要求受害者支付价值300美元的比特币之后，才会回复解密密钥。

4)2017年10月24日，俄罗斯、乌克兰等国遭到勒索病毒BadRabbit攻击

乌克兰敖德萨国际机场、首都基辅的地铁支付系统及俄罗斯三家媒体中招，德国、土耳其等国随后也发现此病毒。

5)xiaoba勒索病毒

10月20日，发现一例国产勒索病毒Xiaoba。该病毒加密后文件以.xiaoba[数字]结尾，不同文件类型其结尾数字也不相同，其赎金可以通过微信、支付宝支付，目前暂未发现该勒索病毒有大范围传播。倒计时200秒还不缴赎金，被加密的文件就会被全部销毁。

6)2018年1月，GandGrab勒索家族首次出现

应该算是勒索病毒家族中的最年轻，但是最流行的一个勒索病毒家族，短短几个月的时候内，就出现了多个此勒索病毒家族的变种，而且此勒索病毒使用的感染方式也不断发生变化，使用的技术也不断在更新，此勒索病毒主要通过邮件进行传播，采用RSA+ASE加密的方式进行加密，文件无法还原。

7)2018年2月，多家互联网安全企业截获了Mind Lost勒索病毒

该勒索软件采用C#语言开发，其主要功能是采用AES加密方式加密本地文件，之后引导受害者至指定的网页要求付费解密文件，与以往勒索软件不同的是，此次勒索软件并没有要求受害者支付比特币等数字货币进行付费解密操作，而是直接要求用户使用信用卡或借记卡支付赎金，以此来套取银行卡信息，进而将此信息出售给不法分子从而牟取更大利益。加密样本账户的电脑的Users目录下的文件，如果后缀为”.txt”,”.jpg”,”.png”,”.pdf”,”.mp4″,”.mp3″,”.c”,”.py”的文件就直接加密，且解密赎金达到200美元。其加密完成后显示的提示图片如下：

8)GlobeImposter勒索病毒家族

GlobeImposter勒索病毒家族是从2017年5月开始出现，并在2017年11月和2018年3月有两次较大范围的疫情爆发，在2017年11月前的GlobeImposter勒索病毒大部分被称为GlobeImposter1.0，此时的病毒样本加密后缀名以“.CHAK”较为常见，在2018年3月时出现了GlobeImposter2.0，此时的病毒样本加密后缀名以“.TRUE”，“.doc”较为常见，GlobeImposter也增加了很多新型的技术进行免杀等操作。

9)“麒麟2.1”的勒索病毒

2018年3月1日，监测到了“麒麟2.1”的勒索病毒。通过QQ等聊天工具传文件方式传播，一旦中招就会锁定电脑文件，登录后会转走支付宝所有余额。中招后，它会锁定电脑文件，表面上要求扫码用支付宝付款3元，但实际上扫码是登录支付宝，登录后会转走支付宝所有余额。

10)2018年3月，CrySiS勒索病毒爆发

服务器文件被加密为.java后缀的文件，采用RSA+AES加密算法，主要运用了Mimikatz、IP扫描等黑客工具，进行RDP爆破，利用统一密码特性，使用相同密码对全网业务进行集中攻击，通过RDP爆破的方式植入，同时此勒索病毒在最近也不断出现它的新的变种，其加密后缀也不断变化之中。

11)2018年12月1日，一个以微信为支付手段的勒索病毒在国内爆发

几日内，该勒索病毒至少感染了10万台电脑，通过加密受害者文件的手段，已达到勒索赎金的目的，而受害者必需通过微信扫一扫支付110元赎金才能解密。

2018年6月，罗某某自主研发出病毒“cheat”，用于盗取他人支付宝的账号密码，进而以转账方式盗取资金。

同时制作内含“cheat”木马病毒代码的某开发软件模块，在互联网上发布，任何通过该开发软件编写的应用软件均包含木马病毒代码，代码在后台自动运行，记录用户淘宝、支付宝等账号密码，以及键盘操作，上传至服务器。此外，嫌疑人通过执行命令对感染病毒的计算机除系统文件、执行类文件以外的所有文件进行加密，随后弹出包含解密字样和预置微信收款二维码的勒索界面，解密程序标题显示“你的电脑已被加密，请执行以下操作，扫一扫二维码，你需要支付110进行解密”。

四、常见传播方式

勒索病毒的传播方式有很多,比如服务器入侵传播、利用漏洞传播、邮件附件传播、通过软件供应链传播和挂马网页传播等，我们这里总结了几种最常见传播方式。

1、邮件附件传播

通过伪装成产品订单详情或图纸等重要文档类的钓鱼邮件，在附件中夹带含有恶意代码的脚本文件。一旦用户打开邮件附件，便会执行里面的脚本，释放勒索病毒。这类传播方式的针对性较强，主要瞄准公司企业、各类单位和院校，他们最大的特点是电脑中的文档往往不是个人文档，而是公司文档。最终目的是给公司业务的运转制造破坏，迫使公司为了止损而不得不交付赎金。

如Locky病毒,该病毒一般是通过邮件方式进行传播,黑客对目标对象发送带有附件的恶意邮件,员工或者领导一旦打开附件后,电脑、手机上的各种重要文件,包括软件源代码、Word、PPT、PDF、图片等都会被加密,无法正常使用。

2、服务器入侵传播

（编辑：核心网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!