騰訊安全發(fā)布《2020上半年勒索病毒報(bào)告》 政企機(jī)構(gòu)仍是勒索“頭號(hào)目標(biāo)”

近日，騰訊安全正式對(duì)外發(fā)布《2020上半年勒索病毒報(bào)告》(以下簡(jiǎn)稱“報(bào)告”)?！秷?bào)告》顯示，上半年全球大型企業(yè)遭受勒索病毒打擊的事件依然高頻發(fā)生。其中，最活躍的勒索病毒家族發(fā)起針對(duì)性極強(qiáng)的大型“狩獵”活動(dòng)，對(duì)企業(yè)開出天價(jià)解密贖金;新型勒索病毒層出不窮，技術(shù)上不斷進(jìn)化。而勒索手段也從單純的贖金換密鑰，升級(jí)到不給贖金就公開機(jī)密數(shù)據(jù)。騰訊安全也提供從威脅情報(bào)到安全產(chǎn)品的整體防護(hù)解決方案，協(xié)助企業(yè)抵御勒索病毒攻擊。

據(jù)騰訊安全威脅情報(bào)大數(shù)據(jù)顯示，2020上半年勒索病毒依舊十分活躍，但總體感染情況較去年略有下降。從勒索病毒攻擊的地區(qū)分布看，廣東、浙江、山東、河南、上海等經(jīng)濟(jì)較發(fā)達(dá)地區(qū)成為重點(diǎn)目標(biāo)，其它省份也遭受到不同程度攻擊。從勒索病毒影響的行業(yè)看，數(shù)據(jù)價(jià)值較高的傳統(tǒng)企業(yè)、教育、醫(yī)療、政府機(jī)構(gòu)遭受攻擊最為嚴(yán)重，互聯(lián)網(wǎng)、金融、能源行業(yè)緊隨其后，也遭到勒索病毒攻擊影響。

攻擊更精準(zhǔn)，不交贖金立即公開敏感數(shù)據(jù)

由于攻擊政企機(jī)構(gòu)更容易獲得贖金，于是活躍勒索病毒團(tuán)伙越來(lái)越多地將高價(jià)值大型政企機(jī)構(gòu)作為重點(diǎn)打擊對(duì)象。據(jù)《報(bào)告》顯示，為了追求利益最大化，多數(shù)情況下，攻擊者在攻陷企業(yè)一臺(tái)網(wǎng)絡(luò)資產(chǎn)之后，會(huì)利用該資產(chǎn)持續(xù)滲透攻陷更多資產(chǎn)，之后大量植入文件加密模塊，從而迫使企業(yè)在業(yè)務(wù)系統(tǒng)大面積癱瘓的情況下繳納贖金。

注：上圖的勒索病毒樣本僅針對(duì)特定目標(biāo)的IT設(shè)備

此外，為避免勒索失敗，攻擊者還采取了新的勒索策略。即，先竊取政企機(jī)構(gòu)敏感數(shù)據(jù)，再對(duì)企業(yè)資產(chǎn)進(jìn)行加密。如果企業(yè)拒絕繳納贖金解密，就在暗網(wǎng)“恥辱墻”頁(yè)面公開企業(yè)部分敏感數(shù)據(jù)進(jìn)一步實(shí)施勒索，若企業(yè)依然拒絕繳納贖金，勒索團(tuán)伙就會(huì)直接公開所竊取的企業(yè)敏感數(shù)據(jù)。對(duì)于大型企業(yè)而言，數(shù)據(jù)泄露帶來(lái)的不止有經(jīng)濟(jì)上的損失，還會(huì)嚴(yán)重影響企業(yè)形象，使自身失去公眾信任。因此，面對(duì)這種以泄露數(shù)據(jù)為手段的勒索攻擊，就算企業(yè)有數(shù)據(jù)備份，也只能被迫選擇支付贖金。

加密、合作、定制化，勒索病毒技術(shù)手段升級(jí)

經(jīng)過(guò)長(zhǎng)期的演變，勒索病毒在“勒索”這件事上越發(fā)成熟。

首先，為了對(duì)攻擊目標(biāo)進(jìn)行精準(zhǔn)打擊，很多勒索病毒會(huì)利用僵尸網(wǎng)絡(luò)龐大的感染基數(shù)進(jìn)行迅速擴(kuò)張。例如GandCrab勒索團(tuán)伙就借助Phorpiex僵尸網(wǎng)絡(luò)的持續(xù)投遞獲利超20億美金。而新開發(fā)出的勒索家族為了快速切入市場(chǎng)，也會(huì)選擇與僵尸網(wǎng)絡(luò)進(jìn)行合作以獲得市場(chǎng)知名度。據(jù)《報(bào)告》顯示，僵尸網(wǎng)絡(luò)已成為勒索病毒傳播渠道的中堅(jiān)力量，在勒索病毒事件溯源中的占比越來(lái)越高。

其次，為了提升加密效率降低資源消耗，勒索病毒作者在加密流程的細(xì)節(jié)上進(jìn)行優(yōu)化。從早期的單線程文件加密，升級(jí)到針對(duì)每個(gè)磁盤分區(qū)進(jìn)行多線程加密;從單一的x86可執(zhí)行病毒版本到增加x64可執(zhí)行版本;利用高危漏洞進(jìn)行內(nèi)核提權(quán)，或使用壓縮打包的方式進(jìn)行提權(quán)來(lái)加密更多文件等等。此外，勒索病毒還開始擴(kuò)大加密范圍，不止加密文件，同時(shí)對(duì)文件名也進(jìn)行加密。

值得一提的是，勒索病毒還開始了“聯(lián)手”合作。騰訊安全專家觀察發(fā)現(xiàn)，有攻擊者攜帶不止一種勒索病毒。據(jù)推測(cè)，這可能是攻擊者為避免單一病毒由于安全環(huán)境等問(wèn)題導(dǎo)致的加密失敗，而開始與多個(gè)勒索病毒家族合作。同時(shí)，更多的勒索病毒開始針對(duì)國(guó)內(nèi)市場(chǎng)做優(yōu)化，例如增加中文版本的勒索信件，勒索加密擴(kuò)展后綴使用具有國(guó)內(nèi)風(fēng)格的命名方式等。由此可見，國(guó)內(nèi)依然為勒索團(tuán)伙關(guān)注最為密切的市場(chǎng)之一。

加強(qiáng)信息安全建設(shè)，保障企業(yè)不被“勒索”

面對(duì)嚴(yán)峻的勒索病毒威脅態(tài)勢(shì)，《報(bào)告》中指出可按照“三不三要”思路進(jìn)行日常安全管理，以提高企事業(yè)單位及政府機(jī)構(gòu)的網(wǎng)絡(luò)安全意識(shí)。即標(biāo)題吸引人的未知郵件不要點(diǎn)開、不隨便打開電子郵件附件、不隨意點(diǎn)擊電子郵件中的附帶網(wǎng)址;重要資料要備份、開啟電子郵件前確認(rèn)發(fā)件人可信、系統(tǒng)補(bǔ)丁/安全軟件病毒庫(kù)保持實(shí)時(shí)更新。

同時(shí)，騰訊安全專家提醒廣大政企用戶，可根據(jù)業(yè)務(wù)節(jié)點(diǎn)攔截位置部署專業(yè)的安全產(chǎn)品，并根據(jù)騰訊安全威脅情報(bào)中心提供的情報(bào)數(shù)據(jù)配置各節(jié)點(diǎn)聯(lián)防聯(lián)動(dòng)、統(tǒng)一協(xié)調(diào)管理，提升整體網(wǎng)絡(luò)抗攻擊能力。

此外，專家還建議個(gè)人用戶安裝騰訊電腦管家、企業(yè)客戶部署騰訊T-Sec終端安全管理系統(tǒng)攔截查殺各類勒索病毒，保護(hù)各終端節(jié)點(diǎn)。同時(shí)，啟用騰訊電腦管家「文檔守護(hù)者」，該功能集成針對(duì)主流勒索病毒的解密方案，并提供完善的數(shù)據(jù)備份方案，為數(shù)千萬(wàn)用戶提供文檔保護(hù)恢復(fù)服務(wù)。

（免責(zé)聲明：本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說(shuō)明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 ）