如何對(duì)勒索病毒“免疫”？騰訊安全聯(lián)合南方都市報(bào)發(fā)布《2021上半年勒索病毒趨勢(shì)報(bào)告及防護(hù)方案建議》

近日，騰訊安全聯(lián)合南方都市報(bào)正式對(duì)外發(fā)布《2021上半年勒索病毒趨勢(shì)報(bào)告及防護(hù)方案建議》(以下簡(jiǎn)稱“報(bào)告”)?！秷?bào)告》顯示，盡管2021年上半年相比去年同時(shí)期，勒索病毒的攻擊態(tài)勢(shì)稍有下降，但勒索事件仍然頻發(fā)，僅2021年第一季度，就發(fā)生了多起國(guó)際知名企業(yè)被勒索的案件，并且贖金持續(xù)刷新紀(jì)錄。就在今天，美國(guó)最大的成品油管道運(yùn)營(yíng)商Colonial Pipeline受到勒索軟件攻擊，被迫關(guān)閉其美國(guó)東部沿海各州供油的關(guān)鍵燃油網(wǎng)絡(luò)。

2020/2021勒索病毒1-4月攻擊態(tài)勢(shì)對(duì)比圖

值得關(guān)注的是，目前尚未出現(xiàn)對(duì)付勒索病毒的“銀彈”，應(yīng)對(duì)勒索病毒的核心原則仍然是以事前防范為主。騰訊安全也對(duì)全球勒索病毒深入分析及研判，挖掘其中涉及的安全漏洞、入侵手法和攻擊工具，為個(gè)人及企業(yè)用戶提供網(wǎng)絡(luò)安全防護(hù)。

勒索病毒不斷活躍 全球損失高達(dá)數(shù)十億美元

2017年5月12日，WannaCry勒索病毒在全球范圍爆發(fā)，形成一場(chǎng)影響全球的蠕蟲病毒風(fēng)暴。此后四年間，勒索病毒頻繁將魔爪伸向企業(yè)及個(gè)人用戶。

從《報(bào)告》顯示數(shù)據(jù)可以看出，在2021年上半年，GlobeImposter家族和具有系列變種的Crysis家族等老牌勒索病毒依然活躍，而Phobos、Sodinokibi、Buran、Medusalocker、Avaddon、lockbit、Ryuk、NEMTY等新型勒索病毒家族也有著廣泛流行的趨勢(shì)。其中大部分勒索病毒都有著變種多、針對(duì)性高、感染量上升快等特點(diǎn)，像Sodinokibi、Medusalocker等病毒甚至呈現(xiàn)針對(duì)國(guó)內(nèi)系統(tǒng)定制化的操作。毫無疑問，不斷數(shù)字化轉(zhuǎn)型升級(jí)的國(guó)內(nèi)企業(yè)已經(jīng)成為諸多勒索病毒攻擊的重點(diǎn)目標(biāo)。

從區(qū)域上來看，國(guó)內(nèi)遭受勒索病毒攻擊中，廣東、浙江、山東、湖北、河南、上海、天津較為嚴(yán)重，其它省份也有遭受到不同程度攻擊。而數(shù)據(jù)價(jià)值較高的傳統(tǒng)行業(yè)、醫(yī)療、政府機(jī)構(gòu)遭受攻擊較為嚴(yán)重，占比依次為37%、18%、14%，總計(jì)占比高達(dá)69%。例如在2020年的8月和11月，多家傳統(tǒng)企業(yè)就先后遭到勒索病毒的攻擊，勒索團(tuán)伙均要求企業(yè)支付高額贖金，否則將把盜竊數(shù)據(jù)在暗網(wǎng)出售。

2021年1-4月勒索病毒受災(zāi)地域分布圖

但目前不少企業(yè)機(jī)構(gòu)均升級(jí)了網(wǎng)絡(luò)安全措施，有效防止了勒索軟件損失的擴(kuò)大化，也從一定程度上，反映了“支付贖金”的應(yīng)對(duì)策略正在失效。

針對(duì)企業(yè)用戶定向攻擊 未來勒索病毒將更加多樣化、高頻化

從最初的零星惡作劇，到現(xiàn)在頻發(fā)的惡意攻擊，勒索病毒為何能夠如“野草”般生命力頑強(qiáng)，肆意生長(zhǎng)?

首先，勒索病毒加密手段復(fù)雜，解密成本高;其次，使用電子貨幣支付贖金，變現(xiàn)快、追蹤難;最后，勒索軟件服務(wù)化的出現(xiàn)，讓攻擊者不需要任何知識(shí)，只要支付少量的租金就可以開展勒索軟件的非法勾當(dāng)，大大降低了勒索軟件的門檻，推動(dòng)了勒索軟件大規(guī)模爆發(fā)。

勒索病毒作案實(shí)施過程圖

根據(jù)市面較為高發(fā)的勒索病毒特征，《報(bào)告》將勒索病毒的傳播手段分為6個(gè)方向：弱口令攻擊、U盤蠕蟲、軟件供應(yīng)鏈攻擊、系統(tǒng)/軟件漏洞、“無文件”攻擊技術(shù)、RaaS。勒索病毒團(tuán)伙在利用這些傳播手段入侵目標(biāo)系統(tǒng)后，會(huì)利用工具將失陷網(wǎng)絡(luò)的機(jī)密數(shù)據(jù)上傳到服務(wù)器，然后實(shí)施勒索。

隨著全球數(shù)字化的不斷加速，越來越多企業(yè)將業(yè)務(wù)遷移到云端。由于企業(yè)用戶數(shù)據(jù)價(jià)值較高，但很多企業(yè)對(duì)于云上網(wǎng)絡(luò)安全態(tài)勢(shì)并沒有足夠的準(zhǔn)備。因此在未來一段時(shí)間，針對(duì)企業(yè)用戶進(jìn)行定向攻擊，將是勒索病毒的重要目標(biāo)之一，而且隨著技術(shù)的普及、勒索病毒產(chǎn)業(yè)鏈的成熟，病毒也將變得更加多樣化、高頻化。同時(shí)，《報(bào)告》還指出，目前Mac OS和Android等平臺(tái)也已陸續(xù)出現(xiàn)勒索病毒，隨著Windows的防范措施完善，未來不法黑客也可能轉(zhuǎn)向攻擊其他平臺(tái)。

升級(jí)網(wǎng)絡(luò)安全措施，做好事前防范是關(guān)鍵

面對(duì)層出不窮的勒索病毒，無論是企業(yè)還是個(gè)人用戶，都應(yīng)該重視網(wǎng)絡(luò)安全措施，做好事前防范。在《報(bào)告》中提出了“三不三要”思路，即不上鉤、不打開、不點(diǎn)擊、要備份、要確認(rèn)、要更新。提醒所有用戶面對(duì)未知郵件要確認(rèn)發(fā)件人可信，否則不要點(diǎn)開、不要隨便打開電子郵件附件，更不要隨意點(diǎn)擊電子郵件中的附帶網(wǎng)址;同時(shí)重要的資料要備份，并保持系統(tǒng)補(bǔ)丁/安全軟件病毒庫的實(shí)時(shí)更新。

騰訊安全解決方案體系結(jié)構(gòu)圖

此外，《報(bào)告》建議企業(yè)用戶全網(wǎng)安裝部署終端安全管理軟件，推薦使用騰訊零信任無邊界訪問控制系統(tǒng)(iOA);針對(duì)一些大中型企業(yè)，建議采用騰訊高級(jí)威脅檢測(cè)系統(tǒng)(NTA)監(jiān)測(cè)內(nèi)網(wǎng)風(fēng)險(xiǎn)。同時(shí)，企業(yè)用戶還可通過訂閱騰訊安全威脅情報(bào)產(chǎn)品，讓全網(wǎng)所有安全設(shè)備同步具備和騰訊安全產(chǎn)品一致的威脅發(fā)現(xiàn)、防御和清除能力。針對(duì)個(gè)人用戶，《報(bào)告》推薦使用騰訊電腦管家并啟用文檔守護(hù)者，目前該功能已集成針對(duì)主流勒索病毒的解密方案，并提供完善的數(shù)據(jù)備份方案，為數(shù)千萬用戶提供文檔保護(hù)恢復(fù)服務(wù)。

（免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 ）