騰訊安全發(fā)布最新勒索病毒報(bào)告：沿海城市染“毒”嚴(yán)峻，四川新上榜

6月初，GandCrab勒索病毒運(yùn)營(yíng)團(tuán)隊(duì)宣稱在一年半的時(shí)間內(nèi)獲利20億美元，全球?yàn)橹痼@。攻擊者瘋狂斂財(cái)?shù)谋澈?，勒索病毒已成時(shí)下備受關(guān)注的網(wǎng)絡(luò)安全問(wèn)題之一，同時(shí)GandCrab的“商業(yè)成功”引爆黑灰產(chǎn)領(lǐng)域更多的貪欲?？梢灶A(yù)見，未來(lái)會(huì)有越來(lái)越多的勒索病毒將持續(xù)展開破壞行動(dòng)，勢(shì)必會(huì)給企業(yè)日常生產(chǎn)經(jīng)營(yíng)造成極大的損害。

當(dāng)前，各類勒索病毒以勒索破壞交通、能源、醫(yī)療等社會(huì)基礎(chǔ)服務(wù)設(shè)施為首要目標(biāo)，上半年曾先后制造多起大面積的勒索事件，影響力和破壞力顯著增強(qiáng)，也再次證明網(wǎng)絡(luò)安全建設(shè)刻不容緩。近日，騰訊安全正式對(duì)外發(fā)布《2019年上半年勒索病毒專題報(bào)告》(以下簡(jiǎn)稱《報(bào)告》)，該《報(bào)告》就勒索病毒形式、常見套路、演變方式以及防御方案等方面給出了詳細(xì)的剖析，為安全廠商、企業(yè)網(wǎng)絡(luò)管理人員等網(wǎng)絡(luò)安全從業(yè)者了解上半年勒索病毒總體情況提供有益參考。

誰(shuí)感染了勒索病毒？粵魯豫川蘇、傳統(tǒng)行業(yè)、密碼簡(jiǎn)單

《報(bào)告》顯示，各類勒索病毒在整個(gè)上半年攻擊設(shè)備數(shù)超250萬(wàn)，整體呈現(xiàn)上升趨勢(shì)，預(yù)計(jì)下半年仍將緩慢上升。從感染地域分布來(lái)看，目前勒索病毒在全國(guó)各地均有不同程度影響，以廣東、山東、河南、四川、江蘇等地區(qū)受害最為嚴(yán)重。同時(shí)，其感染行業(yè)也有規(guī)律可循，以傳統(tǒng)行業(yè)與教育行業(yè)受害最為嚴(yán)重，互聯(lián)網(wǎng)、醫(yī)療、企事業(yè)單位緊隨其后。

目前，企業(yè)服務(wù)器已逐漸成為勒索病毒重點(diǎn)“瞄準(zhǔn)”的目標(biāo)之一。近期，騰訊安全御見威脅情報(bào)中心監(jiān)測(cè)到黑產(chǎn)團(tuán)伙針對(duì)MS SQL服務(wù)器進(jìn)行弱口令爆破攻擊，進(jìn)而植入門羅幣挖礦木馬及anydesk遠(yuǎn)程控制軟件占有服務(wù)器，伺機(jī)侵占更多服務(wù)器資源謀取暴利。從實(shí)際情況來(lái)看，近半年攻擊者針對(duì)弱口令爆破攻擊的勒索案例驟增，說(shuō)明用戶對(duì)服務(wù)器的保護(hù)策略有待進(jìn)一步提高，《報(bào)告》建議企業(yè)網(wǎng)管使用安全的密碼策略和高強(qiáng)度密碼，防止類似爆破攻擊事件再次發(fā)生。

盡管勒索病毒“偏愛”爆破，但事實(shí)說(shuō)明，其他攻擊手段也同樣不容小覷?！秷?bào)告》顯示，勒索病毒的主要攻擊方式依然以弱口令爆破攻擊為主，其次為通過(guò)海量的垃圾郵件傳播，而利用高危漏洞/漏洞工具包主動(dòng)傳播的方式緊隨其后，占比依次為34%、20%、18%，整體攻擊方式呈現(xiàn)多元化特征。

勒索病毒邁入“家族式”協(xié)作時(shí)代 五種常見表現(xiàn)形式需提防

伴隨著勒索產(chǎn)業(yè)的迅速發(fā)展壯大，勒索病毒在經(jīng)歷“單打獨(dú)斗”的發(fā)展時(shí)期后，已呈現(xiàn)出組織團(tuán)伙化、產(chǎn)業(yè)鏈條化的顯著特征。典型的勒索病毒作案實(shí)施過(guò)程中，往往包括勒索病毒作者、勒索者、傳播渠道商、代理、受害者5個(gè)角色，從業(yè)人員之間的分工十分明確。

具體來(lái)說(shuō)，勒索病毒作者負(fù)責(zé)勒索病毒編寫制作直接對(duì)抗安全軟件;勒索者定制專屬病毒，并聯(lián)系傳播渠道商進(jìn)行投放;代理向受害者假稱自己能夠解密各勒索病毒加密的文件，實(shí)則與勒索者合作，共同賺取受害者的贖金。值得一提的是，網(wǎng)絡(luò)上搜索到的可支持勒索病毒解密的公司，竟然也是參與勒索病毒黑色產(chǎn)業(yè)鏈的中間代理。

從具體作案手法來(lái)看，勒索病毒攻擊的表現(xiàn)形式也逐漸呈現(xiàn)多樣性和差異性，騰訊安全技術(shù)專家對(duì)此總結(jié)了上半年網(wǎng)絡(luò)勒索的五大套路：第一、數(shù)據(jù)加密勒索：勒索病毒加密用戶數(shù)據(jù)后索取數(shù)字貨幣;第二、系統(tǒng)鎖定勒索：攻擊者將用戶系統(tǒng)鎖定無(wú)法登陸，在部分真實(shí)攻擊場(chǎng)景中結(jié)合數(shù)據(jù)加密勒索方式共同實(shí)施;第三、數(shù)據(jù)泄露勒索：威脅泄露企業(yè)商業(yè)機(jī)密，敲詐企業(yè)支付一定金額的贖金;第四、詐騙恐嚇式勒索：利用偽造的勒索郵件恐嚇用戶，進(jìn)而實(shí)施詐騙勒索;第五、破壞性加密數(shù)據(jù)掩蓋入侵真相：以勒索病毒加密數(shù)據(jù)破壞信息系統(tǒng)為幌子，掩蓋攻擊者入侵的真實(shí)目的，極易將系統(tǒng)直接搞崩潰。

隨著互聯(lián)網(wǎng)的發(fā)展和成熟，各類勒索病毒正在快速迭代并迅速傳播、開始肆虐全球，國(guó)內(nèi)外勒索病毒攻擊事件日漸頻發(fā)，挖礦木馬和勒索病毒一體化趨勢(shì)明顯，網(wǎng)絡(luò)安全形勢(shì)依然嚴(yán)峻。《報(bào)告》指出，勒索病毒與安全軟件的對(duì)抗加劇、傳播場(chǎng)景多樣化、攻擊目標(biāo)鎖定企業(yè)用戶、技術(shù)迭代加快、贖金提高、加密對(duì)象升級(jí)、病毒開發(fā)門檻降低、感染趨勢(shì)不斷上升等將會(huì)成為勒索病毒未來(lái)發(fā)展的主要趨勢(shì)。

如何打擊勒索病毒犯罪？騰訊安全這樣做

面對(duì)未知、突發(fā)性的勒索病毒，采取主動(dòng)事前防御的辦法，無(wú)疑是保護(hù)企業(yè)信息安全的的關(guān)鍵所在。因此，依賴高新技術(shù)的安全工具已經(jīng)在網(wǎng)絡(luò)安全中發(fā)揮了重要作用。

目前，國(guó)內(nèi)外安全廠商積極配合執(zhí)法部分對(duì)勒索病毒犯罪進(jìn)行打擊，并且取得了顯著的成果。去年底，“12.05”特大新型勒索病毒爆發(fā)，在該病毒出現(xiàn)數(shù)小時(shí)后，騰訊電腦管家接到用戶的舉報(bào)。經(jīng)過(guò)嚴(yán)密追蹤和分析，很快破解了病毒的加密機(jī)制，并推出多個(gè)版本的解密工具。在快速鎖定犯罪嫌疑人相關(guān)線索后，騰訊安全團(tuán)隊(duì)第一時(shí)間將案情舉報(bào)給警方。最終東莞網(wǎng)警在廣東省公安廳網(wǎng)警總隊(duì)的統(tǒng)籌指揮下，24小時(shí)內(nèi)火速偵破此次特大新型勒索病毒破壞計(jì)算機(jī)信息系統(tǒng)案，并抓獲病毒研發(fā)制作者1名，繳獲木馬程序和作案工具一批，防止損失進(jìn)一步擴(kuò)大，更好地保護(hù)用戶支付和財(cái)產(chǎn)安全。

此外，針對(duì)勒索病毒的危害，騰訊安全在騰訊電腦管家和騰訊御點(diǎn)終端安全管理系統(tǒng)上推出文檔守護(hù)者功能，提供了一套相對(duì)完善的數(shù)據(jù)備份恢復(fù)方案，幫助用戶解密數(shù)據(jù)。2019上半年，有數(shù)千萬(wàn)用戶啟用了內(nèi)置的文檔守護(hù)者功能，內(nèi)置的自研解密方案成功為上千名勒索病毒受害者提供了解密服務(wù)，并幫助受害用戶成功恢復(fù)加密文件。

面對(duì)日益猖獗的勒索病毒，對(duì)于各企事業(yè)單位和政府機(jī)構(gòu)的系統(tǒng)而言，最重要的任務(wù)就是對(duì)資料進(jìn)行備份。為此，《報(bào)告》提出“三不三要”思路，即標(biāo)題吸引人的未知郵件不要點(diǎn)開、不隨便打開電子郵件附件、不隨意點(diǎn)擊電子郵件中的附帶網(wǎng)址;重要資料要備份、開啟電子郵件前確認(rèn)發(fā)件人可信、系統(tǒng)補(bǔ)丁/安全軟件病毒庫(kù)保持實(shí)時(shí)更新。

同時(shí)，需要定期針對(duì)網(wǎng)絡(luò)安全進(jìn)行安全培訓(xùn)，提高企事業(yè)單位及政府機(jī)構(gòu)的網(wǎng)絡(luò)安全意識(shí)，關(guān)閉不必要的端口和共享文件;使用騰訊御點(diǎn)終端安全管理系統(tǒng)的漏洞修復(fù)功能，及時(shí)修復(fù)系統(tǒng)高危漏洞;推薦部署騰訊御界高級(jí)威脅檢測(cè)系統(tǒng)檢測(cè)可能的黑客攻擊，該系統(tǒng)可高效檢測(cè)未知威脅，并通過(guò)對(duì)企業(yè)內(nèi)外網(wǎng)邊界處網(wǎng)絡(luò)流量的分析，感知漏洞的利用和攻擊。

此外，《報(bào)告》還提醒，重要的關(guān)鍵業(yè)務(wù)系統(tǒng)必須做好“三二一原則”災(zāi)備方案，即重要文檔資料保存三份，利用至少兩種不同的存儲(chǔ)載體，其中至少有一份資料保存在異地，以此隨時(shí)應(yīng)對(duì)意外情況發(fā)生。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說(shuō)明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。