本報告由北京江民新科技術有限公司赤豹安全實驗室，綜合了江民大數據威脅情報平臺、江民終端反病毒監(jiān)測網、國內外研究數據、以及權威媒體公開報道，通過對勒索病毒的長期監(jiān)測與跟蹤分析，針對全球2018年全年勒索病毒感染現(xiàn)狀與趨勢進行分析、研究，涵蓋了勒索軟件的起源、特征、現(xiàn)狀、技術趨勢和防御方案等多個方面。

1 勒索軟件簡介

1．1什么是勒索病毒？

勒索病毒，是一種流行的木馬，通過騷擾、恐嚇甚至采用綁架用戶文件等方式，使用戶數據資產或計算資源無法正常使用，并以此為條件向用戶勒索錢財。主要以漏洞利用、RDP弱口令暴力破解、釣魚郵件、網頁掛馬等形式進行傳播。這種病毒利用各種加密算法對文件進行加密后，向文件所有者索要贖金。如果感染者拒付贖金，就無法獲得加密的私鑰，無法恢復文件。

這種病毒其實只是傳統(tǒng)安全技術的一個小小的應用創(chuàng)新，以前加密技術一直用于防，現(xiàn)在卻用于攻，從防到攻，突然發(fā)現(xiàn)原來加密技術可以這么玩。在數字世界里，勒索這門生意，這幾年卻正蓬勃興起。勒索軟件的概念可以追溯到1989 年，那時人們通過人工投遞的軟盤，將 PC 鎖定惡意代碼發(fā)送給受害者，但自2014年以來，隨著比特幣等加密數字貨幣在全球的廣泛使用，這類業(yè)務有了令人側目的增長。

1．2勒索病毒為什么愈演愈烈？

一方面，利用勒索病毒的成本非常低。在黑市上只要幾千元就可以購買一個未知病毒，勒索成功一次就可以獲利幾萬元甚至幾十萬元，十幾倍到上百倍的利潤，著實讓人瘋狂。

另一方面，勒索病毒防護非常麻煩。因為它簡單粗暴，直接對文件加密，管殺不管埋，只要加密成功，就等著收贖金，傳統(tǒng)的安全防護措施對這種不講道理的攻擊手段束手無策。

第三方面，虛擬貨幣缺乏監(jiān)管。現(xiàn)實中一個勒索案最難解決的問題是如何收贖金，而由于虛擬貨幣監(jiān)管缺位，恰恰解決了這個贖金問題。

所以，門檻低、啟動成本低、高收益、風險低，這些因素組合在一起，勒索病毒愈演愈烈！

1．3勒索病毒發(fā)展簡史

1、原始階段：

最早的勒索軟件出現(xiàn)于1989年，名為“艾滋病信息木馬”。該木馬通過替換系統(tǒng)文件，在開機時計數，一旦系統(tǒng)啟動達到90次時，該木馬將隱藏磁盤的多個目錄，C盤的全部文件名也會被加密，從而導致系統(tǒng)無法啟動。此時，屏幕顯示信息聲稱用戶的軟件許可已過期，要求郵寄189美元以解鎖系統(tǒng)。

2006年出現(xiàn)的Redplus勒索木馬是國內首款勒索軟件。該木馬會隱藏用戶文檔，然后彈出窗口勒索贖金，金額從70元至200元不等。據我國計算機病毒應急處理中心統(tǒng)計，全國各地的該病毒及其變種的感染報告有580多例。而實際上用戶的文件并未丟失，只是被移動到一個具有隱藏屬性的文件夾中。

2、新發(fā)展期，比特幣贖金階段：

從2013年的CryptoLocker開始，勒索軟件進入了新的發(fā)展期，比特幣進入了黑客的視野。CryptoLocker可以感染大部分Windows操作系統(tǒng)，通常通過郵件附件傳播，附件執(zhí)行后會對特定類型的文件進行加密，之后彈出付款窗口，也就是從這款軟件開始，黑客開始要求機構使用比特幣的支付贖金，而就是這款軟件為黑客組織帶來了近41000枚比特幣的收入，按照比特幣最新的市價這些比特幣的價值有近10億美元之巨。

3、勒索軟件平臺化及開源化趨勢：

同為2015年一款名為Tox的勒索軟件開發(fā)包在年中發(fā)布，通過注冊服務，任何人都可創(chuàng)建勒索軟件，管理面板會顯示感染數量、支付贖金人數以及總體收益，Tox的創(chuàng)始人收取贖金的20％。

2015年下半年，土耳其安全專家發(fā)布了一款名為Hidden Tear的開源勒索軟件。它僅有12KB，雖然體量較小，但是麻雀雖小五臟俱全，這款軟件在傳播模塊，破壞模塊等方面的設計都非常出色。盡管來自土耳其的黑客一再強調此軟件是為了讓人們更多地了解勒索軟件的工作原理，可它作為勒索軟件的開源化，還是引發(fā)了諸多爭議，在閱讀了這款勒索軟件的源代碼后，筆者也是突然醒悟原來編程的思路與方法真的是別有洞天，破壞性思維和建設性思維的確是完全不同的風格。

4、與竊取大眾隱私信息結合的趨勢

近年來，針對某些快捷酒店住宿系統(tǒng)及私營醫(yī)院HIS系統(tǒng)的入侵、脫庫（脫庫指黑客入侵到系統(tǒng)后進行信息竊取行為）事件頻發(fā)，而16年之前黑客一般只會將信息悄然盜出后在黑市上待價而沽，但目前黑客更是要在出售掉隱私信息之前還要對醫(yī)院及酒店進行勒索。去年底美國好萊塢某醫(yī)療中心就被黑客攻陷，并勒索340萬美元的贖金，雖然經過一番討價還價醫(yī)院最終支付了1．7萬美元后運營恢復，但是該院的就診記錄不久就出現(xiàn)在了的數據黑市上。

而且最近的勒索病毒明顯加強了“用戶體驗”的建設，會給用戶很強的心理暗示，比如某些最新的勒索軟件將UI設計成無法退出的界面，而且贖金隨時間漲價，還會以倒計時強化緊迫感。

2 2018年勒索病毒感染情況

2．12018年勒索病毒感染情況

根據江民病毒監(jiān)測中心對勒索病毒監(jiān)測到的數據統(tǒng)計發(fā)現(xiàn)，2017年1月到8月，和2018年7到10月是勒索病毒感染高發(fā)期，2017年勒索病毒感染事件共計為263．2萬次，2018年為119．5萬次，較去年下降了54．6％。

2．2服務器攻擊趨勢及攻擊者家族

近一個多月以來，每周都有企業(yè)Windows服務器遭受勒索病毒攻擊，針對服務器的勒索病毒攻擊呈現(xiàn)走高趨勢。今年以來，兩大針對服務器攻擊的勒索病毒家族（GlobeImposter和Crysis家族）均出現(xiàn)爆發(fā)傳播的跡象。

GlobeImposter，Crysis，BTCWare三款勒索病毒，是近來針對服務器攻擊的主流，占比超過90％。這三款勒索病毒，都屬于全球爆發(fā)類的勒索病毒，其中GlobeImposter更是多次攻擊國內醫(yī)療和公共服務機構，國內外安全機構多次發(fā)布過該家族的預警。

3 主要勒索事件匯總

3．1近兩年勒索事件

1、2017年1月份，撒旦（Satan）惡意勒索程序首次出現(xiàn)。

Satan病毒的開發(fā)者通過網站允許用戶生成自己的Satan變種，并且提供CHM和帶宏腳本Word文檔的下載器生成腳本進行傳播。Satan勒索病毒主要用于針對服務器的數據庫文件進行加密，非常具有針對性加密完成后，會用中英韓三國語言索取0．3個比特幣作為贖金，并威脅三天內不支付不予解密。

2、2017年5月12日，一種名為“想哭”的勒索病毒襲擊全球

超過150多個國家和地區(qū)，影響領域包括政府部門、醫(yī)療服務、公共交通、郵政、通信和汽車制造業(yè)。不法分子利用NSA（National Security Agency，美國國家安全局）泄露的危險漏洞“EternalBlue”（永恒之藍）進行傳播。勒索病毒肆虐，儼然是一場全球性互聯(lián)網災難，給廣大電腦用戶造成了巨大損失。最新統(tǒng)計數據顯示，150多個國家和地區(qū)超過10萬臺電腦遭到了勒索病毒攻擊、感染。

3、2017年6月27日晚，Petya勒索病毒爆發(fā)

歐洲多個國家被大規(guī)模攻擊，尤其是烏克蘭，政府機構、銀行、企業(yè)等均遭大規(guī)模攻擊，其中烏克蘭副總理的電腦也遭受攻擊。病毒作者要求受害者支付價值300美元的比特幣之后，才會回復解密密鑰。

4、2017年10月24日，俄羅斯、烏克蘭等國遭到勒索病毒BadRabbit攻擊

烏克蘭敖德薩國際機場、首都基輔的地鐵支付系統(tǒng)及俄羅斯三家媒體中招，德國、土耳其等國隨后也發(fā)現(xiàn)此病毒。

5、xiaoba勒索病毒

10月20日，發(fā)現(xiàn)一例國產勒索病毒Xiaoba。該病毒加密后文件以．xiaoba［數字］結尾，不同文件類型其結尾數字也不相同，其贖金可以通過微信、支付寶支付，目前暫未發(fā)現(xiàn)該勒索病毒有大范圍傳播。倒計時200秒還不繳贖金，被加密的文件就會被全部銷毀。

6、2018年1月，GandGrab勒索家族首次出現(xiàn)

應該算是勒索病毒家族中的最年輕，但是最流行的一個勒索病毒家族，短短幾個月的時候內，就出現(xiàn)了多個此勒索病毒家族的變種，而且此勒索病毒使用的感染方式也不斷發(fā)生變化，使用的技術也不斷在更新，此勒索病毒主要通過郵件進行傳播，采用RSA＋ASE加密的方式進行加密，文件無法還原。

7、2018年2月，多家互聯(lián)網安全企業(yè)截獲了Mind Lost勒索病毒

該勒索軟件采用C＃語言開發(fā)，其主要功能是采用AES加密方式加密本地文件，之后引導受害者至指定的網頁要求付費解密文件，與以往勒索軟件不同的是，此次勒索軟件并沒有要求受害者支付比特幣等數字貨幣進行付費解密操作，而是直接要求用戶使用信用卡或借記卡支付贖金，以此來套取銀行卡信息，進而將此信息出售給不法分子從而牟取更大利益。加密樣本賬戶的電腦的Users目錄下的文件，如果后綴為”．txt”，”．jpg”，”．png”，”．pdf”，”．mp4″，”．mp3″，”．c”，”．py”的文件就直接加密，且解密贖金達到200美元。其加密完成后顯示的提示圖片如下：

8、GlobeImposter勒索病毒家族

GlobeImposter勒索病毒家族是從2017年5月開始出現(xiàn)，并在2017年11月和2018年3月有兩次較大范圍的疫情爆發(fā)，在2017年11月前的GlobeImposter勒索病毒大部分被稱為GlobeImposter1．0，此時的病毒樣本加密后綴名以“．CHAK”較為常見，在2018年3月時出現(xiàn)了GlobeImposter2．0，此時的病毒樣本加密后綴名以“．TRUE”，“．doc”較為常見，GlobeImposter也增加了很多新型的技術進行免殺等操作。