勒索軟件是近兩年來影響最大，也最受關注的網絡安全威脅形式之一。攻擊者通過電子郵件、網絡滲透、蠕蟲病毒等多種形式，向受害者的電腦終端或服務器發起攻擊，加密系統文件并勒索贖金。

從 2016 年到 2017 年，勒索軟件呈現出全球性蔓延態勢，攻擊手法和病毒變種也進一步多樣化。特別是2017 年 5 月全球爆發的永恒之藍勒索蠕蟲（WannaCry，也有譯作“想哭”病毒）和隨后在烏克蘭等地流行的 Petya 病毒，使人們對于勒索軟件的關注達到了空前的高度。在全球范圍內，政府、教育、醫院、能源、通信、制造業等眾多關鍵信息基礎設施領域都遭受到了前所未有的重大損失。

與 WannaCry 無差別的顯性攻擊相比，針對中小企業網絡服務器的精準攻擊則是隱性的，不為多數公眾所知，但卻也已成為 2017 年勒索軟件攻擊的另一個重要特點。統計顯示，在 2017 年的國內勒索軟件的攻擊目標中，至少有 15% 是明確針對政企機構的，其中由以中小企業為主要目標。相比于一般的個人電腦終端或辦公終端，服務器數據的珍貴程度和不可恢復性更強（針對服務器的滲透式勒索攻擊一般不會留下死角或備份），因此被勒索者支付贖金的意愿也相對更強。

勒索軟件的攻擊量

2017 年 1-11 月，360 互聯網安全中心共截獲電腦端新增勒索軟件變種 183 種，新增控制域名 238 個。全國至少有 472.5 多萬臺用戶電腦遭到了勒索軟件攻擊，平均每天約有 1.4 萬臺國內電腦遭到勒索軟件攻擊。

值得注意的是 2017 年截獲的某些勒索病毒，如 Cerber 病毒，會向某個IP地址段進行群呼，以尋找可能響應的控制服務器。病毒這樣做的目的可能是為了避免其服務器被攔截。如果沒有服務器響應群呼消息，病毒則會按照其他既定流程執行代碼。數據顯示，共截獲新增此類 IP 地址段 51 個。

下圖給出了勒索軟件 1 月至 11 月期間每月攻擊用戶數的情況。從圖中可見，4 月攻擊高峰期時的攻擊量為 81.1 萬，一天之內被攻擊的電腦平均可達 2.7 萬臺。11 月是第二個攻擊小高峰，一天之內被攻擊的電腦平均可達 3.1 萬臺。

2017 年四月份發生的大規模勒索軟件攻擊，主要是因為 Shadow Brokers（影子經紀人）組織公開了披露美國國家安全局發現的漏洞“永恒之藍”，雖然“WannaCry”是在五月份爆發的，但此漏洞一直都有被別的勒索軟件利用進行攻擊。

10 月至 11 月發生的大規模勒索軟件攻擊，主要是因為在 10 月份時出現了一種以 .arena 為后綴的勒索軟件，11 月份時出現了一種以 .java 為后綴的勒索軟件。這兩款勒索軟件主要是由攻擊者通過嫻熟的手法入侵服務器后釋放勒索病毒的。以 .arena 和 .java 為后綴的勒索軟件在 10 月至 11 月流行的主要原因有三：

1）攻擊者入侵手段升級導致成功率大幅提高；

2）這兩款勒索軟件成功入侵了大量企業的服務器；

3）以.arena和.java為后綴的這兩款勒索軟件都屬于Crysis家族，這個家族每次更換新的私鑰都會換一個后綴（10月份是.arena后綴，11月份是.Java后綴）。新出現的.arena和.java替代了.wallet開始流行。

勒索軟件的家族分布

統計顯示，Cerber、Crysis、WannaCry 這三大勒索軟件家族的受害者最多，共占到總量的 58.4%。其中，Cerber 占比為 21.0%，Crysis 占比為 19.9%，WannaCry 占比為 17.5%，具體分布如下圖所示。

結合大數據監測分析，下圖給出了 2017 年不同勒索軟件家族在國內的活躍時間分析。特別需要說明的是：“類Petya”勒索病毒（該病毒說明請參考第四章的第二節介紹），雖然在國外發動了大規模的攻擊行為，產生了及其重要影響，但是在國內基本就沒有傳播，所以在下圖中沒有體現這兩個家族。

　　勒索軟件的傳播方式

事實上，黑客為了提高勒索軟件的傳播效率，也在不斷更新攻擊方式，釣魚郵件傳播依然是黑客常用的傳播手段，服務器入侵的手法更加嫻熟運用，同時也開始利用系統自身的漏洞進行傳播。今年勒索軟件主要采用以下五種傳播方式：

1）服務器入侵傳播

以Crysis家族為代表的勒索軟件主要采用此類攻擊方式。黑客首先通過弱口令、系統或軟件漏洞等方式獲取用戶名和密碼，再通過RDP（遠程桌面協議）遠程登錄服務器，一旦登錄成功，黑客就可以在服務器上為所欲為，例如：卸載服務器上的安全軟件并手動運行勒索軟件。所以，在這種攻擊方式中 ，一旦 服務器被入侵，安全軟件一般是不起作用的。

服務器能夠被成功入侵的主要原因還是管理員的帳號密碼被破解。而造成服務器帳號密碼被破解的主要原因有以下幾種：為數眾多的系統管理員使用弱密碼，被黑客暴力破解；還有一部分是黑客利用病毒或木馬潛伏在用戶電腦中，竊取密碼；除此之外還有就是黑客從其他渠道直接購買賬號和密碼。黑客得到系統管理員的用戶名和密碼后，再通過遠程登錄服務器，對其進行相應操作。

2）利用漏洞自動傳播

今年，通過系統自身漏洞進行傳播擴散成為勒索軟件的一個新的特點。上半年震動世界的WannaCry勒索病毒就是利用微軟的永恒之藍（EternalBlue）漏洞進行傳播。黑客往往抓住很多人認為打補丁沒用還會拖慢系統的錯誤認識，從而利用剛修復不久或大家重視程度不高的漏洞進行傳播。如果用戶未及時更新系統或安裝補丁，那么即便用戶未進行任何不當操作，也有可能在完全沒有預兆的情況下中毒。此類勒索軟件在破壞功能上與傳統勒索軟件無異，都是加密用戶文件勒索贖金。但因為傳播方式不同，導致更加難以防范，需要用戶自身提高安全意識，盡快更新有漏洞的軟件或安裝對應的安全補丁。

3）軟件供應鏈攻擊傳播

軟件供應鏈攻擊是指利用軟件供應商與最終用戶之間的信任關系，在合法軟件正常傳播和升級過程中，利用軟件供應商的各種疏忽或漏洞，對合法軟件進行劫持或篡改，從而繞過傳統安全產品檢查達到非法目的的攻擊類型。

2017 年爆發的 Fireball、暗云III、類Petya、異鬼II、Kuzzle、XShellGhost、CCleaner 等后門事件均屬于軟件供應鏈攻擊。而在烏克蘭爆發的類 Petya 勒索軟件事件也是其中之一，該病毒通過稅務軟件M.E.Doc的升級包投遞到內網中進行傳播。

4）郵件附件傳播

通過偽裝成產品訂單詳情或圖紙等重要文檔類的釣魚郵件，在附件中夾帶含有惡意代碼的腳本文件。一旦用戶打開郵件附件，便會執行里面的腳本，釋放勒索病毒。這類傳播方式的針對性較強，主要瞄準公司企業、各類單位和院校，他們最大的特點是電腦中的文檔往往不是個人文檔，而是公司文檔。最終目的是給公司業務的運轉制造破壞，迫使公司為了止損而不得不交付贖金。

5）利用掛馬網頁傳播

通過入侵主流網站的服務器，在正常網頁中植入木馬，讓訪問者在瀏覽網頁時利用IE或Flash等軟件漏洞進行攻擊。這類勒索軟件屬于撒網抓魚式的傳播，并沒有特定的針對性，一般中招的受害者多數為裸奔用戶，未安裝任何殺毒軟件。

勒索軟件攻擊的地域

監測顯示，遭遇勒索軟件攻擊的國內電腦用戶遍布全國所有省份。其中，廣東占比最高，為14.9%，其次是浙江8.2%，江蘇7.7%。排名前十省份占國內所有被攻擊總量的64.1%。

　　2017年勒索軟件攻擊地域分布如下圖所示。

　　勒索軟件服務器分布

針對最為活躍的部分勒索軟件的 C2 服務器域名后綴的歸屬地進行分析，結果顯示：.com 域名被使用的最多，約為總量的一半，為 48.7%，.net 和 .org占比分別為 3.8% 和 1.7%。此外，屬于歐洲國家的域名最多，占 31.9%，其次是亞洲國家 4.6%，南美洲國家 1.7%，大洋洲國家 1.7%，北美洲國家 1.3%。

特別值得注意的是，主流的大勒索家族都不再使用 C2 服務器加密技術了，但還是有很多小眾勒索家族在使用 C2 服務器的加密技術。

　　勒索軟件攻擊的行業

通過不同行業政企機構遭受勒索軟件攻擊的情況分析顯示，能源行業是遭受攻擊最多的行業，占比為42.1%，其次為醫療行業為22.8%，金融行業為17.8%，具體分布如下圖所示。需要說明的是，遭到攻擊多不代表被感染的設備多。攻擊量是通過企業級終端安全軟件的監測獲得的。

上圖顯示能源、醫療衛生、金融是遭受勒索軟件攻擊最多的三個行業，那么究竟是哪些家族對這三個行業發動的攻擊呢？下表分別給出了每個行業遭受勒索軟件攻擊最多的前五個家族，具體如下表所示?？梢钥闯?，針對不同行業，攻擊者者所使用的勒索軟件類型是有很大區別的。

　　▲能源、醫療衛生、金融行業遭受勒索攻擊的家族TOP5

勒索軟件的攻擊特點

如果說，掛馬攻擊是2016年勒索軟件攻擊的一大特點，那么2017年，勒索軟件的攻擊則呈現出以下六個明顯的特點：無C2服務器加密技術流行、攻擊目標轉向政企機構、攻擊目的開始多樣化、勒索軟件平臺化運營、影響大的家族贖金相對少、境外攻擊者多于境內攻擊者。

(一)無C2服務器加密技術流行

2017年，我們發現黑客在對文件加密的過程中，一般不再使用C2服務器了，也就是說現在的勒索軟件加密過程中不需要回傳私鑰了。

這種技術的加密過程大致如下：

1）在加密前隨機生成新的加密密鑰對（非對稱公、私鑰）

2）使用該新生成新的公鑰對文件進行加密

3）把新生成的私鑰采用黑客預埋的公鑰進行加密保存在一個ID文件或嵌入在加密文件里

解密過程大致如下：

1）通過郵件或在線提交的方式，提交ID串或加密文件里的加密私鑰（該私鑰一般黑客會提供工具提取）；

2）黑客使用保留的預埋公鑰對應的私鑰解密受害者提交過來的私鑰；

3）把解密私鑰或解密工具交付給受害者進行解密。

通過以上過程可以實現每個受害者的解密私鑰都不相同，同時可以避免聯網回傳私鑰。這也就意味著不需要聯網，勒索病毒也可以對終端完成加密，甚至是在隔離網環境下，依然可以對文件和數據進行加密。顯然 ，這種技術是針對采用了各種隔離措施的政企機構所設計的。

(二)攻擊目標轉向政企機構

2017年，勒索軟件的攻擊進一步聚焦在高利潤目標上，其中包括高凈值個人、連接設備和企業服務器。特別是針對中小企業網絡服務器的攻擊急劇增長，已經成為2017年勒索軟件攻擊的一大鮮明特征。據不完全統計，2017年，約15%的勒索軟件攻擊是針對中小企業服務器發起的定向攻擊，尤以Crysis、xtbl、wallet、arena、Cobra等家族為代表。

客觀的說，中小企業往往安全架構單一，相對容易被攻破。同時，勒索軟件以企業服務器為攻擊目標，往往也更容易獲得高額贖金。例如：針對Linux服務器的勒索軟件Rrebus，雖然名氣不大，卻輕松從韓國Web托管公司Nayana收取了100萬美元贖金，是震驚全球的永恒之藍全部收入的7倍之多。Nayana所以屈服，是因為超150臺服務器受到攻擊，上面托管著3400多家中小企業客戶的站點。這款勒索病毒的覆蓋面有限，韓國幾乎是唯一的重災區。

(三) 針對關鍵信息基礎設施的攻擊

以WannaCry、類Petya為代表的勒索軟件，則是將關鍵信息基礎設施作為了主要攻擊目標，這在以往是從未出現過的嚴峻情況。關鍵基礎設施為社會生產和居民生活提供公共服務，保證國家或地區社會經濟活動正常進行，其一旦被攻擊將嚴重影響人們的日常生活，危害巨大。

(四)攻擊目的開始多樣化

顧名思義，勒索軟件自然就是要勒索錢財。但這種傳統認知已經在2017年被打破。以網絡破壞、組織破壞為目的的勒索軟件已經出現并開始流行。其中最為典型的代表就是類Petya。與大多數勒索軟件攻擊不同，類Petya的代碼不是為了向受害者勒索金錢，而是要摧毀一切。類Petya病毒的主要攻擊目的就是為了破壞數據而不是獲得金錢。此外，以Spora為代表的竊密型勒索軟件在加密用戶文檔時，還會竊取用戶賬號密碼和鍵盤輸入等信息，屬于功能復合型勒索軟件。

這些不僅以“勒索”為目的的“勒索軟件”，實際上只是結合了傳統勒索軟件對文件進行加密的技術方法來實現其數據破壞、信息竊取等其他攻擊目的。相比于勒索金錢，這種攻擊將給對手帶來更大的破壞和更大的威脅。這不僅會引發網絡犯罪“商業模式”的新變種，而且會反過來刺激網絡保險市場的進一步擴張。

(五)勒索軟件平臺化運營

2017年，勒索軟件已經不再是黑客單打獨斗的產物，而是做成平臺化的上市服務，形成了一個完整的產業鏈條。在勒索軟件服務平臺上，勒索軟件的核心技術已經直接打包封裝好了，小黑客直接購買調用其服務，即可得到一個完整的勒索軟件。這種勒索軟件的生成模式我們稱其為RaaS服務，而黑市中一般用“Satan Ransomware（撒旦勒索軟件）”來指代由RaaS服務生成的勒索軟件。

RaaS服務允許任何犯罪者注冊一個帳戶，并創建自己定制版本的撒旦勒索軟件。一旦勒索軟件被創建，那么犯罪分子將決定如何分發勒索軟件，而RaaS服務平臺將處理贖金支付和增加新功能。對于這項服務，RaaS服務平臺的開發者將收取受害者所支付贖金的30％，購買RaaS服務者將獲取剩余70％的贖金。

(六)境外攻擊者多于境內攻擊者

2017年，勒索軟件的攻擊源頭以境外為主。絕大多數的勒索軟件攻擊者基本都是境外攻擊者，國內攻擊者較少，而且國內攻擊者技術水平也相對較低，制作水平也不高。有些國內攻擊者編寫的勒索軟件程序甚至存在很多漏洞，因此也比較容易被破解。比如：MCR勒索病毒，我們可以直接獲取到密鑰從而恢復文件。

恢復感染文件的方法

感染勒索軟件后，對于用戶來說，最重要的是能否恢復被加密的文件。目前來看，成功支付贖金的受害者都成功的恢復了被加密的文件。可見，目前勒索軟件攻擊者的“信用”還是不錯的。此外，由于目前仍有相當一部分的勒索軟件并未規范使用加密算法，對文件進行加密，所以，對于感染了此類勒索軟件的用戶來說，即便不支付贖金，也可以通過專業安全機構提供的一些解密工具對文件進行解密。還有一些用戶提前對重要文件進行了備份，所以也最終成功恢復了文件。

總體來看，在接受調研的受害者中，有11.5%的受害者最終成功恢復了文件，另外88.5%的受害者沒有恢復文件。在受害者恢復文件的方式中，30.8%的受害者是通過支付贖金恢復的文件，25.0%的受害者是通過歷史備份（如云盤、移動硬盤等）恢復的文件，23.1%的受害者是通過解密工具恢復文件的，21.2%的受害者是通過專業人士破解恢復文件的。

用戶電腦感染勒索軟件后，需要進行及時的清除。但不同的人也會選擇不同的方法進行清除。抽樣調查結果顯示：38.9%的受害者通過重裝系統清除了病毒，18.1% 的受害者通過安裝安全軟件查殺掉病毒，6.0% 的受害者直接刪除中毒文件。

特別值得注意的是，有 36.9% 的受害者在知道自己電腦已經感染勒索軟件后，沒有采取任何措施清除病毒。這是十分危險的，因為盡管目前已知的絕大多數勒索軟件的攻擊都是“一次性”的，但也有一部分病毒會帶有諸如“下載者”這樣的病毒成分，不及時處理，電腦就有可能會持續不斷的遭到更多的木馬病毒的侵害。

另外，研究發現，受害者選擇采用何種方式清除病毒，與用戶是否支付了贖金沒有關系。

還有一點特別值得注意。在我們協助受害者進行電腦檢測時發現，有相當數量的受害者在感染勒索軟件時，并未安裝任何安全軟件。

調查中還發現，對于沒有安裝安全軟件的受害者，在感染勒索軟件后會首先下載并安裝安全軟件進行病毒查殺。但是，這種操作是存在一定的風險性的。如果受害者自行清除病毒，可能會同時刪除掉被加密的文件和本地保留的密鑰文件，造成文檔無法解密。

---正經建議的分割線---

一、 個人用戶安全建議

養成良好的安全習慣

1） 電腦應當安裝具有云防護和主動防御功能的安全軟件，不隨意退出安全軟件或關閉防護功能，對安全軟件提示的各類風險行為不要輕易放行。

2） 使用安全軟件的第三方打補丁功能對系統進行漏洞管理，第一時間給操作系統和IE、Flash等常用軟件打好補丁，以免病毒利用漏洞自動入侵電腦。

3） 盡量使用安全瀏覽器，減少遭遇掛馬攻擊的風險。

4） 重要文檔數據應經常做備份，一旦文件損壞或丟失，也可以及時找回。

減少危險的上網操作

5） 不要瀏覽來路不明的色情、賭博等不良信息網站，這些網站經常被用于發動掛馬、釣魚攻擊。

6） 不要輕易打開陌生人發來的郵件附件或郵件正文中的網址鏈接。

7） 不要輕易打開后綴名為js 、vbs、wsf、bat等腳本文件和exe、scr等可執行程序，對于陌生人發來的壓縮文件包，更應提高警惕，應先掃毒后打開。

8） 電腦連接移動存儲設備，如U盤、移動硬盤等，應首先使用安全軟件檢測其安全性。

9） 對于安全性不確定的文件，可以選擇在安全軟件的沙箱功能中打開運行，從而避免木馬對實際系統的破壞。

二、 企業用戶安全建議

1）提升新興威脅對抗能力

傳統基于合規的防御體系對于勒索軟件等新興威脅的發現、檢測和處理已經呈現出力不從心的狀態。而通過對抗式演習，從安全的技術、管理和運營等多個維度出發，對企業的互聯網邊界、防御體系及安全運營制度等多方面進行仿真檢驗，可以持續提升企業對抗新興威脅的能力。

2）及時給辦公終端和服務器打補丁修復漏洞，包括操作系統以及第三方應用的補丁。

3）如果沒有使用的必要，應盡量關閉不必要的常見網絡端口，比如：445、3389等。

4）企業用戶應采用足夠復雜的登錄密碼登陸辦公系統或服務器，并定期更換密碼。

5）對重要數據和文件及時進行備份。

6）提高安全運維人員職業素養，除工作電腦需要定期進行木馬病毒查殺外，如有遠程家中辦公電腦也需要定期進行病毒木馬查殺。