由於疫情的影響，2020年很多人都是居家辦公學習，網路使用者快速增長，而網路攻擊的事件也是呈現同比增加。甚至網路攻擊變得更加複雜，並可能同時危害成千上萬個裝置。如今，網路攻擊種類繁多，其中最令人恐懼的便是勒索軟體，一種透過加密主機資料檔案從而勒索贖金的病毒程式。

2020年勒索病毒攔截數量分析

區域分佈

勒索病毒攔截數量按區域來看，主要集中在沿海城市，廣東省地區攔截勒索病毒數量最多，其次是福建省和江蘇省：

行業分佈

勒索病毒攔截數量按行業來看，政企單位、科研教育、政府攔截的勒索病毒數量最多，總佔比接近3/4；由於這些行業的業務對資料檔案依賴較大，安全防護薄弱，系統設施脆弱等因素，極易成為勒索病毒的主要攻擊目標：

2020年勒索病毒重點事件盤點

Hospit--針對醫療行業的新型勒索病毒

2020年新冠病毒爆發時期，醫療行業系統資料資料的重要性不言而喻，深信服安全團隊11月份發現的Hospit勒索病毒，攻擊目標便是瞄準了尤為重要的醫療行業。在11月份出現了某省多家醫療單位被攻擊並系統資料被加密的事件，嚴重影響醫療業務的正常運轉。

深信服千里目安全實驗室公眾號，發表文章《針對醫院的新型勒索病毒Hospit曝光，疫情抬頭期間更需關注資訊保安!》

GlobeImposter--變種與手法均出現更新

GlobeImposter勒索病毒依舊活躍，今年更是出現了新的變種和攻擊手法。在5月份疫情緩和全國各地進入復工期間，各個地區均有使用者反饋檔案資料被加密，仍然使用暴力破解進行終端登入並手工投放勒索病毒，且加密手法也是勒索病毒中常見的RSA+AES加密演算法。不同之處在於勒索病毒程式進行了部分調整。

而12月份疫情抬頭期間，更是發現GlobeImposter勒索病毒出現了新的攻擊手法，瞄準了MSSQL資料庫，進行暴力破解並從C&C端下載執行勒索病毒。攻擊的目標當前主要瞄準政府、能源等多個行業，隨著攻擊者的武器庫的持續更新，攻擊者後續還會繼續嘗試其他入侵方式進行攻擊，並很有可能擴散攻擊物件範圍。

圖為執行的相關命令

 

Phobos--後來者居上

Phobos勒索病毒在今年下半年活躍力度逐漸加大，多個行業受到影響。在下半年疫情緩和期間的活躍使多個復工復產的企業、政府、醫療行業受到不同程度的影響，對恢復社會生產力造成了不小的阻力。

其活躍變種至今還沒有解密方法，一旦重要資料檔案被加密，沒有進行檔案備份的客戶只能交錢解密。

勒索病毒發展

勒索病毒盛行的主要因素

製作成本低

隨著勒索病毒技術細節的公開，部分勒索軟體程式碼被放在暗網上售賣，勒索病毒的製作成本持續降低。2012年，國外安全廠商確認了大約16種不同的勒索軟體家族，這些家族在被不同的犯罪團伙使用。但是所有勒索病毒程式都可以追溯到同一個作者，該人顯然是全職工作，以便根據要求為犯罪團伙編寫勒索軟體。

（打折出售勒索軟體以及其他惡意軟體的網站） 

犯罪成本低

作為一種犯罪活動，傳播勒索病毒是低風險的。勒索病毒運營團伙利用了本已繁榮的比特幣轉移服務和惡意軟體即服務運營商的市場，藉助數字貨幣和暗網的特性，可以讓攻擊者直接獲得付款而不被警方追蹤，有時犯罪分子甚至居住在一些不與國際社會合作的國家和地區。

攻擊方式簡單

勒索病毒的感染方式具有多樣性，可透過暴力破解、魚叉郵件、漏洞利用、殭屍網路等方式進行攻擊。

其中應用最為廣泛的是RDP暴力破解，登入成功後利用駭客工具解除安裝安全軟體，內網橫向擴散，然後投放執行勒索病毒進行加密，每個步驟都有專業的駭客工具輔助完成，對技術能力要求較低：

漏洞利用相對來說需要一定的專業知識基礎和使用者環境，因此在大規模爆發的勒索事件中，漏洞利用的佔比較低：

贖金收益高

隨著比特幣市值的不斷增高，勒索攻擊帶來的收益愈發可觀。並且勒索病毒運營團伙會將目標鎖定在具有交付贖金實力、業務對資料依賴性強的企業和組織，索要的贖金額度也越來越高。2020年更是有多家大型企業先後被網路攻擊，被駭客勒索鉅額贖金，甚至威脅受害企業不支付贖金將會洩露竊取的資料。

7月份國際知名的GPS裝置品牌Garmin遭遇勒索軟體攻擊，線上服務受到影響，更被駭客索要1000萬美元；日本影像科技巨頭柯尼卡美達企業遭受勒索，影響其企業服務長達一週；10月份德國科技軟體公司SoftWare AG公司遭遇勒索病毒，被索要超過2000萬美金的贖金；11月份電子巨頭富士康遭遇勒索軟體攻擊，將裝置資料進行加密，並索要3400萬美金作為贖金……

勒索軟體運營模式的演變

高度專業化

至今，勒索病毒攻擊已經從個人行為演變至團隊產業，從病毒製作，到入侵攻擊，再到解密溝通，都有不同的人負責運營，即分散式團伙作案，每個人各司其職，按勞分配，多勞多得。以Sodinokibi為例，勒索病毒的產業運作模式可概括如下：

攻擊目標轉變

勒索病毒運營團伙的攻擊目標從個人使用者轉向了企業使用者、政府單位、醫療行業以及公共機構等，不一定是因為這些部門在安全上沒有防護，而是因為他們在日常運營中非常依賴於關鍵業務資料，一旦業務受到影響，他們需要快速做出決定，並且將更願意支付贖金。

在目標選擇上，勒索病毒攻擊正變得更具針對性。公司和組織的電子郵件帳戶越來越成為網路釣魚攻擊的重點，尤其是對於Locky和Petya這樣的惡意軟體。Petya專門針對德國公司人力資源員工；Locky則通常包含在偽裝成發票的Microsoft Office文件中。

（GandCrab5.2勒索病毒偽裝國家機關傳送釣魚郵件進行攻擊）

2020年11月，國內駭客團伙利用Hospit勒索病毒針對醫療單位發起了一次範圍性攻擊，在同一天內同時對某地區的多家醫院進行攻擊，該勒索病毒使用“.guanhospit”作為加密字尾，具有極強的目標性。

由於醫療行業具有很大的業務緊迫性，並且當前國內處於疫情控制的關鍵階段，一旦遭到勒索加密，將導致業務中斷，造成的損失不可估量，由此增加了受害者支付贖金的機率：

（被Hospit勒索病毒加密的資料檔案）

不止於加密

2019年12月，國外安全人員釋出了一條安全事件，Maze（迷宮）勒索病毒攻擊者在對受害者資料進行加密的同時，會進行資料竊取，作為要挾受害者支付贖金的把柄。如果受害者拒絕支付贖金，或掩蓋受到攻擊的情況，Maze勒索病毒的運營團伙將會在暗網上洩露一些關於受害者的敏感資料。另外，Sodinokibi勒索軟體運營商揚言要對受害者進行滲透，受害者拒絕支付贖金，他們將洩露或出售竊取的資料。

即使目前僅有少部分勒索軟體運營商會竊取使用者資料，但不能排除對資料進行加密和竊取的雙重攻擊將成為勒索病毒日後發展的趨勢。

如何防護勒索病毒？

基礎防護

深信服安全團隊再次提醒廣大使用者，勒索病毒以防為主，目前大部分勒索病毒加密後的檔案都無法解密，注意日常防範措施：

1、及時給系統和應用打補丁，修復常見高危漏洞；

2、對重要的資料檔案定期進行非本地備份；

3、不要點選來源不明的郵件附件，不從不明網站下載軟體；

4、儘量關閉不必要的檔案共享許可權；

5、更改主機賬戶和資料庫密碼，設定強密碼，避免使用統一的密碼，因為統一的密碼會導致一臺被攻破，多臺遭殃；

6、如果業務上無需使用RDP的，建議關閉RDP功能，並儘量不要對外網對映RDP埠和資料庫埠。

深信服安全產品解決方案

1. 深信服為廣大使用者免費提供查殺工具，可下載如下工具，進行檢測查殺；

64位系統下載連結：

http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z

32位系統下載連結：

http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z

2. 深信服安全感知、防火牆、EDR使用者，建議及時升級最新版本，開啟勒索防護策略，並接入安全雲腦，使用雲查服務以及時檢測防禦新威脅。如果業務上無需使用RDP的，建議關閉RDP功能，並儘量不要對外網對映RDP埠和資料庫埠；

3. 深信服EDR使用者建議開啟勒索病毒防護、遠端登入保護功能，能夠有效查殺勒索病毒和防止遠端爆破登入；

4. 深信服安全產品整合深信服SAVE人工智慧檢測引擎，擁有強大的泛化能力，精準防禦未知病毒；

5. 深信服推出安全運營服務，透過以“人機共智”的服務模式幫助使用者快速提高安全能力。針對此類威脅，安全運營服務提供安全裝置策略檢查、安全威脅檢查、相關漏洞檢查等服務，確保第一時間檢測風險以及更新策略，防範此類威脅。

2020年勒索病毒熱度TOP10

Phobos勒索

家族名：Phobos勒索病毒

變種字尾：.phobos;.phobos;.help;.deal;.Caleb;.wiki;.dewar;devil;Devos;.eight;.eking;

勒索資訊：

GlobeImposter勒索

家族名：GlobeImposter勒索病毒

變種字尾：

1.0版本：

Zeus666;Poseidon666;Apollo666;Artemis666;Ares666;Aphrodite666;Dionysus666;Persephone666;Hephaestus666;Hades666;

2.0版本：

Zeus865;.Hera865;.Poseidon865;.Hades865;.Hestia865;.Ares865;.Athene865;.Hermes865;.Hephaestus865;.Apollo865;.Aphrodite865;.Artemis865;

Zeus865-10;.Hera865-10;.Poseidon865-10;.Hades865-10;.Hestia865-10;.Ares865-10;.Athene865-10;.Hermes865-10;.Hephaestus865-10;.Apollo865-10;.Aphrodite865-10;.Artemis865-10;.Artemis865qq;

Zeus865-20;.Hera865-20;.Poseidon865-20;.Hades865-20;.Hestia865-20;.Ares865-20;.Athene865-20;.Hermes865-20;.Hephaestus865-20;.Apollo865-20;.Aphrodite865-20;.Artemis865-20;.Artemis865qq;.mrimrssmith

勒索資訊：

Crysis勒索

家族名：CrySiS勒索病毒

變種字尾：

.Calum;.bat;.combo;.IDB;.New;.arrow;.bip;.BearUnpack;.java;.best;.ETH;.betta;.4k;.bgtx;.888;.bizer;.aa1;.bk666;.bkp;.bkpx;.brrr;.btc;.btix;.air;.carcn;.amber;.cccmn;.aqva;.CMB;.AUDIT;.cobra;.AUF;.com;.azero;.ms13;.myjob;.NWA;.plomb;.cry;.qbix;.crypt;.qwex;.docx;.RISK;.ETH;.santa;.stun;.tron;.fire;.USA;.frend;.vanss;.FUNNY;.video;.gamma;.waifu;.gate;.gdb;.wal;.gif;.wallet;.war;.KARLS;.xwx;.korea;.XXXXX;.ldpr;.like;.LOVE;.MERS;.monro;.adobe;.arena;.boost;.Back;.wallet;.bbc;.actin;.adage;..id-ACBBC279.[qbix@qq.com].qbix;.Calum;.wiki;.Dever;.harma;

勒索資訊：

Sodinokibi勒索

家族名：Sodinokibi勒索病毒

變種字尾：隨機字尾

勒索資訊：

Buran勒索

家族名：Buran勒索病毒

變種字尾：Personal ID（檔案加密字尾與勒索信中的Personal ID一樣）

勒索資訊：

MedusaLocker勒索

家族名：MedusaLocker勒索病毒

變種字尾：.encrypted;.skynet;.ReadTheInstructions;ReadInstructions;

勒索資訊：

Vegalocker勒索

家族名：Vegalocker勒索病毒

變種字尾：.[ID號]

勒索資訊：

Makop勒索

家族名：Makop勒索病毒

變種字尾：.makop;.shootlock;.CARLOS;.zes;.fai;.Hidden;.origami;.zbw;fireee;shootlock2;

勒索資訊：

   

Hermes837勒索

家族名：Hermes837勒索病毒

變種字尾：.morrison;.jones;.voyager

勒索資訊：

NetWalker勒索

家族名：NetWalker勒索病毒

變種字尾：Personal code（以勒索信中的Personal code為加密字尾）

勒索資訊：

STOP勒索

家族名：STOP勒索病毒

變種字尾：

.cetori;.seto;.mtogas;/nasoh;.bacro;.pedro;.vesrato;.nuksus;.vesrato;masodas;.cetori;.stare;.carote;.coharos;.gero;.gese;.geno;.seto;.cdr;.shariz;.peta;.moka;nesa;.kasp;

勒索資訊：