近日，騰訊安全正式對外發布《2020上半年勒索病毒報告》（以下簡稱“報告”）。《報告》顯示，上半年全球大型企業遭受勒索病毒打擊的事件依然高頻發生。其中，最活躍的勒索病毒家族發起針對性極強的大型“狩獵”活動，對企業開出天價解密贖金；新型勒索病毒層出不窮，技術上不斷進化。而勒索手段也從單純的贖金換金鑰，升級到不給贖金就公開機密資料。騰訊安全也提供從威脅情報到安全產品的整體防護解決方案，協助企業抵禦勒索病毒攻擊。

據騰訊安全威脅情報大資料顯示，2020上半年勒索病毒依舊十分活躍，但總體感染情況較去年略有下降。從勒索病毒攻擊的地區分佈看，廣東、浙江、山東、河南、上海等經濟較發達地區成為重點目標，其它省份也遭受到不同程度攻擊。從勒索病毒影響的行業看，資料價值較高的傳統企業、教育、醫療、政府機構遭受攻擊最為嚴重，網際網路、金融、能源行業緊隨其後，也遭到勒索病毒攻擊影響。

攻擊更精準，不交贖金立即公開敏感資料

由於攻擊政企機構更容易獲得贖金，於是活躍勒索病毒團伙越來越多地將高價值大型政企機構作為重點打擊物件。據《報告》顯示，為了追求利益最大化，多數情況下，攻擊者在攻陷企業一臺網路資產之後，會利用該資產持續滲透攻陷更多資產，之後大量植入檔案加密模組，從而迫使企業在業務系統大面積癱瘓的情況下繳納贖金。

上圖的勒索病毒樣本僅針對特定目標的IT裝置

此外，為避免勒索失敗，攻擊者還採取了新的勒索策略。即，先竊取政企機構敏感資料，再對企業資產進行加密。如果企業拒絕繳納贖金解密，就在暗網“恥辱牆”頁面公開企業部分敏感資料進一步實施勒索，若企業依然拒絕繳納贖金，勒索團伙就會直接公開所竊取的企業敏感資料。對於大型企業而言，資料洩露帶來的不止有經濟上的損失，還會嚴重影響企業形象，使自身失去公眾信任。因此，面對這種以洩露資料為手段的勒索攻擊，就算企業有資料備份，也只能被迫選擇支付贖金。

加密、合作、定製化，勒索病毒技術手段升級

經過長期的演變，勒索病毒在“勒索”這件事上越發成熟。

首先，為了對攻擊目標進行精準打擊，很多勒索病毒會利用殭屍網路龐大的感染基數進行迅速擴張。例如GandCrab勒索團伙就藉助Phorpiex殭屍網路的持續投遞獲利超20億美金。而新開發出的勒索家族為了快速切入市場，也會選擇與殭屍網路進行合作以獲得市場知名度。據《報告》顯示，殭屍網路已成為勒索病毒傳播渠道的中堅力量，在勒索病毒事件溯源中的佔比越來越高。

其次，為了提升加密效率降低資源消耗，勒索病毒作者在加密流程的細節上進行最佳化。從早期的單執行緒檔案加密，升級到針對每個磁碟分割槽進行多執行緒加密；從單一的x86可執行病毒版本到增加x64可執行版本；利用高危漏洞進行核心提權，或使用壓縮打包的方式進行提權來加密更多檔案等等。此外，勒索病毒還開始擴大加密範圍，不止加密檔案，同時對檔名也進行加密。

值得一提的是，勒索病毒還開始了“聯手”合作。騰訊安全專家觀察發現，有攻擊者攜帶不止一種勒索病毒。據推測，這可能是攻擊者為避免單一病毒由於安全環境等問題導致的加密失敗，而開始與多個勒索病毒家族合作。同時，更多的勒索病毒開始針對國內市場做最佳化，例如增加中文版本的勒索信件，勒索加密擴充套件字尾使用具有國內風格的命名方式等。由此可見，國內依然為勒索團伙關注最為密切的市場之一。

加強資訊保安建設，保障企業不被“勒索”

面對嚴峻的勒索病毒威脅態勢，《報告》中指出可按照“三不三要”思路進行日常安全管理，以提高企事業單位及政府機構的網路安全意識。即標題吸引人的未知郵件不要點開、不隨便開啟電子郵件附件、不隨意點選電子郵件中的附帶網址；重要資料要備份、開啟電子郵件前確認發件人可信、系統補丁/安全軟體病毒庫保持實時更新。

同時，騰訊安全專家提醒廣大政企使用者，可根據業務節點攔截位置部署專業的安全產品，並根據騰訊安全威脅情報中心提供的情報資料配置各節點聯防聯動、統一協調管理，提升整體網路抗攻擊能力。

此外，專家還建議個人使用者安裝騰訊電腦管家、企業客戶部署騰訊T-Sec終端安全管理系統攔截查殺各類勒索病毒，保護各終端節點。同時，啟用騰訊電腦管家「文件守護者」，該功能整合針對主流勒索病毒的解密方案，並提供完善的資料備份方案，為數千萬使用者提供文件保護恢復服務。