疫情之下勒索病毒變本加厲 360安全大腦強勢守護上網(wǎng)安全

B站知名UP主被攻擊、德國醫(yī)院遭勒索導致病患死亡、富士康1200臺服務器淪陷……縱觀已經(jīng)過去的2020年，除了“新冠”疫情給全行業(yè)帶來的沖擊外，勒索病毒威脅再次領跑了2020年最熱門的網(wǎng)絡安全話題，結(jié)合數(shù)據(jù)泄露的“二次勒索”模式更是成為年度熱點。

近日，360安全大腦發(fā)布了《2020年勒索病毒疫情分析報告》(以下簡稱《報告》)，從勒索病毒攻擊態(tài)勢、受害者及攻擊者分析、勒索病毒發(fā)展趨勢和安全建議等維度，總結(jié)了2020年度勒索病毒的活動情況。

《報告》顯示，2020年中，360反勒索服務共接收并處理勒索病毒攻擊求助3800余例，其中超過3700例確認遭受勒索病毒攻擊。其中，企業(yè)大量設備“中毒”的情況較多，加之“二次勒索”模式的流行，所造成的安全風險和經(jīng)濟損失較往年更為嚴重?？梢哉f，無論是對個人用戶、還是企業(yè)用戶，勒索病毒依然是網(wǎng)絡安全領域最主要的安全威脅。

傳統(tǒng)勒索病毒家族依然活躍，廣東“中招”案例排名第一

根據(jù)360反勒索服務數(shù)據(jù)，PC端Windows系統(tǒng)下phobos、GlobeImposter、Crysis這三大勒索病毒家族的受害者占比最多，合計占到了52.46%。TOP10的勒索病毒家族中，僅BeijingCrypt勒索病毒為本年新增家族，其他勒索病毒均在去年甚至幾年前便一直活躍。

盡管勒索病毒家族傳統(tǒng)格局依然穩(wěn)固，但以數(shù)據(jù)泄露為要挾的“二次勒索”模式還是流行了起來。通過對黑客發(fā)布泄露數(shù)據(jù)網(wǎng)站進行跟蹤統(tǒng)計，2020年全年涉及數(shù)據(jù)泄露的勒索病毒家族占比前三依次為：Maze家族占比22.67%、Egregor家族占比16.12%、Conti家族占比14.05%。其中Egregor家族是在Maze逐漸退出歷史舞臺時才出現(xiàn)的一個家族，該家族被猜測為Maze家族的“繼承者 ”。

從勒索病毒的投遞方式來看，遠程桌面入侵仍然是用戶計算機被感染的最主要方法。共享文件夾被加密，成為危害用戶數(shù)據(jù)安全的第二大因素。在這里，360安全團隊提醒用戶，設置共享文件需謹慎，可通過其他方式來實現(xiàn)文件同步、協(xié)作。尤其需要注意的是，在運行激活、破解工具之前，應在有安全軟件防護狀態(tài)下進行，不應輕易將其加入信任區(qū)。

該報告還針對勒索病毒感染的地域、系統(tǒng)、行業(yè)、人群和贖金支付情況進行了詳細的數(shù)據(jù)解讀，多維度呈現(xiàn)2020年勒索病毒疫情受害者群像。從受害者地域分布來看，依舊是以信息產(chǎn)業(yè)發(fā)達和人口密集的地區(qū)為主，其中廣東以19.06%的比例排名第一;從受攻擊系統(tǒng)分布來看，Windows 10系統(tǒng)以31.14%的比例躍居首位，與往年數(shù)據(jù)有較大的變化——2019年受勒索病毒攻擊的系統(tǒng)中超過四成是Windows 7系統(tǒng)。

從受害者行業(yè)分布來看，服務業(yè)以21.8%的比例居首位，其中又以律師行業(yè)被攻擊的概率最高;從求助者性別分布來看，男性占比高達93.83%，遠遠高于女性，這或許與IT技術行業(yè)以男性員工為主體有很大的關系。在勒索病毒受害者中，有98%的受害者在受到勒索病毒攻擊時不會支付贖金，這其中主要是因為不相信攻擊者會守信解密，不愿向黑客低頭這一原因次之。

“新冠疫情”成為誘餌，供應鏈威脅升級

《報告》顯示，目前流行的勒索病毒家族幾乎都是采用內(nèi)嵌密鑰以及直接投毒的方式進行傳播;在黑客的聯(lián)系方式上，則更多地使用了電子郵箱、洋蔥網(wǎng)絡聊天室以及Telegram;黑客攻擊的主要手段是對設備直接進行入侵或橫向移動入侵，其中遠程桌面弱口令攻擊是最常見攻擊手段。

從勒索病毒入侵來源國家或地區(qū)占比來看，美國、法國、俄羅斯分別以28.18%、17.21%、12.10%的比例位居前三;從勒索聯(lián)系郵箱的供應商分布來看，勒索病毒作者更偏愛ProtonMail、Tutanota、Aol三家網(wǎng)站所提供的郵箱服務，而這或許是出于自身習慣、隱藏信息、注冊便捷度等幾方面綜合考慮后的結(jié)果。

從攻擊手段來看，弱口令攻擊——即有限口令暴破攻擊,依然是今年最為流行的攻擊手段。使用過于簡單的口令、已經(jīng)泄露的口令或一些內(nèi)置的固定口令是造成設備被攻陷的最常見原因。其中，針對企業(yè)的勒索病毒攻擊，是企業(yè)當前最為擔憂的一類安全問題，對企業(yè)的勒索也貢獻了絕大部分的贖金收入。

受疫情影響，釣魚軟件攻擊也變得活躍起來。例如今年就出現(xiàn)使用COVID-19相關內(nèi)容主題做為釣魚誘餌的攻擊，使用的主題有：“疫苗、口罩供應不足”、“健康調(diào)查報告”、“冠狀病毒最新信息”等，攻擊者總是能找到最引人關注的話題，誘騙被攻擊者打開釣魚郵件。

值得一提的是，供應鏈攻擊也在最近幾年的安全事件中頻頻發(fā)生，其隱蔽性較高、發(fā)現(xiàn)難度大、影響范圍廣、時間跨度長，經(jīng)常被APT組織用來作為攻擊工具。比如2020年底震動整個安全圈的SolarWinds供應鏈攻擊——手法隱蔽，攻擊持續(xù)了近一年時間，受影響大型公司、政府部門有上千家之多，足見其威力巨大。

此外，利用系統(tǒng)與軟件漏洞攻擊、網(wǎng)站掛馬攻擊和破解軟件與激活工具攻擊也是攻擊者常用的“投毒”方式。

勒索病毒深刻影響現(xiàn)實生活秩序 360安全大腦利劍出擊

2020年，新冠疫情深刻影響了大眾的生活、工作方式，線上辦公、遠程會議、各類智能識別技術等信息技術手段都參與到了我們現(xiàn)實生活的世界中。在我們享受信息技術帶來的便利的同時，伴隨而來的網(wǎng)絡攻擊——尤其是勒索病毒攻擊，對現(xiàn)實生活秩序的影響力也越來越大。

在勒索病毒威脅面前，沒有人能夠置身事外。例如今年9月，德國杜塞多夫大學醫(yī)院遭勒索軟件攻擊之后轉(zhuǎn)院的病人因搶救不及時死亡。而國內(nèi)的情況也不容樂觀，企業(yè)、醫(yī)院、政府部門因勒索病毒原因停工、停產(chǎn)、業(yè)務暫停的情況也有發(fā)生?？梢哉f，勒索病毒不再只是一個安全行業(yè)的詞匯，也更多的影響著普通大眾。

關于未來的發(fā)展趨勢，根據(jù)報告預測可以得知，勒索病毒的攻擊形式隨著技術發(fā)展不斷變化，其傳播方式、攻擊目標突破傳統(tǒng)局限性，向多元化、低門檻、廣分發(fā)等方向傳播。其中，信息泄露加劇、攻擊手段升級、變現(xiàn)渠道拓寬、勒索軟件擴散，都是值得密切關注的發(fā)展方向。在此基礎上，勒索病毒對政企和個人用戶帶來的安全威脅將不可同日而語。

對此，報告著重介紹了360安全大腦的反勒索防護能力，綜合360安全大腦驅(qū)動下的360解密大師、360安全衛(wèi)士和反勒索服務的整體實力，對抗勒索病毒這一首要威脅。在360安全大腦強勢賦能下，360解密大師作為全球規(guī)模最大、最有效的勒索病毒解密工具，2020年全年共計更新版本19次，新增25個家族及變種的解密，累計支持解密勒索病毒超過345種，2020年全年服務用戶超20651臺次，解密文件近1354萬次，挽回損失超4億元人民幣。

與此同時，針對令暴破攻擊和系統(tǒng)或軟件服務漏洞攻擊，360安全衛(wèi)士提供了“遠程桌面暴破防護”、RPC暴破防護、SMB協(xié)議暴破防護、SQL Server暴破防護、VNC暴破防護、Tomcat暴破防護等一系列防護，同時還增加了對金萬維、瑞友的防護支持;在漏洞保護方面，增加有WebLogic、JBoss、Tomcat等多種服務器常見軟件的漏洞防護，以及大量系統(tǒng)漏洞的防護能力。而針對企業(yè)內(nèi)網(wǎng)被滲透的問題，360安全衛(wèi)士新增了橫向滲透防護、無文件攻擊防護、常用軟件保護等安全能力，結(jié)合漏洞防護保障企業(yè)內(nèi)網(wǎng)不被輕易拿下。

最后，面對嚴峻的勒索病毒威脅態(tài)勢，360安全團隊分別為個人用戶和企業(yè)用戶給出有針對性的安全建議，希望能夠幫助盡可能多的用戶全方位的保護計算機安全，免受勒索病毒感染。

對于個人用戶來說，養(yǎng)成良好的安全習慣，是免遭勒索病毒攻擊的關鍵：

1、電腦應當安裝具有高級威脅防護能力和主動防御功能的安全軟件，不隨意退出安全軟件或關閉防護功能，對安全軟件提示的各類風險行為不要輕易采取放行操作;

2、可使用安全軟件的漏洞修復功能，第一時間為操作系統(tǒng)和瀏覽器，常用軟件打好補丁，以免病毒利用漏洞入侵電腦;

3、盡量使用安全瀏覽器，減少遭遇掛馬攻擊、釣魚網(wǎng)站的風險;

4、重要文檔、數(shù)據(jù)應經(jīng)常做備份，一旦文件損壞或丟失，也可以及時找回;

5、電腦設置的口令要足夠復雜，包括數(shù)字、大小寫字母、符號且長度至少應該有8位，不使用弱口令，以防攻擊者破解;

6、一旦電腦被勒索軟件感染，可以通過360反勒索服務尋求幫助，以盡可能的減小自身損失;

對于企業(yè)用戶來說，做好企業(yè)信息系統(tǒng)的保護是重中之重：

1、應及時修復辦公終端和服務器漏洞、打補丁;

2、盡量關閉不必要的服務與對應端口，做到不對外提供服務的設備不暴露于公網(wǎng)，降低對外服務系統(tǒng)的權(quán)限;

3、用復雜的登錄口令并定期更換十分重要，可及時避免受到當下流行的弱口令攻擊;

4、注意提升安全運維人員的職業(yè)素養(yǎng)，時刻保持其警惕性;

5、發(fā)現(xiàn)中毒機器應立即關閉其網(wǎng)絡和該計算機。關閉網(wǎng)絡能阻止勒索病毒在內(nèi)網(wǎng)橫向傳播，關閉計算機能及時阻止勒索病毒繼續(xù)加密文件;同時聯(lián)系安全廠商，對內(nèi)部網(wǎng)絡進行排查處理;公司內(nèi)部所有機器口令均應更換，你無法確定黑客掌握了內(nèi)部多少機器的口令。

最后，360安全團隊提醒用戶——無論是個人用戶還是企業(yè)用戶，一定不要支付贖金。支付贖金不僅變相鼓勵了勒索攻擊行為，而且解密的過程還可能會帶來新的安全風險。可以嘗試通過備份、數(shù)據(jù)恢復、數(shù)據(jù)修復等手段挽回部分損失。

圍繞《2020年勒索病毒疫情分析報告》，360安全大腦全面、深刻地分析了本年度勒索病毒現(xiàn)狀，并通過數(shù)據(jù)分析和趨勢預判，幫助廣大互聯(lián)網(wǎng)用戶深入了解當前勒索病毒發(fā)展態(tài)勢。未來，360安全大腦將繼續(xù)專注于流行病毒木馬的監(jiān)測、防御、處置和新安全威脅研究，在此基礎上為用戶提供橫向滲透防護、無文件攻擊防護、軟件劫持防護、挖礦木馬防護等多項防護功能，保護廣大網(wǎng)民與企業(yè)的上網(wǎng)安全。

（免責聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。
任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內(nèi)容或斷開相關鏈接。 ）