2020勒索病毒回顾：当“绑票”也变得高科技

图/IC Photo

文/DoNews 李昊原
编辑/杨博丞 

科技是一把双刃剑，能够推动社会发展，也有可能带来破坏。2020年，我们遗憾地看到，恶名昭著的勒索病毒并没有销声匿迹，反而开始进入快速产业化的新阶段。 

2017年到2019年，挖矿病毒和勒索病毒已经成为网络病毒的两大主流，这两类病毒前者擅长“偷窃”，可以潜伏在受害者主机中，利用计算资源来挖..，闷声发大财；而后者就是明目张胆的“绑票”，一旦得手，就扣住“人质”，向受害者讨要赎金。 

到了2020年，勒索病毒的“生意”却越做越大，攻击对象也从以往个人为主，到开拓了企业的新市场。据统计，2020年有超过1000家中大型企业被勒索病毒攻击，从造成的损失来看，假如这是真实绑架案，作案团伙可能早就被全球警方联合剿灭了，但对勒索病毒团伙的抓捕，却难上加难。 

有公司在赔钱，还有人送了命 

距离现在最近，也是涉及数额最大的，是2020年12月对富士康的勒索病毒攻击。当时富士康位于墨西哥工厂的服务器遭到勒索病毒攻击，攻击者向富士康限期21天索要1804.0955枚..——按当时的汇率计算，约合3468.6万美元或2.3亿元人民币。 

事后黑客组织DoppelPaymer宣布对此次事件负责，声称入侵并加密了富士康北美厂区约1200台服务器，同时还窃取了其中100GB的未加密文件，删除了20~30TB的备份。不过好在富士康的技术团队及时加强了安全防护，富士康也表示，对公司整体的运营影响不大。 

过去一年同样遭受勒索病毒攻击的知名企业，还有海力士、LG、佳明等，不仅影响了业务正常运行，带来了经济损失，还导致了数据损坏、数据泄露的风险。至于是否缴纳了赎金，海力士、LG没有对外公布，佳明则被攻击方开出了1000万美元的赎金，并被迫缴纳。 

2020年的疫情，让企业纷纷开始线上办公，大幅推动了数字化转型，不过，也刺激了黑产的进化。实际上勒索病毒的套路，已经算是花样百出，比起“绑票”要复杂多了。 

“绑票”的人会在拿不到赎金的时候给家人打恐吓电话，勒索病毒的攻击者则会一边要赎金，一边公开企业重要数据。2019年5月，Maze家族勒索病毒首次被捕获，4个月后这个家族宣布，如果受害者不支付赎金，就将公布窃取到的数据。在他们的官方网站“迷宫新闻网”上，有超过180家未支付赎金的公司的数据供所有人下载和查看。 

虽然2020年11月1日，Maze勒索病毒家族宣布该项目正式关闭，却开启了这种模式的先河，目前已经有超20个家族的勒索病毒，以泄露隐私数据为要挟来勒索赎金。

看到这些信息的人，有可能刚好就是被泄密企业的竞争对手，攻击方在攻破知名公司后，常常也会主动宣扬，给企业带来负面影响，甚至会直接倒卖给其竞争对手。 

勒索病毒的攻击本身还具备随机覆盖性，会导致远超赎金的伤害，比如人的生命。据统计，医疗行业一直是受到勒索病毒攻击的最多的行业之一，在2020年9月，又有黑客用勒索病毒试图攻击德国海因里希·海涅大学，不料杜塞多夫大学医院却遭到连带攻击，被迫关闭急诊室。 

当时该院的一名急诊病人因此被转至20英里外的另一所医院救治，虽然在事发后不久，病毒作者就撤回了攻击，并提供了用于解密文件的密钥，但这名病人还是因为没有及时得到治疗而死亡。目前德国司法机关已按照过失杀人罪对此次攻击活动展开调查，这也是目前全球公开报道中，第一例因勒索病毒攻击直接导致人员死亡的案例。

那被勒索病毒攻击后，是不是赶紧交赎金就万事大吉了呢？很遗憾，并不是，360安全专家介绍，虽然有的黑客是“盗亦有道”，但显然用道德来约束他们是不可能的，有的时候即使支付了赎金，但系统可能已经被安上后门，之后还会被二次感染；还有的则是连对方都无法解除病毒了——曾有过这样的案例，网络红人“歪果仁研究协会”遭受多次病毒攻击，需要向多个黑客支付赎金，这笔赎金不仅是一笔巨款，如果支付环节出现任何纰漏，数据资产也将化为泡影。 

回到国内，据360发布的《2020勒索病毒疫情分析报告》显示，目前我国被勒索病毒感染的系统中，60.01%来自桌面系统，38.99%是服务器系统；具体来看，Windows 10系统占比最高，占到总量的31.14%，而第二名的Windows 7系统占比为27.39%。 

绝大多数的受害者都是个人与中小企业，可以说勒索病毒赚的都是不义之财，好在调查中，98%的受害者表示自己拒绝了勒索，其中45%的人是不相信黑客会信守承诺，还有近25%的受害者是单纯不想纵容黑客的这种行为。 

但损失依旧造成了，在2020年，仅360安全大脑的反勒索服务就接收、处理和确认了超过3700例勒索病毒攻击。 

勒索病毒的大发展 

勒索病毒之所以如此猖獗，源于它能够快速变现。  

以往抓“肉鸡”、建设僵尸网络、数据窃取倒卖、虚拟财产窃取、流量倒卖等攻击方式，不仅对规模和设备资产情况有要求，而且涉及环节较多，操作复杂且暴露风险高。而勒索病毒的变现方式粗暴直接，同时经常与另一主流变现方式“挖矿”伴生，也因此被越来越多的网络“灰黑”产广泛应用。 

伴随着数字化的推进，线上与线下世界逐渐重合，勒索病毒对现实的影响力也不断增大，2020年，除了企业机构，还有很多市政机构、医院、学校、警察部门等公共机构也遭到攻击。另一方面，勒索病毒的攻击方式也在与时俱进，推陈出新。 

传统勒索主要以加密文件、数据库、磁盘等方式，影响信息系统正常运作，迫使受害者支付赎金。2019年11月开始，上文提到的Maze率先在加密勒索的同时，也窃取数据并以公开数据为要，挟迫使企业就范，比如佳明公司，就因此被迫支付了赎金。 

勒索病毒的技术手段也不断加强，从病毒特征的免杀对抗，到传播渠道拓展，各种高级威胁的技术手段在勒索病毒的传播中得到应用。比如2020年3月，REvil团伙就利用Weblogic漏洞结合无文件攻击技术传播Sodinokibi勒索病毒，Nday乃至0day漏洞也被更多地应用于传播链条之中。 

勒索病毒的发起者也加有组织化、长期化。在针对一些高价值目标（知名企业等）的攻击中，勒索病毒不再“浅尝辄止”，在发起勒索攻击之前，攻击者已经控制企业网络相当长一段时间，并通过横向渗透不断扩展攻击范围和窃取更多数据，直到攻击者掌握足够设备和数据之后，才会发起最后的攻击——这也让受害者的损失更加惨重。 

在暗网公开的被攻击企业数据中，包含大量世界500强企业和知名跨国企业，比如惠而浦、本田、佳能都在其名单中。这主要是因为，大型企业有较高的支付能力和支付意愿，而攻击一旦成功，黑客动辄开价上千万美元，甚至上亿美元，目前勒索病毒绝大多数的收入也来自企业。 

部分勒索病毒家族，甚至开始专注特定领域，比如GlobaImposter针对医疗行业的攻击就较为频繁。由于特定行业有着类似的IT部署方案和IT系统，甚至使用相同的系统集成商设备，也就意味着同样的防护弱点，可能在同行业的多家企业中同时出现。一个攻击团伙在拿下一家企业之后，能够如法炮制地攻击行业内的其它企业，不断积累经验。 

这几年SaaS（软件即服务）成为创业的热点，在黑产中，RaaS（勒索软件即服务）也成为了新的潮流，勒索病毒制作、传播、获利的整个链条分工更加明确，造成的破坏自然也更大。 

据报告显示，目前勒索病毒的主要入侵方式是远程桌面入侵，其次是共享文件夹被加密。 

主要攻击手段有弱口令攻击、横向渗透、钓鱼邮件、利用系统漏洞或应用软件漏洞攻击、网站挂马攻击、破解软件与激活工具、僵尸网络和供应链攻击等。 

其中弱口令攻击，也就是有限口令暴破攻击，是最为流行的攻击手段。造成设备被攻陷的最常见原因就是使用过于简单的口令、已经泄露的口令或一些内置的固定口令，在2020年国内排名前10的勒索病毒家族中，有9个家族均涉及到弱口令攻击传播，其中8个家族以弱口令攻击作为主要传播手段。 

一旦勒索病毒拿下企业的某个客户端，就可以利用多种攻击手段，横向渗透到内网其它设备中，导致企业大量设备同时中招。比如Clop勒索病毒团伙，在拿下企业一台设备后，会通过抓密码、扫端口的方式探测内网其它机器，并寻找机会攻击企业域控服务器，在拿下域控之后，便控制整个网络投递病毒。 

通过mimikatz抓取当前计算机账户密码的过程 

2020年，从通过数据泄露进行勒索获利来看，全球前三大勒索病毒家族则分别为Maze家族（占比22.67%）、Egregor家族（占比16.12%）和Conti家族（占比14.05%）。  

在中国，Windows系统下的phobos、GlobeImposter、Crysis成为三大勒索病毒家族，造成全部受害者的占比达到了52.46%，并且几乎每个月，都有新增的勒索病毒家族。而经济发达的地区，比如广东、浙江、江苏等省份，也是勒索病毒的重灾区，广东尤为严重，勒索病毒事件数量超过排名第二省份的两倍。 

拿什么来对抗勒索病毒？ 

对个人来说，养成良好的安全习惯，以及减少危险的上网操作，基本就能杜绝被勒索病毒感染的危险，毕竟几乎所有的个人用户都拒绝缴纳赎金，攻击方也没有花太多精力感染普通用户的必要。 

对个人电脑，杀毒软件和安全软件可以做到有效的防护，这也是许多勒索病毒在投递之前，通常会主动关闭杀毒软件或者诱使用户退出安全软件的原因。当然，世事无绝对，如果发生了，也要采取及时的补救措施。 

而对企业来说，这就是一个更复杂和严肃的问题了。 

作为安全行业的多年从业者，360安全专家认为，很多企业在被攻击之前，总觉得网络攻击是危言耸听，直到真的发生时才为时已晚。近些年来，最惨重的事件之一，可能就是2018年大家熟悉的台积电所遭受的病毒感染，造成多个主要厂区的生产线停止工作，有估计台积电的损失高达1.69亿至1.71亿美元。 

而黑客通过从受害者那里获取到高额的赎金后，又会招募更多有技术的黑客帮助传播勒索病毒。随着黑客团伙将企业视为“优质肉票”，针对性勒索病毒攻击的数量和强度都在提升，之前就曾有名为Netwalker的勒索软件公司招募合作伙伴，并提出会支付高达100万美金的奖金。这些合作伙伴将负责侵入网络并部署勒索软件，作为回报，他们将会获得它们带来的任何赎金的最大份额，约赎金的70%，而Netwalker获得剩下的30%。 

对企业信息系统的保护，是一项系统化工程，在企业信息化建设初期就应该加以考虑，否则就像是在“裸奔”。在报告中，360给出针对企业用户的安全建议如下： 

首先是做好安全规划，包括网络架构，做到业务、数据、服务分离，内外网之间也要隔离，对外提供服务的设备要做严格管控；在企业终端和网络关键节点部署安全设备，并日常排查设备告警情况，例如360安全卫士团队版；做好权限控制，包括业务流程权限与人员账户权限，避免因为单个账户沦陷而造成更大范围影响；对关键数据和业务系统做好备份，包括离线备份，异地备份，云备份等，这样即使被攻击也可以找回数据。 

其次是安全管理，要严格执行账户口令安全管理，定期检查账户情况，及时停用非必要权限，对新增账户保持警惕，并及时更新系统、应用系统、硬件产品安全补丁，定期执行漏洞扫描，发现设备中存在的安全问题，强化内网的安全性。 

最后是人员管理，要对员工进行安全教育，培养员工安全意识，如识别钓鱼邮件、钓鱼页面等，还要制定工作行为规范，指导员工如何做好安全保障。 

假如企业还是遭受勒索病毒攻击，就要立即关闭被感染的网络和计算机，阻止勒索病毒在内网横向传播和加密文件，然后联系安全厂商，对内部网络进行排查处理。同时公司内部所有机器口令都应该更换——你无法确定黑客已经掌握了内部多少机器的口令。 

据统计，针对服务器的攻击占到整体勒索病毒攻击的39%以上，而服务器被攻击的常见原因包括口令暴破攻击和系统或软件服务漏洞攻击。目前对勒索病毒攻击的防御重点，主要是对病毒攻击迹象的早期发现预警，对病毒传播渠道的拦截防护，还有对主机的安全加固和对被加密文件的解密探索。 

360安全专家介绍，针对这一系列问题，360安全卫士提供了“远程桌面暴破防护”、RPC暴破防护、SMB协议暴破防护、SQLServer暴破防护、VNC暴破防护、Tomcat暴破防护等一系列防护，同时还增加了对金万维、瑞友的防护支持。 

在漏洞保护方面，增加有WebLogic、JBoss、Tomcat等多种服务器常见软件的漏洞防护，以及大量系统漏洞的防护能力。针对企业内网被渗透的问题，360安全卫士新增了横向渗透防护、无文件攻击防护、常用软件保护等安全能力，结合漏洞防护保障企业内网不被轻易拿下。 

值得一提的是，无论是个人还是企业，一旦被勒索软件敲诈，都不建议支付赎金！

首先，支付赎金变相鼓励了勒索攻击行为，其次，上文中也提到，支付赎金也可能会留下后遗症，甚至根本解决不了问题。360安全专家认为，优先的选项，是尝试通过备份、数据恢复、数据修复等手段挽回部分损失。比如部分勒索病毒只加密文件头部数据，对于某些类型的文件（如数据库文件），就可以尝试通过数据修复手段来修复被加密文件。目前360安全卫士提供的360解密大师，也是全球范围内支持解密类型最多的一款解密工具。在2020年，360解密大师更新版本19次，累计支持解密勒索病毒超过345种，共计服务用户超20651台次，解密文件近1354万次，按照单笔赎金3000美元估算，挽回的损失超过4亿元人民币。 

假如不得不支付赎金（比如被攻击的医院正在进行手术，或者有极为重要的文件等），也可以尝试和黑客协商来降低赎金价格，同时在协商过程中要避免暴露自己真实身份信息和紧急程度，以免黑客漫天要价。 

近年来，各国政府对勒索病毒问题的重视程度也在加大，对勒索病毒的打击力度加强。比如我国主管单位也发起过“勒索病毒的专项治理工作”，以加强机关单位对勒索病毒的重视程度与防护能力。从以往的经验来看，网络的攻防就像一场军备竞赛，只会愈演愈烈，无论是对个人还是对企业，都需要保持警惕，避免落入黑产的陷阱之中。 

每日话题

你也曾遭遇过勒索病毒吗？欢迎在评论区留下你的评论。

为回馈新老读者与粉丝，「DoNews」微博开启新年抽奖活动，好礼送不停，快来参加吧！

2021，多财好运，属你最牛！

 END

扫码关注

DoNews是中国领先的IT媒体网站。每天及时向您传递IT业界发生的各类新鲜资讯。有料、有趣，推送的每篇文章都不辜负您的关注。

点击“阅读原文”查看分析报告