2018上半年勒索病毒趋势分析

一、勒索病毒表现出五大新特点

通过对勒索病毒的长期监测与跟踪分析，发现2018年上半年勒索病毒的攻击目标、传播方式、技术门槛、新家族/变种、赎金支付方式等方面均呈现出新的特点：

1. Windows服务器成重灾区，中小企业受灾严重

从2017年下半年开始，勒索病毒的攻击目标逐渐从个人用户转向服务器及企业用户，由于这部分电脑的文件被加密后可能会导致企业服务中断或正常经营受影响，数据资产价值要远高于个人用户，因此主动支付赎金的意愿较高。从感染量来说这部分可能并不高，但造成的损失和影响范围却远高于个人用户。年初国内2家医院连遭比特币勒索，所有数据文件被强行加密，导致系统瘫痪，患者一度无法正常就医。

中小企业由于在安全方面投入不足，缺乏专业的安全运维，漏洞修补不及时，一直以来都是黑客攻击的重灾区。同时由于文件被加密后严重影响到正常的服务或经营，只能被迫支付赎金，这也进一步助长了勒索病毒对Windows服务器和中小企业的攻击，同时也开始出现一些针对特定目标的精准勒索。

2. 通过RDP弱口令暴力破解服务器密码人工投毒成为主流传播方式

勒索病毒之前的传播手段主要以钓鱼邮件、网页挂马、漏洞利用为主，例如Locky在高峰时期仅一家企业邮箱一天之内就遭受到上千万封勒索钓鱼邮件攻击。然而，从2016年下半年开始，随着Crysis/XTBL的出现，通过RDP弱口令暴力破解服务器密码人工投毒(常伴随共享文件夹感染)逐渐成为主角。到了2018年，几个影响力最大的勒索病毒几乎全都采用这种方式进行传播，这其中以GlobeImposter、Crysis为代表，感染用户数量最多，破坏性最强。

3. 新家族不断增多，变种更新频繁

从Locky、Cerber、WannaCry、NotPetya、GlobeImposter、Crysis、Satan等到后来的GandCrab、MindLost、Blackrouter、Avcrypt、Scarab、Paradise乃至XiaoBa、麒麟2.1等国产化勒索病毒，勒索病毒阵营不断壮大的同时变种也不断增多。典型的如“后起之秀“GandCrab，从2018年1月份被发现至今，半年不到的时间已经经历了4个大版本的更新。

4. 受害者支付赎金的方式多样化

除比特币外，门罗币、以太币逐渐被接受用于支付赎金(上海某公立医院系统被黑,黑客勒索价值2亿元以太币)，GandCrab则盯上了更加小众的DASH币(达世币，匿名性更高)。年初国外网络安全机构近日截获一组名为MindLost的新型勒索病毒，和以往的勒索病毒最大不同在于，MindLost不再要求“中招”用户使用比特币等数字货币支付赎金，而是要求受害者使用信用卡或借记卡支付赎金，以此来套取银行卡信息，进而将此信息出售给不法分子牟取更大利益。通过QQ等聊天 工具 传播的国产勒索病毒"麒麟2.1"则更是支持支付宝扫码转账。

5. 病毒制作和传播门槛不断降低

RDP 暴力破解是目前的主要传播方式，而且这种方式呈现流水化作业方式，爆破方和最终的病毒投放者可能是不同的团伙，后者可在黑产地下市场购买所谓的肉鸡进行勒索攻击。病毒制作也无需投放者亲自开发，黑产地下市场同样可购买专业的病毒制作工具，简单填写有几个参数就可生成新款的病毒程序，这更加降低了勒索病毒的技术门槛。

漏洞利用方面，大多借助成熟的利用工具进行攻击。比如2017年5.12日Wannacry爆发，“永恒之蓝”利用公开化，便出现了一系列利用“永恒之蓝”传播的勒索病毒、挖矿等恶意程序。还有RIG、GrandSoft等漏洞利用工具包、Flash 0day (CVE-2018-4878)、JBOSS反序列化漏洞(CVE-2017-12149)、JBOSS默认配置漏洞(CVE-2010-0738)、Weblogic WLS 组件漏洞(CVE-2017-10271)、PUT任意上传文件漏洞、Tomcat Web管理后台弱口令爆破等也被广泛利用。主攻Windows服务器的Satan勒索病毒的开发者甚至允许用户通过网站生成自己的Satan变种，并且提供CHM和带宏脚本Word文档的下载器生成脚本。AutoIt等脚本语言甚至采用一些正常的文件、磁盘加密软件用于勒索，勒索病毒从制作到传播的技术门槛不断降低。

二、最为活跃的四大勒索病毒家族

Globelmposter、Crysis、GandCrab、Satan是2018年上半年最为活跃的四大勒索病毒家族，传播量占到上半年勒索病毒传播总量的90%以上。

其中，GandCrab是2018年出现的新星，截至目前已经迅速迭代至4.1版本;Satan在半年时间内则更新了3大版本;期间更有国内外各种新型勒索病毒不断出现，比如肆虐北美的Samsam，以及2017年开始攻击韩国的Magniber 2018年上半年也开始进入我国，给网络安全及网络基础设施造成了严重的危害，波及人们日常生活的方方面面。

1. Globelmposter

Globelmposter家族在2017年5月份被首次发现，后陆续发现.freeman、.panda、.reserve、.true+、.walker、.gotham、.techno、.chak等多个变种。

今年春节刚过，国内2家医院先后被Globelmposter勒索病毒(.true变种)大规模攻击，要求6个小时内支付1个比特币，造成医院系统瘫痪，大批患者滞留、无法正常就医。

2. Crysis

2016年2月，恶意软件Crysis开始加入勒索功能，并于8月份被发现用于攻击澳大利亚和新西兰的企业。10月出现的XTBL变种则明确通过RDP暴力破解进行传播，中国境内有部分个人和企业开始受到攻击。Crysis后续不断发现有.dharma、.arena、.java、.arrow、.bip等变种在国内传播。

GlobeImposter和Crysis传播方式比较相似，根据我们对受害用户的分析发现主要是下面几种情况导致：第一大类为RDP爆破的方式，黑客远程登录用户计算机手动卸载或利用黑客工具关闭杀毒软件后人工投毒;其次则是由于文件共享的原因被加密，这类用户一般本机并没有感染病毒，而是局域网内其它机器染毒，造成这台机器共享出去的文件被加密。还有就是黑客一旦通过服务器登录进入内网后，会采用包括RDP爆破、Mimikatz渗透等方式进行内网横向移动，因此往往这种勒索病毒在同一个受害用户内部有多台机器被同时感染。正是上述原因使得GlobeImposter和Crysis成为感染量最多的勒索病毒。截至目前我们接到的用户反馈几乎全都是这种感染，这说明，继RDP暴力破解的传播方式在2017年成为主流后，2018年上半年仍是以此种方式为主。此外，钓鱼邮件、破解软件及伪装成正常程序诱导用户点击等也是其传播的渠道，不过量相对较少。Crysis和GlobeImposter勒索病毒的不同变种会有不同的联系邮箱，这意味着不同变种背后可能有不同的团队在传播。

3. GandCrab

GandCrab勒索病毒最早发现于2018年1月份，短短半年时间历经4大版本更新，7.1号出现的最新版本会将文件加密为.KRAB后缀(国内已有传播)，跟之前版本一样要求受害者通过TOR付款网站获取赎金金额：价值约1200-1600美金的比特币/达世币。

该病毒主要通过钓鱼邮件、网页挂马、浏览器漏洞及捆绑在破解软件中传播，此外还多次被发现通过伪装成网页乱码及Flash播放异常，诱导用户下载“字体更新”和“Flash“程序，该病毒截至目前尚未发现具有自动网络传播感染能力。

4. Satan

撒旦(Satan)勒索病毒首次出现2017年1月份，Satan病毒的开发者通过网站(已关闭)允许用户生成自己的Satan变种，并且提供CHM和带有宏脚本的WORD文档下载器的生成脚本。截至2018年6月，Satan已更新至第四个大版本(其中有3个大版本是最近半年更新的)，加密后缀从.stn变为.dbger，赎金也从0.1个比特币一路上涨至1个比特币，并声称超过三天不付赎金就不会再帮助用户解密文件。

传播上除RDP远程爆破、“永恒之蓝“外，还利用了Weblogic WLS 组件漏洞(CVE-2017-10271)、Tomcat web管理后台弱口令爆破、Put任意上传文件漏洞、JBoss反序列化漏洞(CVE-2017-12149)等一系列Web服务器漏洞，主要针对服务器的数据库文件进行加密，非常具有针对性。

三. 拒绝勒索病毒的技巧

提醒各位个人用户及企业内网、服务器管理员养成良好的安全习惯，提高风险防范意识，并正确使用安全软件，避免勒索病毒给我们的工作和生活造成严重影响或重大损失：

(1)避免弱口令，弱口令是目前主机安全第一大安全隐患，应力避。建议登录口令尽量采用大小写、字母、数字、特殊符号混合的组合结构，且口令位数应足够长，并在登陆安全策略里限制登录失败次数，定期更换登录口令。

(2)多台机器不使用相同或相似的口令。

(3)重要资料定期隔离备份。

(4)定期检测系统漏洞并修复，及时更新Flash、 Java 、以及一系列Web服务程序，打齐安全补丁。

(5)共享文件夹设置访问权限管理，尽量采用云协作或内部搭建的wiki系统实现资料共享。

(6)如非需要，尽量关闭3389、445、139、135等不用的高危端口，禁用Office宏。

(7)不要点击陌生链接、来源不明的邮件附件，打开前使用安全扫描，确认安全性，尽量从软件管家或官网等可信渠道下载软件。

(8)安装专业的安全防护软件，保持监控开启，并经常更新病毒库。

(9)对于安全软件报毒的程序，特别是辅助、破解类软件不要主观觉得是误报，尽量上传至VT等在线扫描引擎查下报毒情况。