國內勒索病毒疫情嚴重 每天十多萬台電腦被感染

火絨安全團隊發出安全警報，國內勒索病毒疫情非常嚴峻，政府、企業和個人用戶都在被攻擊之列，而系統漏洞是勒索軟體攻擊的主要入口。

根據「火絨威脅情報系統」監測和評估，每天感染用戶電腦的勒索病毒有10多種（家族），每天感染量高達10-15萬台電腦，其中以漏洞為傳播途徑的勒索病毒佔90%以上。

圖：勒索病毒單日攻擊次數最多的5個

由上圖可見，雖然勒索病毒有系統漏洞、病毒郵件、網頁掛馬等多種傳播途徑，但通過漏洞傳播的勒索病毒感染數量最多，給機構和個人帶來的危害最大。上述被感染用戶的共同特點是電腦裸奔——既沒給系統漏洞安裝補丁程序，也沒有安裝合格的安全軟體。

另外，國內大量用戶使用盜版系統，導致系統補丁更新不及時或者更新困難，也是病毒疫情高居不下的重要原因。

案例一：福建某上市公司的伺服器被勒索病毒Ransom/Bunnyde入侵，導致該企業核心的ERP（財務系統）資料庫被加密，向病毒團伙支付了數萬人民幣贖金後，獲得密鑰恢復了數據。該病毒是利用垃圾郵件和漏洞等方式傳播，火絨工程師調查發現，該企業伺服器既沒安裝補丁程序，又沒安裝任何安全軟體。

案例二：某個人網站運營者的電腦感染了勒索病毒，導致其網站大部分數據被加密，迫不得已暫時關停了網站。火絨工程師調查發現，該網友使用的伺服器系統Windows Server 2008存在風險漏洞，但是沒有安裝SP補丁和其他的系統補丁，同時也沒有安裝任何安全軟體，所以被勒索病毒輕而易舉地入侵。

圖：某個人網站運營者電腦感染了勒索病毒

案例三：某高校學生電腦連接學校網路時，被通過校園網主機系統漏洞進入的勒索病毒感染，包括畢業論文在內的所有文件被加密，該病毒提示需要支付近1萬元人民幣贖金。可悲的是，該學生支付贖金後，病毒團伙並沒有提供任何解密方式（部分勒索病毒團伙會「講信用」，拿到贖金後提供解密密鑰）。

火絨工程師表示，一旦電腦數據被勒索病毒加密，幾乎沒有任何辦法來破解，用戶要麼放棄這些資料，要麼支付贖金來獲得解密鑰匙。而且，有些病毒團伙「不講信用」，拿到贖金並不提供密鑰，還有「Petya」這樣的反社會型勒索病毒，只為破壞不為掙錢，其贖金支付流程根本走不通。

火絨安全團隊提醒廣大用戶，防禦勒索病毒的唯一辦法是提前預防——給系統打補丁，安裝合格的安全軟體。同時，不要輕易點擊來路不明的郵件附件和網站鏈接。

天融信今天也發布一篇《警告!新型勒索病毒GlobeImposter即將爆發》的文章，內容如下：

近日，勒索病毒最新變種GlobeImposter正在國內蔓延,有感染暴發趨勢。GlobeImposter是近年常見勒索病毒globe的升級變異，採用2048位非對稱加密演算法進行加密，解密難度大，目前暫無有效的恢復工具。

自2017年以來GlobeImposter衍生了多個變種，可對文件加密並統一修改文件後綴為「doc」、「f41o1」、「chak」、「true」等。目前已有多家院校、醫療機構受到勒索攻擊，導致業務停滯，損失慘重！

GlobeImposter傳播的手段極其豐富，可通過網路、社會工程郵件、網頁插件、移動存儲介質等進行傳播，再結合社會工程學，誘騙受害者激活惡意代碼。

解決方案

1、天融信終端威脅防禦系統通過特徵掃描、動態啟發式掃描、反病毒解碼等技術實現對病毒和惡意行為的精準識別。

2、天融信終端威脅防禦系統基於強大的雲沙箱平台，通過高模擬環境模擬，讓其變種的病毒「認為」運行在真實環境中，釋放真正的行為。無懼惡意軟體在文件層面的各種變形。

3、天融信終端威脅防禦系統內置的增強級勒索防護功能，通過誘餌捕獲方式為用戶有效檢測未知新型的勒索病毒文件。

溫馨提示

目前勒索病毒激活後暫無有效的破解方法，但通過以下方式可進行有效的防範：

1、不要點擊來源不明的郵件以及附件；

2、及時升級系統、及時安裝系統補丁；

3、關閉不必要的共享許可權以及埠，如：3389、445、 135、 139等；

4、對重要文件進行實時備份。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！