2018上半年勒索病毒趨勢分析

早在2015年底，勒索病毒就大肆進入我國，隨著2016年2月Locky、Cerber等的大爆發，以及2017年5月12日WannaCry的肆虐（短短數小時內席捲全球150多個國家和地區），勒索病毒已經無人不知無人不曉。到了2018年上半年，勒索病毒又表現出哪些新特點？最活躍的勒索病毒家族又是哪幾個？該如何避免勒索病毒給我們的工作和生活造成嚴重影響或重大損失呢？360天擎團隊對2018年上半年的勒索病毒進行了深入的分析和研究，將為您一一解答。

勒索病毒表現出五大新特點

通過對勒索病毒的長期監測與跟蹤分析，360天擎團隊發現2018年上半年勒索病毒的攻擊目標、傳播方式、技術門檻、新家族/變種、贖金支付方式等方面均呈現出新的特點：

1

Windows伺服器成重災區，中小企業受災嚴重

從2017年下半年開始，勒索病毒的攻擊目標逐漸從個人用戶轉向伺服器及企業用戶，由於這部分電腦的文件被加密後可能會導致企業服務中斷或正常經營受影響，數據資產價值要遠高於個人用戶，因此主動支付贖金的意願較高。從感染量來說這部分可能並不高，但造成的損失和影響範圍卻遠高於個人用戶。年初國內2家醫院連遭比特幣勒索，所有數據文件被強行加密，導致系統癱瘓，患者一度無法正常就醫。

中小企業由於在安全方面投入不足，缺乏專業的安全運維，漏洞修補不及時，一直以來都是黑客攻擊的重災區。同時由於文件被加密後嚴重影響到正常的服務或經營，只能被迫支付贖金，這也進一步助長了勒索病毒對Windows伺服器和中小企業的攻擊，同時也開始出現一些針對特定目標的精準勒索。

2

通過RDP弱口令暴力破解伺服器密碼人工投毒成為主流傳播方式

勒索病毒之前的傳播手段主要以釣魚郵件、網頁掛馬、漏洞利用為主，例如Locky在高峰時期僅一家企業郵箱一天之內就遭受到上千萬封勒索釣魚郵件攻擊。然而，從2016年下半年開始，隨著Crysis/XTBL的出現，通過RDP弱口令暴力破解伺服器密碼人工投毒（常伴隨共享文件夾感染）逐漸成為主角。到了2018年，幾個影響力最大的勒索病毒幾乎全都採用這種方式進行傳播，這其中以GlobeImposter、Crysis為代表，感染用戶數量最多，破壞性最強。

3

新家族不斷增多，變種更新頻繁

從Locky、Cerber、WannaCry、NotPetya、GlobeImposter、Crysis、Satan等到後來的GandCrab、MindLost、Blackrouter、Avcrypt、Scarab、Paradise乃至XiaoBa、麒麟2.1等國產化勒索病毒，勒索病毒陣營不斷壯大的同時變種也不斷增多。典型的如「後起之秀「GandCrab，從2018年1月份被發現至今，半年不到的時間已經經歷了4個大版本的更新。

4

受害者支付贖金的方式多樣化

除比特幣外，門羅幣、以太幣逐漸被接受用於支付贖金（上海某公立醫院系統被黑,黑客勒索價值2億元以太幣），GandCrab則盯上了更加小眾的DASH幣(達世幣，匿名性更高）。年初國外網路安全機構近日截獲一組名為MindLost的新型勒索病毒，和以往的勒索病毒最大不同在於，MindLost不再要求「中招」用戶使用比特幣等數字貨幣支付贖金，而是要求受害者使用信用卡或借記卡支付贖金，以此來套取銀行卡信息，進而將此信息出售給不法分子牟取更大利益。通過QQ等聊天工具傳播的國產勒索病毒"麒麟2.1"則更是支持支付寶掃碼轉賬。

5

病毒製作和傳播門檻不斷降低

RDP 暴力破解是目前的主要傳播方式，而且這種方式呈現流水化作業方式，爆破方和最終的病毒投放者可能是不同的團伙，後者可在黑產地下市場購買所謂的肉雞進行勒索攻擊。病毒製作也無需投放者親自開發，黑產地下市場同樣可購買專業的病毒製作工具，簡單填寫有幾個參數就可生成新款的病毒程序，這更加降低了勒索病毒的技術門檻。

漏洞利用方面，大多藉助成熟的利用工具進行攻擊。比如2017年5.12日Wannacry爆發，「永恆之藍」利用公開化，便出現了一系列利用「永恆之藍」傳播的勒索病毒、挖礦等惡意程序。還有RIG、GrandSoft等漏洞利用工具包、Flash 0day (CVE-2018-4878)、JBOSS反序列化漏洞（CVE-2017-12149）、JBOSS默認配置漏洞（CVE-2010-0738）、Weblogic WLS 組件漏洞（CVE-2017-10271）、PUT任意上傳文件漏洞、Tomcat Web管理後台弱口令爆破等也被廣泛利用。主攻Windows伺服器的Satan勒索病毒的開發者甚至允許用戶通過網站生成自己的Satan變種，並且提供CHM和帶宏腳本Word文檔的下載器生成腳本。

AutoIt等腳本語言甚至採用一些正常的文件、磁碟加密軟體用于勒索，勒索病毒從製作到傳播的技術門檻不斷降低。

最為活躍的四大勒索病毒家族

綜合2018年360雲查大數據及用戶反饋，360天擎團隊發現，Globelmposter、Crysis、GandCrab、Satan是2018年上半年最為活躍的四大勒索病毒家族，傳播量佔到上半年勒索病毒傳播總量的90%以上。

其中，GandCrab是2018年出現的新星，截至目前已經迅速迭代至4.1版本；Satan在半年時間內則更新了3大版本；期間更有國內外各種新型勒索病毒不斷出現，比如肆虐北美的Samsam，以及2017年開始攻擊韓國的Magniber 2018年上半年也開始進入我國，給網路安全及網路基礎設施造成了嚴重的危害，波及人們日常生活的方方面面。

1

Globelmposter

Globelmposter家族在2017年5月份被首次發現，後陸續發現.freeman、.panda、.reserve、.true+、.walker、.gotham、.techno、.chak等多個變種。

今年春節剛過，國內2家醫院先後被Globelmposter勒索病毒（.true變種）大規模攻擊，要求6個小時內支付1個比特幣，造成醫院系統癱瘓，大批患者滯留、無法正常就醫。360天擎團隊緊急響應迅速推出對賬號弱口令檢測以及Globelmposter勒索病毒的查殺的工具，該工具主要用於檢測終端的賬戶是否存在弱口令以及adninistrator賬號，並掃描終端文件，對Globelmposter勒索病毒進行查殺。

下載地址：http://dl.b.360.cn/tools/FocusTool.exe

2

Crysis

2016年2月，惡意軟體Crysis開始加入勒索功能，並於8月份被發現用於攻擊澳大利亞和紐西蘭的企業。10月出現的XTBL變種則明確通過RDP暴力破解進行傳播，中國境內有部分個人和企業開始受到攻擊。Crysis後續不斷發現有.dharma、.arena、.java、.arrow、.bip等變種在國內傳播。

GlobeImposter和Crysis傳播方式比較相似，根據我們對受害用戶的分析發現主要是下面幾種情況導致：第一大類為RDP爆破的方式，黑客遠程登錄用戶計算機手動卸載或利用黑客工具關閉殺毒軟體後人工投毒；其次則是由於文件共享的原因被加密，這類用戶一般本機並沒有感染病毒，而是區域網內其它機器染毒，造成這台機器共享出去的文件被加密。還有就是黑客一旦通過伺服器登錄進入內網後，會採用包括RDP爆破、Mimikatz滲透等方式進行內網橫向移動，因此往往這種勒索病毒在同一個受害用戶內部有多台機器被同時感染。正是上述原因使得GlobeImposter和Crysis成為感染量最多的勒索病毒。截至目前我們接到的用戶反饋幾乎全都是這種感染，這說明，繼RDP暴力破解的傳播方式在2017年成為主流後，2018年上半年仍是以此種方式為主。此外，釣魚郵件、破解軟體及偽裝成正常程序誘導用戶點擊等也是其傳播的渠道，不過量相對較少。

Crysis和GlobeImposter勒索病毒的不同變種會有不同的聯繫郵箱，這意味著不同變種背後可能有不同的團隊在傳播。

3

GandCrab

GandCrab勒索病毒最早發現於2018年1月份，短短半年時間歷經4大版本更新，7.1號出現的最新版本會將文件加密為.KRAB後綴（國內已有傳播），跟之前版本一樣要求受害者通過TOR付款網站獲取贖金金額：價值約1200-1600美金的比特幣/達世幣。

該病毒主要通過釣魚郵件、網頁掛馬、瀏覽器漏洞及捆綁在破解軟體中傳播，此外還多次被發現通過偽裝成網頁亂碼及Flash播放異常，誘導用戶下載「字體更新」和「Flash「程序，該病毒截至目前尚未發現具有自動網路傳播感染能力。

4

Satan

撒旦（Satan）勒索病毒首次出現2017年1月份，Satan病毒的開發者通過網站（已關閉）允許用戶生成自己的Satan變種，並且提供CHM和帶有宏腳本的WORD文檔下載器的生成腳本。截至2018年6月，Satan已更新至第四個大版本（其中有3個大版本是最近半年更新的），加密後綴從.stn變為.dbger，贖金也從0.1個比特幣一路上漲至1個比特幣，並聲稱超過三天不付贖金就不會再幫助用戶解密文件。

傳播上除RDP遠程爆破、「永恆之藍「外，還利用了Weblogic WLS 組件漏洞（CVE-2017-10271）、Tomcat web管理後台弱口令爆破、Put任意上傳文件漏洞、JBoss反序列化漏洞（CVE-2017-12149）等一系列Web伺服器漏洞，主要針對伺服器的資料庫文件進行加密，非常具有針對性。

拒絕勒索病毒的九大技巧

360天擎團隊提醒各位個人用戶及企業內網、伺服器管理員養成良好的安全習慣，提高風險防範意識，並正確使用安全軟體，避免勒索病毒給我們的工作和生活造成嚴重影響或重大損失：

1

養成良好安全習慣

（1）避免弱口令，弱口令是目前主機安全第一大安全隱患，應力避。建議登錄口令盡量採用大小寫、字母、數字、特殊符號混合的組合結構，且口令位數應足夠長，並在登陸安全策略里限制登錄失敗次數，定期更換登錄口令。

（2）多台機器不使用相同或相似的口令。

（3）重要資料定期隔離備份。

（4）定期檢測系統漏洞並修復，及時更新Flash、Java、以及一系列Web服務程序，打齊安全補丁。

2

提高風險防範意識

（5）共享文件夾設置訪問許可權管理，盡量採用雲協作或內部搭建的wiki系統實現資料共享。

（6）如非需要，盡量關閉3389、445、139、135等不用的高危埠，禁用Office宏。

（7）不要點擊陌生鏈接、來源不明的郵件附件，打開前使用安全掃描，確認安全性，盡量從軟體管家或官網等可信渠道下載軟體。

3

正確使用安全軟體

（8）安裝專業的安全防護軟體，保持監控開啟，並經常更新病毒庫，建議企業用戶安裝360天擎進行統一管理。針對伺服器攻擊，360天擎特推出伺服器安全管理產品，可用於主機的防黑加固。

（9）對於安全軟體報毒的程序，特別是輔助、破解類軟體不要主觀覺得是誤報，盡量上傳至VT等在線掃描引擎查下報毒情況。

關於360天擎

360天擎新一代終端安全管理系統是360企業安全集團為解決政企機構終端安全問題而推出的一體化解決方案。系統以安全防禦為核心，以運維管控為重點，以可視化管理為支撐，以可靠服務為保障，能夠幫助用戶有效抵禦已知病毒、0day漏洞、未知惡意代碼，實現終端安全准入管理、軟硬體資產管理、統一運維管控、終端安全審計、系統安全加固等功能，是中國政企客戶3300萬終端的信賴之選。

為了加強政企客戶對抗勒索病毒的信心，自2016 年9月6日之日起，360企業安全正式宣布，向所有360天擎政企用戶免費推出敲詐先賠服務：如果用戶在開啟了360天擎敲詐先賠功能後，仍感染了勒索病毒，360企業安全將負責賠付贖金，為政企用戶提供百萬先賠保障。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！