一、上半年勒索病毒灾难事件

2019年，GandCrab勒索病毒运营团队宣称自己在一年半的时间里获利20亿美元，这一消息震惊全球，这个成功案例也将大大刺激更多不法分子继续经营勒索病毒业务。在我国大量攻击者借助恶意邮件、假冒司法机构发送暗藏GandCrab勒索病毒的伪装邮件，致多个政企机构内网被破坏。

2019年3月，世界最大的铝制品生产商挪威海德鲁公司（Norsk Hydro）遭遇勒索软件公司，随后该公司被迫关闭几条自动化生产线。

2019年5月26日，国内某打车软件平台发布公告称其服务器遭受连续攻击，服务器内核心数据被加密，攻击者索要巨额比特币。该公司严厉谴责该不法行为，并向公安机关报警。

2019年5月29日，美国佛罗里达州里维埃拉海滩警察局因员工打开恶意电子邮件，从而导致该市基础服务设施遭受勒索软件加密。市政官员于随后召开会议，批准动用大约60万美元支付勒索赎金。

2019年6月中旬，世界最大飞机零件供应商之一ASCO遭遇勒索病毒攻击，由于被病毒攻击导致的生产环境系统瘫痪，该公司将1400名工人中大约1000人带薪休假，同时停止了四个国家的工厂生产。

二、上半年勒索病毒攻击的一些数据

观察2019年勒索病毒感染的地域分布，勒索病毒在全国各地均有不同程度传播，以广东，山东，河南，四川，江苏等地受害最为严重。

观察勒索病毒影响的行业，以传统行业与教育行业受害最为严重，互联网，医疗，企事业单位紧随其后。   

    2019上半年，勒索病毒的感染量一直稳定，累计被攻击的计算机超过250万台，时间分布上以2019年1月份最为活跃，2月到6月整体较为平稳，近期略有上升趋势。

    2019上半年，勒索病毒的主要攻击方式依然以弱口令爆破攻击为主，其次为通过海量的垃圾邮件传播，而利用高危漏洞、漏洞工具包主动传播的方式紧随其后，整体攻击方式呈现多元化的特征。

三、网络勒索的五个套路

随着勒索产业的迅速发展壮大，通过围绕数据加密，数据泄露，乃至诈骗等核心元素展开的网络勒索类型也是千姿百态。网络勒索具有匿名性、隐蔽性、便捷性等特点，深受黑产青睐。其中典型的勒索病毒作案实施过程如下，一次完整的勒索可能涉及5个角色（一人可能充当多个角色）。

勒索病毒作者：负责勒索病毒编写制作，与安全软件免杀对抗。通过在“暗网”或其它地下平台贩卖病毒代码，接受病毒定制，或出售病毒生成器的方式，与勒索者进行合作拿取分成。

勒索者：从病毒作者手中拿到定制版本勒索病毒或勒索病毒原程序，通过自定义病毒勒索信息后得到自己的专属病毒，与勒索病毒作者进行收入分成。

传播渠道商：帮助勒索者传播勒索病毒，最为熟悉的则是僵尸网络，例Necurs、Gamut，全球有97%的钓鱼邮件由该两个僵尸网络发送。

解密代理：向受害者假称自己能够解密各勒索病毒加密的文件，并且是勒索者提出赎金的50%甚至更低，但实际上与勒索者进行合作，在其间赚取差价。从世界范围内看，勒索病毒产业链养活了大量从事解密代理的组织，这些人直接购买搜索关键字广告，让勒索病毒受害企业通过他们完成解密交易，解密代理充当了中间人的角色，从中获取大量利益。

受害者：通过勒索病毒各种传播渠道不幸中招的受害者，如有重要文件被加密，则向代理或勒索者联系缴纳赎金解密文件。

网络勒索的表现形式，基本不外乎以下五种：

1.数据加密勒索：

这种方式是当前受害群体最多、社会影响最广，勒索犯罪中最为活跃的表现形式，该方式通过加密用户系统内的重要资料文档，数据，再结合虚拟货币实施完整的犯罪流程。以GandCrab为代表的勒索集团当属该类勒索产业中的佼佼者，该黑产团伙在运营短短一年多的时间内，非法敛财20亿美元，该病毒也一度影响了包括我国在内的多个国家基础设施的正常运转，在我国境内制造了大量GandCrab病毒感染事件。

2.系统锁定勒索：

该形式勒索与数据加密勒索有着极大的相似性，在部分真实攻击场景中该方式也会结合数据加密勒索方式共同实施。这种方式的攻击重点不是针对磁盘文件，而是通过修改系统引导区，篡改系统开机密码等手段将用户系统锁定，导致用户无法正常登录到系统。通过该模式实施的勒索在电脑和安卓手机系统也较为常见。国内PC多见以易语言为代表编写的一系列锁机病毒，将病毒捆绑在破解工具、激活工具、游戏外挂中，欺骗用户通过论坛，网盘，下载站等渠道传播。

3.数据泄漏勒索：

该类型勒索通常情况针对企业实施，黑客通过入侵拿到企业内相关机密数据，随后敲诈企业支付一定金额的赎金，黑客收到赎金后称会销毁数据，否则将进入撕票流程，在指定时间将企业机密数据公开发布，以此要挟企业支付酬金。大规模的数据泄露对大企业而言不仅会造成严重的经济损失，也会为极大的负面影响。

4.诈骗恐吓式勒索：

此类型勒索与企业数据泄露造成的勒索有着相似点，针对个人用户隐私发起攻击。不同点为攻击者手中根本没有隐私数据，他们通过伪造、拼接与隐私有关的图片、视频、文档等等恐吓目标实施诈骗勒索。

此类勒索者会大量群发诈骗邮件，当命中收件人隐私信息后，利用收件人的恐慌心里实施欺诈勒索。勒索过程中，受害者由于担心自己隐私信息遭受进一步的泄漏，容易陷入圈套，从而受骗缴纳赎金。

5.破坏性加密数据掩盖入侵真相

在部分涉及各行业重要数据，各国家机密数据的染毒场景中，有时也会发现一些不同于感染传统勒索病毒的案例。区别在于，观察此类染毒环境中可发现，病毒对部分文件会进行多次加密，甚至对文件进行了无法修复的破坏，且病毒不做白名单过滤，极易将系统直接搞崩溃。分析此类染毒场景可知病毒真实意图似乎更偏向于破坏，而不在于图财。

部分黑客组织在实施APT攻击、窃取企业数据之后，为消除痕迹，会进一步投递破坏性的勒索病毒，将用户资料加密，部分APT攻击者的终极目的就是为了对目标基础设施打击以造成无法修复的损坏。勒索病毒的加密机制，让这些攻击行动变得较为常见，从而有利于黑客组织掩盖真实攻击意图。

四、国内活跃的勒索病毒排行榜

观察2019上半年勒索家族整体活跃趋势，GandCrab依然是最活跃的病毒，该家族在2019年6月1日宣布停止运营，但在之后几周时间内依然有部分余毒扩散。GandCrab勒索病毒以出道16个月，非法获利20亿美元结束了它的勒索生涯。紧随其后，新秀Sodinokibi开始大量接替GandCrab原有的病毒传播渠道，技术专家一度怀疑GandCrab勒索病毒停止传播只是障眼法，该犯罪团伙可能改头换面，继续经营新的勒索病毒。

GandCrab成功的商业故事会引爆黑暗世界更多人的贪欲，可以预见在未来相当长一段时间内，会有越来越多的勒索病毒展开破坏活动。

GandCrab

GandCrab勒索病毒首次出现于2018年1月，是国内首个使用达世币（DASH）作为赎金的勒索病毒，也是2019上半年是最为活跃的病毒之一。该病毒在一年多的时间里经历了5个大版本的迭代，该病毒作者也一直和安全厂商、执法部门斗智斗勇。该病毒在国内擅长使用弱口令爆破，挂马，垃圾邮件等各种方式传播。

2018年10月16日，一位叙利亚用户在推特表示，GandCrab病毒加密了他的电脑文件，因无力支付勒索赎金，他再也无法看到因为战争丧生的小儿子的照片。随后GandCrab放出了叙利亚地区的部分密钥，并在之后的病毒版本中将叙利亚地区列入白名单不再感染，这也是国内有厂商将其命名为“侠盗勒索”的原因。

2019年6月1日，GandCrab运营团队在某俄语论坛公开声明“从出道到现在的16个月内共赚到20多亿美金，平均每人每年入账1.5亿，并成功将这些钱洗白。同时宣布关闭勒索服务，停止运营团队，后续也不会放出用于解密的密钥，往后余生，要挥金如土，风流快活去”。

2019年6月17日，Bitdefender联合罗马尼亚与欧洲多地区警方一起通过线上线下联合打击的方式，实现了对GandCrab最新病毒版本v5.2的解密。该事件也标志着GandCrab勒索团伙故事的终结。

GlobeImposter

2017年5月，勒索病毒Globelmposter首次在国内出现。2018年2月全国各大医院受Globelmposter勒索病毒攻击，导致医院系统被加密，严重影响了医院的正常业务。Globelmposter攻击手法都极其丰富,通过垃圾邮件、社交工程、渗透扫描、RDP爆破、恶意程序捆绑等方式进行传播,其加密的后缀名也不断变化。由于Globelmposter采用RSA+AES算法加密,目前该勒索样本加密的文件暂无解密工具。

Crysis

Crysis勒索病毒从2016年开始具有勒索活动 ，加密文件完成后通常会添加“ID+邮箱+指定后缀”格式的扩展后缀，例：“id-编号.[gracey1c6rwhite@aol.com].bip”，其家族衍生Phobos系列变种在今年2月开始也有所活跃。该病毒通常使用弱口令爆破的方式入侵企业服务器，安全意识薄弱的企业由于多台机器使用同一弱密码，面对该病毒极容易引起企业内服务器的大面积感染，进而造成业务系统瘫痪。

Sodinokibi

    Sodinokibi勒索病毒首次出现于2019年4月底，由于之后GandCrab停止运营事件，该病毒紧跟其后将GandCrab勒索家族的多个传播渠道纳入自身手中。该病毒目前在国内主要通过web相关漏洞和海量的钓鱼邮件传播，也被国内厂商称为GandCrab的“接班人”，从该病毒传播感染势头来看，毫无疑问是勒索黑产中的一颗上升的新星。

WananCry

WannaCry于2017年5月12日在全球范围大爆发，引爆了互联网行业的“生化危机”。借助“永恒之蓝”高危漏洞传播的WannaCry在短时间内影响近150个国家，致使多个国家政府、教育、医院、能源、通信、交通、制造等诸多关键信息基础设施遭受前所未有的破坏，勒索病毒也由此事件受到空前的关注，由于当前网络中仍有部分机器未修复漏洞，所以该病毒仍然有较强活力（大部分加密功能失效）。

Stop

Stop勒索病毒家族在国内主要通过软件捆绑、垃圾邮件等方式进行传播，加密时通常需要下载其它病毒辅助工作模块。Stop勒索病毒会留下名为_readme.txt的勒索说明文档，勒索980美元，并声称72小时内联系病毒作者将获得50%费用减免，同时，该病毒除加密文件外，还具备以下行为特点。

1.加密时，禁用任务管理器、禁用Windows Defender、关闭Windows Defender的实时监控功能;

2.通过修改hosts文件阻止系统访问全球范围内大量安全厂商的网站；

3.因病毒执行加密时，会造成系统明显卡顿，为掩人耳目，病毒会弹出伪造的Windows自动更新窗口；

4.释放一个被人为修改后不显示界面的TeamViewer模块，用来实现对目标电脑的远程控制；

5.下载AZORult窃密木马，以窃取用户浏览器、邮箱、多个聊天工具的用户名密码。

Paradise

Paradise勒索病毒最早出现于2018年7月，该病毒勒索弹窗样式与Crysis极为相似，勒索病毒加密文件完成后将修改文件名为以下格式：[原文件名]_[随机字符串]_{邮箱}.随机后缀，并留下名为Instructions with your files.txt 或###_INFO_you_FILE_###.txt 的勒索说明文档。

Clop

Clop勒索病毒使用RSA+RC4的方式对文件进行加密，与其他勒索病毒不同的是，Clop勒索病毒部分情况下携带了有效的数字签名，数字签名滥用，冒用以往情况下多数发生在流氓软件，窃密类木马程序中。勒索病毒携带有效签名的情况极为少见，这意味着该病毒在部分拦截场景下更容易获取到安全软件的信任，进而感染成功，对企业造成无法逆转的损失。

SCarab

Scarab索病毒主要利用Necurs僵尸网络进行传播，在国内也有发现通过RDP过口令爆破后投毒。该家族变种较多，部分变种感染后外观展现形态差异较大，例如今年3月份我国部分企业感染的ImmortalLock（不死锁）病毒则为Scarab家族在国内活跃的一个变种。

Maze

Maze（迷宫）勒索病毒也叫ChaCha勒索病毒，擅长使用Fallout EK漏洞利用工具通过网页挂马等方式传播。被挂马的网页，多见于黄赌毒相关页面，通常会逐步扩大到盗版软件、游戏外挂（或破解）、盗版影视作品下载，以及某些软件内嵌的广告页面，该病毒的特点之一是自称根据染毒机器的价值来确认勒索所需的具体金额。

五、关于勒索病毒解密和打击犯罪

成熟的勒索病毒通常使用高强度非对称加密（RSA+其它）算法来对文件进行加密，这也导致未能拿到病毒作者手中的私钥情况下，在常规技术手段下被加密的文件无法解密，少数可解密情况仅包含以下场景：

a.由于勒索病毒自身设计缺陷导致的加密算法可逆，密钥泄漏场景下的文件可解密。此类型导致的可解密的病毒有Satan家族部分版本，Stop家族染毒部分版本，Aurora(欧若拉)家族，xorist家族等。

b.勒索病毒作者自己公开了手中的密钥，进而开发出了解密工具。例如FilesLocker早期1.x，2.x等版本，病毒作者通过公开自身使用私钥的方式，让部分染毒的系统得以成功解密恢复文件。

c.得益于警方与安全公司的合作，执法部门对勒索团伙进行打击后拿到病毒作者掌握的密钥，进而得以开发出解密工具，例如Bitdefender联合罗马尼亚与欧洲多地区警方针对GandCrab勒索家族的数次打击。最新版本的GandCrab 5.2破坏的文件也能成功恢复。

为解决勒索病毒的破坏，腾讯电脑管家和腾讯御点均提供了文档守护者功能，除了帮助用户解密数据，更主要的是提供了一套相对完善的数据备份恢复方案。2019上半年，有数千万腾讯电脑管家的用户启用了内置的文档守护者功能。内置的自研解密方案成功为上千名勒索病毒受害者提供了解密服务，帮助其成功恢复被病毒加密的文件。

分享到：