勒索病毒

当前，在政府和企业大力推动数字化快速增长的背景下，对IT和运营系统的依赖日益增加。与此同时，网络犯罪的收益不断上涨，攻击者不断采取先进的网络犯罪技术与策略。

其中，勒索软件已经成为全球组织面临的主要网络威胁，攻击者的数量不断增加，勒索手段也愈发多样化和复杂化。

勒索软件（Ransomware），也被称为勒索病毒，是一种恶意软件，通过破坏或阻止对关键数据或系统的访问（加密数据、锁定设备、损坏文件为主要攻击方式），并以此向受害者勒索钱财。

勒索病毒的攻击手段多种多样。它会遍历本地磁盘文件，加密除系统文件外的各种重要格式文件，例如数据库文件、Office 文档、图片和源代码，并在加密后留下勒索提示信息。攻击者通常会先窃取内网中重要数据，攻陷一台机器后作为跳板尝试攻击内网的其他机器，以加密更多设备并勒索更高赎金。为防止受害者通过备份数据恢复，勒索软件还会删除备份数据。

根据勒索病毒对受害用户的系统和重要数据的处置方法，勒索病毒可分为：

系统锁定类：通过修改磁盘MBR、VBR、分区表、原始数据等方式实现对整个磁盘的加密操作，阻止用户访问整个磁盘；或者加密UEFI或设置锁屏程序，使计算机基本功能无法进行，导致用户无法正常使用计算机。

数据破坏类：该类型勒索病毒不是加密文件，而是用随机字符覆写文件，永久性地破坏用户数据，但在破坏数据之后仍会索要赎金。

文件加密类：文件加密类勒索病毒是最早出现，也是最为典型的一类勒索病毒。此类勒索软件通过特定的加密算法（如AES、RSA、DES 和RC4等）对设备中存储的文件进行加密处理，导致用户无法正常打开和编辑文件，并以此要挟索要赎金。大多数勒索软件在未得到对应密钥的解密工具时暂时无法解密，而部分则因算法逻辑错误导致文件可以解密。

数据窃取类：数据窃取类勒索病毒是 2020 年以后出现的一类新型勒索病毒。此类勒索病毒在发动勒索攻击前，会在受害系统内驻留一段时间，在此期间窃取数据文件。在窃取工作完成后，它会发动勒索攻击，加密系统中的文件，并通知受害者文件被窃取，如不按期支付勒索赎金，则会公开窃取到的数据文件，给予受害者压力，从而迫使受害者尽早支付赎金。

其历史可以追溯到20世纪末,以下是勒索病毒从起源到现在的重要发展阶段：

早期阶段（1989 - 2000年代初）

1989年：1989年，世界上第一个有记录的勒索软件实例——AIDS特洛伊木马（也称为PC Cyborg）出现。该木马由Joseph Popp创建，通过受感染的软盘传播，加密用户的文件并要求受害者向巴拿马的一个邮政信箱支付189美元以解锁数据。尽管解密工具很快就被发布，但这一事件开启了勒索软件攻击的时代。

发展阶段（2007 - 2010年代）

2007年：Locker勒索软件变体首次出现，这种勒索软件通过关闭键盘和鼠标等必要功能，将受害者完全锁定在设备之外。这些变体通常针对俄罗斯用户，通过激进的策略（如显示成人图像）迫使受害者支付赎金。

2013年：CryptoLocker勒索软件通过僵尸网络和网络钓鱼电子邮件传播，使用公钥-私钥加密锁定受害者的文件，并要求在短时间内支付赎金，最初的价格是300美元的比特币或MoneyPak。到2015年底，联邦调查局估计受害者已支付超过2700万美元。

高峰阶段（2010年代末 - 2020年代初）

2017年5月12日，WannaCry勒索病毒袭击全球150多个国家和地区，影响领域包括政府部门、医疗服务、公共交通等，造成损失超过80亿美元。

同年6月27日，NotPetya病毒攻击了欧洲和北美地区的多个国家，不仅加密文件，还破坏了系统的主引导记录，导致系统无法启动，给全球经济造成了超过100亿美元的损失。

近期阶段（2020年代至今）

2024年初，一家全球财富50强的企业遭到了DarkAngels勒索软件团伙的攻击，并被迫支付了7500万美元的巨额赎金。攻击者通过入侵企业网络，窃取了大量数据，并以此作为勒索筹码。

2024年6月3日，英国NHS医院关键病理服务供应商Synnovis遭受了勒索软件攻击，导致数千次手术和预约被取消。攻击者Qilin团伙据称窃取了400GB的患者数据，影响了多个NHS信托基金的关键医疗服务。

勒索病毒入侵途径多样化，可经由弱口令、钓鱼邮件、软件或系统漏洞、供应链、移动介质等方式进入到受害者的信息系统中。

弱口令攻击

口令爆破攻击，是黑客投放勒索病毒的常见手段。用户使用过于简单的口令、已经泄露的口令或一些内置的固定口令是造成设备被攻陷的最常见原因。

钓鱼邮件

恶意代码伪装在邮件附件中，格式多为 Word 文档、Excel 表格和 JavaScript 脚本文件等，利用时事热点或与受害者相关话题的内容诱使受害者打开附件（恶意宏文档、恶意软件）。

利用系统与软件漏洞攻击

利用各类漏洞组合和通过黑色产业链中的 Exploit Kit 漏洞套件来传播勒索软件。黑客用来传播勒索软件的系统漏洞、软件漏洞，大部分都是已被公开且厂商已经修补了的安全问题，但并非所有用户都会及时安装补丁或者升级软件，所以即使是被修复的漏洞（Nday 漏洞）仍深受黑客们的青睐。

软件供应链攻击

软件供应链攻击是指利用软件供应商与最终用户之间的信任关系，在合法软件正常传播和升级过程中，利用软件供应商的各种疏忽或漏洞，对合法软件进行劫持或篡改，从而绕过传统安全产品的检查达到非法目。

移动介质

许多内网隔离环境是通过搭载移动介质的恶意软件感染的，这些移动介质包括U盘和移动硬盘等。

加强员工安全意识培训：防范钓鱼邮件等常见攻击手段，提高员工对网络安全威胁的警觉性。

部署智能安全解决方案：利用机器学习技术实时监测网络异常，快速识别潜在威胁。

建立完善的应急预案：定期进行模拟演练，确保在遭受攻击时能够迅速采取应对措施。

加强技术防护：使用能够检测和阻止已知勒索软件变体的反恶意软件或安全软件，实时监测和检测网络活动，及时发现和应对异常行为。

备份与恢复：定期备份重要数据，确保在遭受攻击后能够快速恢复数据，减少损失。

供应链安全：加强供应链安全管理，确保第三方合作伙伴的安全性，防止通过供应链漏洞进行攻击。

2024年，勒索软件攻击的数量和复杂性均有所增加，企业面临的风险也因此上升。根据360反勒索服务平台的数据，2024年共处理约2151起勒索软件攻击求助案例，国内勒索软件攻击的整体态势依然严峻。攻击目标继续集中于企事业单位，其中中小企业受到的攻击尤为严重。

攻击目标更具针对性：勒索软件攻击的目标从传统的中小企业扩展到大型企业和关键基础设施。攻击者利用人工智能技术提升攻击效率，通过AI工具分析企业网络结构，寻找漏洞，制定个性化攻击方案。

攻击手段更加多样化：攻击者利用Web应用漏洞、社会工程攻击、供应链漏洞等多种手段进行攻击。例如，2024年10月，Fog和Akira勒索软件组织利用SonicWall VPN漏洞（CVE-2024-40766）频繁发起攻击，通过改装和利用未修补的VPN账户实现入侵。

勒索方式更加复杂：双重勒索和多重勒索模式的赎金要求进一步攀升，多家勒索软件家族在成功攻击后开出了超过千万美元的赎金。例如，DarkAngels家族向美国知名药品公司Cencora提出了7500万美元的赎金诉求，并最终勒索成功。

公众号内回复【2024勒索】即可获取360安全能力中心反病毒部最新发布的《2024年勒索软件流行态势报告》

下期内容由你们定！

留言告诉我们，您想要听网络安全哪方面的知识。