赛可达横评测试：腾讯电脑管家99.96%检测率获得第一名

2019今年上半年，随着传统产业逐渐数字化、网络化、智能化、拥抱产业互联网的浪潮，一系列网络安全问题暴露出来。勒索病毒还利用这个机会，疯狂地赚钱，其影响力正在扩大。全球交通、能源、医疗等社会基础设施已成为勒索病毒攻击的目的。

1.上半年勒索病毒灾害

2019年上半年，随着传统产业逐渐数字化、网络化、智能化、拥抱产业互联网的浪潮，一系列网络安全问题暴露出来。勒索病毒也抓住机会，疯狂地赚钱，影响力正在扩大。全球交通、能源、医疗等社会基础设施已成为勒索病毒攻击的目的。

2019年，GandCrab勒索病毒运营团队声称在一年半内盈利20这一消息震惊了消息震惊了全世界，这一乐成案件也将极大地刺激更多罪犯继续计划勒索病毒业务。在中国，大量的攻击者利用恶意电子邮件，冒充司法机构发送潜在电子邮件GandCrab伪装的勒索病毒邮件损坏了许多政府和企业的内部网络。

2019年3挪威海德鲁公司是世界上最大的铝制品制造商（Norsk Hydro）该公司随后被迫关闭几条自动化生产线。

2019年5月26日，一家出租车软件平台宣布，其服务器受到持续攻击，服务器中的焦点数据被加密，攻击者要求巨额比特币。该公司严厉谴责了这一违法行为，并向公安机关报警。

2019年5月29佛罗里达州里维埃拉海滩警察局因员工打开恶意电子邮件而被勒索软件加密。市政官员随后召开会议，批准使用约莫60勒索赎金1万美元。

2019年6月中旬，世界上最大的飞机零部件供应商之一ASCO遭遇勒索病毒攻击，由于被病毒攻击导致的生产环境系统瘫痪，该公司将1400名工中约莫1000人们带薪休假，住在四个国家的工厂生产。

二、上半年勒索病毒攻击的一些数据

考察2019勒索病毒在世界各地都有不同程度的传播，在广东、山东、河南、四川、江苏等地受害最严重。

调查勒索病毒行业，传统行业和教育行业受害最严重，互联网、医疗、企事业单位紧随其后。

2019上半年，勒索病毒的熏染量稳定，累计被攻击的计算机跨越250万台，时间漫衍上去2019年1月份最活跃，2月到6月整体较为平稳，近期略有上升趋势。

2019今年上半年，勒索病毒的主要攻击方法仍主要是弱密码爆破攻击，其次是通过大量的垃圾邮件传播，然后是高危缺陷和缺陷工具包的自动传播，整体攻击方法具有多样化的特点。

3.网络勒索的五个套路

随着勒索行业的快速发展，围绕数据加密、数据泄露甚至欺诈等关键元素开放的网络勒索类型也多种多样。网络勒索具有匿名、隐蔽、方便等特点，深受黑人生产的青睐。典型的勒索病毒犯罪过程如下，一个完整的勒索可能涉及到5一个角色(一个人可以扮演多个角色)。

勒索病毒作者：努力编写和制作勒索病毒，与安全软件无敌。通过在黑暗网络或其他地下平台上销售病毒代码，接受病毒定制，或销售病毒生成器，与勒索者进行互助分享。

勒索者：从病毒作者那里获得定制版本的勒索病毒或勒索病毒原始程序，通过定制病毒勒索信息获得自己的独家病毒，并与勒索病毒作者分享收入。

传播渠道：辅助勒索者传播勒索病毒，最熟悉的是僵尸网络，例如Necurs、Gamut，全球有97%两个僵尸网络发送钓鱼邮件。

解密机构：向受害者假装能够解密勒索病毒加密的文件，并向勒索者提出赎金50%甚至更低，但事实上，它与勒索者互相帮助，赚取差价。从世界限制的角度来看，勒索病毒产业链支持大量从事解密机构的组织。这些人直接购买搜索关键词广告，让勒索病毒受害者通过他们完成解密业务。解密机构扮演着中间人的角色，从中获得了很多好处。

受害者：通过各种勒索病毒传播渠道招募的受害者，如果主要文件加密，请联系代理或勒索者支付赎金解密文件。

网络勒索的表现形式基本上不超过以下五种：

1.数据加密勒索：

这种方法是目前受害者最多、社会影响最广泛、勒索犯罪中最活跃的形式。该方法通过加密用户系统中的主要数据文档和数据，然后连接虚拟硬币来实现完整的犯罪过程。GandCrab以勒索团体为代表的是这类勒索行业的领导者。黑产品团伙在短短一年多的时间内非法筹款201亿美元，病毒一度影响了包括中国在内的多个国家基础设施的正常运行，在中国制造了大量基础设施GandCrab病毒感染。

2.系统锁定勒索：

这种形式的勒索与数据加密勒索非常相似。在部门的真实攻击场景中，该方法还将与数据加密勒索方法相结合。该方法的攻击重点不是磁盘文件，而是通过修改系统指导区域、更改系统开启密码等方式锁定用户系统，使用户无法正常登录系统。通过该模式实施的勒索在计算机和安卓手机系统中也很常见。PC以易语言为代表的一系列锁定病毒在破解工具、激活工具具、激活工具、游戏插件中，通过论坛、在线磁盘、下载站等渠道吸引用户传播。

3.数据泄露勒索：

这类勒索通常针对企业，黑客通过入侵获取企业相关秘密数据，然后欺骗企业支付一定数量的赎金，黑客收到赎金将销毁数据，否则将进入撕裂过程，在指定时间内公开发布企业秘密数据，威胁企业支付报酬。大规模的数据泄露不仅会给大企业造成严重的经济损失，而且会产生巨大的负面影响。

4.诈骗恐吓勒索：

此类型勒索与企业数据泄露造成的勒索有着相似点，针对个人用户隐私提议攻击。差别点为攻击者手中基本没有隐私数据，他们通过伪造、拼接与隐私有关的图片、视频、文档等等吓唬目的实行诈骗勒索。

这些勒索者会发送大量的欺诈电子邮件，当投掷收件人的隐私信息时，他们会行使收件人的恐慌来实施勒索。在勒索过程中，受害者很容易陷入陷阱，因为他们的隐私信息进一步泄露，从而被欺骗支付赎金。

5.损坏性加密数据掩饰入侵真相

在涉及各行业主要数据和国家秘密数据的染毒场景中，有时会发现一些不同于传统勒索病毒的案例。不同之处在于，在调查这种染毒环境时，可以发现病毒会对部门文件进行多次加密，甚至对文件进行不可修复的损坏。而且病毒不做白名单过滤，很容易直接打破系统。通过对这种染毒场景的分析，可以看出，病毒的真实意图似乎更倾向于损害，而不是赚钱。

部门黑客组织实施APT攻击和窃取企业数据后，为了消除痕迹，损坏性勒索病毒将性勒索病毒，加密用户数据，部门APT攻击者的最终目标是攻击目标基础设施，造成不可修复的损坏。勒索病毒的加密机制使这些攻击更加普遍，有利于黑客组织掩盖真正的攻击意图。

4.国内活跃勒索病毒排行榜

考察2019今年上半年，勒索家族整体活跃，GandCrab这个家庭仍然是最活跃的病毒2019年6月1日宣布停手操作，但部门余毒仍在接下来的几周内扩散。GandCrab以勒索病毒出道16个月，非法利润201亿美元完成了它的勒索生涯。随后，新秀Sodinokibi首先大量接替GandCrab原病毒传播渠道，工艺专家曾被怀疑GandCrab勒索病毒停止流传只是一种障碍，犯罪团伙可能会洗面革心，继续规划新的勒索病毒。

GandCrab乐成的商业故事会引发黑暗世界更多人的贪婪。可以预见，在未来很长一段时间内，会有越来越多的勒索病毒打开并破坏流动。

GandCrab

GandCrab勒索病毒首次出现2018年1月是中国第一个使用达世币的人（DASH）勒索病毒作为赎金，也是2019上半年是最活跃的病毒之一。病毒在一年多的时间里简历了它5在一个大版本的迭代中，病毒作者一直与和平制造商和执法部门斗智斗勇。该病毒擅长在中国使用弱密码爆破、挂马、垃圾邮件等方式。

2018年10月16一位叙利亚用户在推特上示意，GandCrab病毒加密了他的电脑文件，他再也看不到战争中死去的小儿子的照片，因为他无法支付赎金。GandCrab发布了叙利亚地区的部门钥匙，并在随后的病毒版本中将叙利亚地区列入白名单，这就是为什么一些国内制造商将其命名为侠盗勒索。

2019年6月1日，GandCrab运营团队在俄语论坛上公开声明从出道到现在16一个月内共赚20平均每人每年收入超过1亿美元1.51亿，乐成把钱洗白了。同时，宣布关闭勒索服务，停止运营团队，未来不会发布解密钥匙，余生，花钱如土，风骚快乐。

2019年6月17日，Bitdefender通过线上线下团结攻击，团结罗马尼亚和欧洲多地区警方实现了正确的目标GandCrab病毒的最新版本v5.2解密。这件事也标志着GandCrab勒索团伙故事的结尾。

GlobeImposter

2017年5月，勒索病毒Globelmposter第一次在海内泛起。2018年2月天下各大医院Globelmposter勒索病毒攻击导致医院系统加密，严重影响医院正常运行。Globelmposter攻击手法极其丰富,通过垃圾邮件、社会工程、渗透扫描RDP爆破、恶意程序捆绑等。,其加密后缀名也在不断变化。Globelmposter接纳RSA AES算法加密,现在该勒索样本加密的文件暂无解密工具。

Crysis

Crysis勒索病毒从2016第一年有勒索流，加密文件完成后通常会添加ID 邮箱指定后缀图案的扩展后缀，例如：id-编号.[gracey1c6rwhite@aol.com].bip家族衍生Phobos今年系列变种2第一个月也很活跃。该病毒通常以弱密码爆破的方式侵入企业服务器。由于多台机械使用统一的弱密码，面对该病毒，很容易导致企业服务器的大面积熏蒸，从而导致业务系统瘫痪。

Sodinokibi

Sodinokibi勒索病毒首次出现2019年4因为之后，月末GandCrab住手操作事项，病毒跟踪后会GandCrab勒索家族的许多传播渠道都掌握在他们自己手中。该病毒现在主要通过国内病毒web相关缺陷和大量的钓鱼邮件也被国内制造商称为GandCrab从病毒流传熏染的势头来看，接棒人无疑是勒索黑产中上升的新星。

WananCry

WannaCry于2017年5月12日本在全球范围内的巨大攻击引发了互联网行业的生化危机。借助永恒蓝的高风险缺陷WannaCry短时间内影响近150在许多国家，政府、教育、医院、能源、通信、交通、制造等关键信息基础设施遭受了前所未有的损害，勒索病毒也引起了前所未有的关注，因为网络仍有部门机械未修复缺陷，因此病毒仍具有强大的活力（大多数加密效果无效）。

支付价值900美元的比特币，否则隐私将公开！腾讯安全提醒小心欺诈勒索邮件

Stop

Stop勒索病毒家族主要通过软件捆绑、垃圾邮件等方式在中国传播，加密时通常需要下载其他病毒辅助模块。Stop勒索病毒会留下名字_readme.txt勒索说明文档，980并声称美元72小时内联系病毒作者获得50%除加密文件外，该病毒还具有以下行为特征。

1.加密时，禁用义务治理器Windows Defender、关闭Windows Defender实时监控效果;

2.通过修改hosts文件阻止系统访问世界上大量安全制造商的网站；

3.当病毒加密时，系统会明显卡住。为了掩盖人们的耳朵和眼睛，病毒会弹出伪造Windows 窗口自动更新；

4.释放人工修改后未显示界面的界面TeamViewer实现目的计算机远程控制的模块；

5.下载AZORult窃取用户浏览器、邮箱、多个聊天工具的用户名密码。

Paradise

Paradise勒索病毒最早泛起2018年7月，病毒勒索弹窗的风格Crysis勒索病毒加密文件完成后，将修改文件称为以下花样：[原文件名]_[随机字符串]_{邮箱}.随机后缀，留下名字Instructions with your files.txt 或###_INFO_you_FILE_###.txt 勒索说明文档。

Clop

Clop使用勒索病毒RSA RC4加密文件的方式不同于其他勒索病毒，Clop勒索病毒部门携带有用的数字签名，滥用数字签名，大部分发生在流氓软件和秘密木马程序中。勒索病毒携带有用签名的情况非常罕见，这意味着该病毒更容易获得部门阻塞场景下的安全软件信企业造成不可逆转的损失。

SCarab

Scarab索病毒主要行使Necurs僵尸网络在中国流传。RDP过口令爆破后投毒。这个家庭变种多，部门变种熏染后外观差异大。比如今年3本月，中国部门企业熏染ImmortalLock病毒为(不死锁)Scarab一庭在国内活跃的变种。

Maze

Maze(迷宫)勒索病毒也叫ChaCha勒索病毒，善于使用Fallout EK缺陷行使工具通过挂在网页上传播。挂在马上的网页在赌博和毒品相关页面上更为常见，通常逐渐扩展到盗版软件、游戏插件（或破解）、盗版电影和电视作品下载，以及嵌入在一些软件中的广告页面。该病毒的特点之一是声称根据吸毒机械的价值确认勒索所需的详细金额。

5.勒索病毒解密和攻击犯罪

成熟的勒索病毒通常使用高强度非对称加密（RSA 其他)算法对文件进行加密，这也导致未能获得病毒作者手中的私钥，在一般技术手段下加密的文件无法解密，只包括以下场景：

a.由于勒索病毒本身设计缺陷造成的加密算法可逆，密钥泄漏场景下的文件可以解密。这种类型的可解密病毒有Satan家族部门版，Stop家族染毒部门版本，Aurora(欧若拉)家族，xorist家族等。

b.勒索病毒作者自己公开了手中的密钥，然后开发了解密工具。FilesLocker早期1.x，2.x在其他版本中，病毒作者公开使用私钥，使部门染毒系统乐成解密恢复文件。

c.得益于警方与平安公司的互助，执法部门攻击勒索团伙，获得病毒作者掌握的钥匙，然后开发解密工具，如Bitdefender团结罗马尼亚和欧洲的许多地区警察GandCrab勒索家族的几次袭击。最新版本GandCrab 5.2损坏的文件也可以乐成恢复。

为了解决勒索病毒的损坏，腾讯计算机管家和腾讯皇家点都提供了文档保护功能。除了帮助用户解密数据外，它还提供了一套相对完善的数据备份恢复计划。2019今年上半年，成千上万的腾讯计算机管家用户使用了内置的文档保护器。内置的自研解密方案乐成为数千名勒索病毒受害者提供解密服务，帮助乐成恢复病毒加密文件。

平安公司在2019年也与执法部门合作攻击勒索病毒犯罪，2019这些行动取得了一定的效果。

a.2018年121月，国内发现勒索病毒案件使用二维码支付赎金，2一万多台电脑被熏染了。不久，该病毒的研发95后来，罗被东莞网警抓获。2019年6月11日，广东省东莞市第三人民法院审理了此案。罗涉嫌损坏计算机信息系统，被检察机关起诉。

b.2019年6月中，武汉市公安局江汉分局经历3经过一个月的调查，一起网络诈骗案被破获。广东一对夫妇在深圳注册了两家公司（勒索病毒解密机构），团结黑客攻击国内多家公司的电脑，以解密为由非法盈利，前后盈利700一万元，相关嫌疑人已被警方逮捕。

6.下一阶段勒索病毒的演变

1.勒索病毒与平安软件的匹配将加剧

随着平安软件对勒索病毒的防御方案相对成熟完善，勒索病毒难以入侵用户电脑，病毒传播者将不断升级手艺方案。

2.勒索病毒的传播场景加倍多样化

过去，勒索病毒主要是通过钓鱼邮件传播的。现在勒索病毒更专业地传播黑客攻击，如高风险缺陷、鱼叉攻击或水坑攻击，甚至通过软件供应链传播，这大大提高了入侵率和病毒影响。

3.勒索病毒攻击的重点是企业用户

大多数个人电脑可以使用安全软件来完成缺陷修复。首先，攻击门槛相对较高。在勒索病毒攻击中，个人用户数据的主要性往往弱于企业用户。除个别用户外，他们中的大多数人选择放弃数据重新安装系统，永远不会接受勒索。企业用户有相反的特点：许多企业系统由于治理原因，或系统安全维护成本高，系统版本低，不能实时安装补丁等客观因素，导致企业网络更容易入侵，企业数据价值高，会让企业受害者倾向于支付赎金恢复数据。因此，我们调查的情况是，越来越多的勒索病毒针对政府机构、企业、医院、学校等机构的用户。

4.勒索病毒更新迭代速度加快

随着平安制造商和警方的不断努力，越来越多的勒索病毒被破解和攻击，这也将加剧黑人从业者对病毒的快速迭代。

5.勒索赎金增加

随着用户安全意识的提高和安全软件防御能力的提高，勒索病毒的入侵成本也得到了提高，勒索赎金也得到了提高。在一些企业被勒索病毒入侵后，勒索金额高达9.5比特币(市值跨越10万元人民币），已多次考察到部门勒索病毒会凭据用户数据的价值调整勒索金额。

6.降低勒索病毒开发门槛

考察近期勒索病毒开发语言类型可知，越来越多基于脚本语言开发出的勒索病毒最先涌现，甚至最先泛起使用中文编程“易语言”开发的勒索病毒。例如使用Python系列的“Py-Locker勒索病毒，易语言供应链流传的沸沸扬扬unname1889低门槛的勒索病毒意味着将有更多的黑人进入勒索行业，这也意味着该病毒将继续泛滥。

8.勒索病毒的产业化特征越来越显著

随着勒索病毒的出现，勒索代理服务变得越来越稳定，甚至越来越规范。通过调查，我们注意到勒索解密代理企业多年来直接购买搜索引擎关键词广告推广业务，当企业遇到勒索病毒攻击，关键业务数据加密，理论上基本无法解密，勒索代理机构，承担受害者和攻击者谈判业务恢复数据。

勒索病毒与挖掘木马混合熏染很常见。在一些企业内网入侵的案例中，我们发现挖掘木马熏染和勒索病毒熏染同时存在，入侵者基本上使用相同的传播渠道。两种攻击方法混合在一起，使攻击者的利润最大化。

9.勒索病毒多平台扩散

目前勒索病毒的攻击主要是windows然而，管家也相继发现了系统MacOS、Android等平台的勒索病毒，伴随着windows在未来，勒索病毒在其他平台上的影响将逐渐增加，预防措施将得到改善，攻击者将永不满足。

10.勒索病毒黑产品参与者将继续上升

GandCrab通过16个月赚够201亿美元高调退休的故事被广泛传播。可以预见，这一事件将引发黑暗中更多人的贪婪。在未来很长一段时间内，越来越多的人将加入勒索行业，黑人从业者的数量将继续上升。

随着虚拟硬币的快速发展，各种病毒的利润模式相同，各种病毒可能随时附加勒索属性。蠕虫、吸烟、僵尸网络、挖掘木马，在丰富吸烟和吸烟目的的剩余价值后，很可能发布勒索模块进行最后一步欺诈，预计未来勒索病毒攻击将继续上升。

7.勒索病毒的防御方案

A、平安培训定期举行，平安治理可参考三不三要的思路

1.不计:不要点击标题吸引人的未知邮件

2.不要打开：不要随意打开电子邮件附件

3.不点击:不要随意点击电子邮件中附带的网站

4.备份：备份主要资料

5.确认：在打开电子邮件前确认发件人的可信度

6.更新：系统补丁/平安软件病毒库实时更新

B、整个网络安装部署终端安全管理软件，建议企业用户使用腾讯皇家点，个人用户使用腾讯计算机管家。同时，对于一些大中型企业，我们建议接受腾讯皇家高级威胁检测系统来监控内部网络风险。企业管理员可以通过这些安全解决方案实时发现内部网络入侵风险，实时阻断弱点，修复缺陷，防止主要业务系统被勒索病毒损坏。

C、建议由于其他原因不能实时安装补丁系统，并考虑在网络边界、路由器和防火墙上设置严格的接触控制策略和软件限制策略，以确保网络的动态和安全。

D、建议在增强用户安全意识的前提下，督促员工使用弱密码，或使用安全计划强制划分密码的长度和复杂性。

E、检查网络资产。如果有一些不必要的网络服务或端口，可以按照最小权限原则关闭或禁止，最大限度地减少黑客入侵的攻击面。

F、企业应建设和培养专业的网络安全管理人才建设，密切关注网络安全动态，与安全制造商开放优越的互动。仅仅依靠安全软件来解决网络风险是难以想象的。安全攻防需要长期的投资和员工投资。

G、建议远程接触主要网络服务，限制治理节点，只限制允许IP地址见治理背景。数据库服务停止使用弱密码，设置最大错误登录次数，防止远程黑客暴力破解。

黑客业务

黑客服务,入侵网站,网站入侵,黑客技术,信息安全,web安全

黑客帝国动画版，2019上半年勒索病毒专题报告