2021年已過三分之二，除了應對新冠病毒持續的沖擊外，全球各行業還在面對一種持續激增、愈發頑固的“流行病”——勒索病毒。據海外研究團隊Check Point Research統計，2021年5月勒索病毒攻擊次數相對年初增加了41%，相對2020年6月同比增加了93%。

根據深信服最新頒布的《2021上半年勒索病毒趨勢報告》，可以從「4大觀察維度+3大攻擊演變」窺探當前勒索病毒的野蠻生長情況：數據顯示，勒索病毒加速進化，攻擊手法持續迭代，甚至對特定的行業、地域具有明顯的針對性。

勒索病毒攻擊手法究竟發生了哪些變化？病毒對哪些行業與地域窮追猛打？接下來帶您一探究竟……

4大觀察維度 看看你離被勒索病毒感染有多遠？

今年上半年，深信服終端安全團隊持續追蹤國內各大勒索事件，從“感染行業分布”、“攻擊咨詢行業分布”、“感染地域分布”和“病毒活躍家族”四大維度觀察勒索病毒最新動態，并總結出了相應的規律。

勒索病毒感染行業：教育行業占比創歷史新高

根據云端感染統計數據，部分校園網由于大量設備疏于安全加固與漏洞修復，受Wannacry感染嚴重，因此，教育行業受感染比例創歷史新高，占據近半壁江山，其影響力和危害性不容忽視。其次，企業、制造業、醫療衛生等行業因數據重要性與經濟實力，依舊成為勒索病毒主要攻擊目標，受到不同程度影響。

 

勒索攻擊咨詢行業：能源與地產行業成新靶

深信服終端安全團隊統計了上半年接到的攻擊事件線下咨詢，數據顯示，醫療、教育、制造業等行業延續著以往的高頻攻擊。值得關注的是，能源行業和地產行業受到勒索病毒攻擊的頻率正逐步升高。

勒索病毒感染地域：沿海發達城市為“易感群體”

從感染地域分布來看，廣東、安徽、浙江、江蘇等沿海城市，因對外貿易往來較為發達，受勒索病毒感染最為嚴重。

勒索病毒活躍家族：Wannacry依然讓企業“想哭”

從深信服云端數據統計來看，Wannacry仍然依靠“永恒之藍”漏洞（MS17-010）占據勒索病毒感染量榜首。盡管Wannacry勒索病毒已經無法觸發加密，但其感染數據反映了當前仍存在大量主機沒有針對常見高危漏洞進行合理加固的現象。

▲深信服終端檢測響應平臺EDR輕補丁功能，無需重啟打補丁，一鍵防護高危漏洞，拒絕“永恒之藍” 

 

勒索病毒家族TOP 5 快來看清真面目

<<  滑動查看更多  >>

3大攻擊演變 勒索病毒持續翻新 防病毒要打持久戰

盡管勒索病毒活躍家族的格局依然穩定，但在巨大經濟利益的驅使下，勒索團伙不斷研究病毒的變種及攻擊形式，使其不斷進行自我進化。

從“加密數據”到“三重勒索”的改變

先從最初的單一加密勒索演化到“雙重勒索”，即在加密前攻擊者會先竊取大量受害者敏感數據，威脅受害者如果不繳納贖金則公開數據。而近期演化出的“三重勒索”模式，則是在雙重勒索的基礎上增加了DDoS攻擊威脅。

▲Avaddon勒索團伙發布勒索聲明，圖片來源：Hackread.com

 

從“散裝攻擊”到“定向攻擊”的轉型

早期的勒索病毒攻擊靠批量掃描發現薄弱點，目標較為分散，主要分布于中小企業，行業范圍沒有限制。但近期，勒索攻擊與高級持續性威脅相結合，演化出針對高價值目標的定向勒索，例如制造業、金融、醫療等。更有甚者，在攻擊前會研究企業的經濟狀況，根據其支付能力決定贖金多少。

▲海外廠商報道勒索團伙會根據金融時報決定下個攻擊目標

 

從“單一平臺”到“多種平臺”的擴展

目前為止，受勒索病毒影響最普遍的仍然是Windows系統，但近年來，逐漸出現了針對Windows以外的勒索病毒。早在2018年，深信服終端安全團隊曾報道過一款名為Lucky的跨平臺勒索病毒，利用Tomcat漏洞針對Linux和Windows系統進行無差別攻擊。

▲深信服千里目報道《國內首例！Lucky勒索病毒攻擊Linux與Windows》

 

4+7+1勒索病毒防治藥方 科學抗病毒，深信服奉上“靈丹妙藥”

深信服基于多年來為1000+各行業用戶提供有效的勒索病毒防護，在實踐中沉淀出系統性解決方案。面對勒索病毒新的變化趨勢，深信服推出「4+7+1勒索病毒防治藥方」，其中全新升級的勒索病毒防護解決方案，將幫助用戶更有效應對高級勒索威脅。 

防治藥方：4個預防動作，提升免疫力

當“病毒”在進化，攻擊團伙在努力，這注定是一場沒有硝煙的“戰爭”。正如有些人往往等病重了才去看病，多數企業在被勒索后才“病急亂投醫”，但造成的嚴重損失已無法挽回。科學的“防疫藥方”在于事前預防，為企業網絡安全“戴緊口罩”。

1.資產管理：管理資產是安全運營工作的基礎工作，明確資產對象，形成資產臺賬，是后續安全運營工作能夠順利開展的關鍵要素。

2.風險排查及修復：定期排查企業網絡中的風險項，包括高?？衫寐┒?、高危端口、設備弱口令以及安全設備策略等，及時對風險項進行加固調整，減少暴露面，同時應關注安全設備上攻擊事件和勒索事件的實時告警，進行快速響應。

3.有效備份：針對業務類型選擇合適的備份，核心數據盡量定期異地備份，若不幸失陷，備份恢復能夠將損失最小化。

4.安全意識：人是企業安全防范中最薄弱的環節，很多內部風險的起因往往是由于人的安全意識匱乏導致，因此，內部安全意識培養十分重要。

防治藥方：7絕句快速響應，病毒來了不慌張

正如新冠病毒爆發初期，當事態發展到難以控制的局面，在有關專家的呼吁下，大部分人才開始覺醒：如果在疫情發展初期足夠重視，可以將風險降到可控范圍的最低狀態。因此如果不慎中了勒索病毒，不用慌張，深信服為你送上“快速響應七絕句”：

1.梳理資產，確認災情：盡快判斷影響面，有利于后續工作開展及資源投入，確認感染數量、感染終端業務歸屬、感染家族等詳情。

2.保留現場，斷開網絡：盡快斷網，降低影響面，保留現場，不要輕易重啟或破壞（若發現主機還沒完成加密的情況，可以即刻斷電，交給專業安全人員處理），避免給后續溯源分析、解密恢復帶來困難。

3.確認訴求，聚焦重點：受害者企業必須明確核心訴求（數據解密、加固防御、入侵分析、樣本分析、企業內網安全狀況評估等），應急響應人員必須根據核心訴求，按照緊急程度依次開展工作。

4.樣本提取，數據收集：通過人工排查或工具掃描定位感染設備中是否還有勒索病毒文件、黑客工具文件殘留，進行采樣提取，并對勒索信息文件、加密后綴、系統日志等信息進行即時的保存。

5.判斷家族，嘗試解密：根據勒索信息文件和加密后綴進行家族搜索，確認是否有解密工具；如果獲取到解密工具，需要將原加密數據備份后再進行解密，謹防損壞后永久性丟失數據。

6.溯源取證，封堵源頭：通過對主機日志、安全產品日志的詳細排查，定位入侵來源，還原攻擊過程，盡快對攻擊入口進行封堵。

7.加固防御，以絕后患：針對事件暴露的安全風險點進行較為完整的安全加固。 

防治藥方：1套勒索病毒防護解決方案，全方位貼心防護

如果說，遭遇勒索病毒是“天災”，缺乏常態化安全防御是“人禍”，那么，為防護企業數據安全，需要購買一份“醫療健康保險”——深信服勒索病毒防護解決方案。

深信服全新升級的勒索病毒防護解決方案，以“安全設備+勒索預防與響應服務”為基礎，圍繞邊界投毒+病毒感染+加密勒索+橫向傳播的完整勒索攻擊鏈，全面幫助用戶補齊在勒索預防、監測、處置能力方面的缺失，構建有效預防、持續監測、高效處置的勒索病毒防護體系。

3大功效，強力對抗勒索病毒

1.全面排查，有效防御：在勒索發生之前，通過深信服下一代防火墻AF內置的防勒索策略模板攔截網絡投毒攻擊，并通過深信服終端檢測響應平臺EDR對終端提供登錄保護與病毒查殺，同時，安全服務人員基于大量勒索病毒Checklist協助消除勒索隱患，并進行防御策略調優，降低被勒索的概率。

2.持續監測，全程保護：深信服安全感知平臺SIP可基于全流量監測分析，快速發現查殺失敗并在內網開始擴散的疫情，同時安全服務專家提供7*24h持續監測服務，發現疫情后主動進行預警。

3.快速響應，高效處置：一旦新型病毒攔截查殺失敗，開始在內網爆發，安服人員可在5分鐘內快速響應，第一時間聯動SIP和EDR隔離病毒源遏制疫情擴散，同時通過網端關聯舉證分析，進一步定位病毒文件，線上線下協助用戶最終完成病毒清除和業務恢復，降低業務損失。