解密文件近1354萬次 360安全大腦發(fā)布《2020年勒索病毒疫情分析報告》

B站知名UP主被攻擊、德國醫(yī)院遭勒索導(dǎo)致病患死亡、富士康1200臺服務(wù)器淪陷……縱觀已經(jīng)過去的2020年，除了“新冠”疫情給全行業(yè)帶來的沖擊外，勒索病毒威脅再次領(lǐng)跑了2020年最熱門的網(wǎng)絡(luò)安全話題，結(jié)合數(shù)據(jù)泄露的“二次勒索”模式更是成為年度熱點。

近日，360安全大腦發(fā)布了《2020年勒索病毒疫情分析報告》(以下簡稱《報告》)，從勒索病毒攻擊態(tài)勢、受害者及攻擊者分析、勒索病毒發(fā)展趨勢和安全建議等維度，總結(jié)了2020年度勒索病毒的活動情況。

《報告》顯示，2020年中，360反勒索服務(wù)共接收并處理勒索病毒攻擊求助3800余例，其中超過3700例確認(rèn)遭受勒索病毒攻擊。其中，企業(yè)大量設(shè)備“中毒”的情況較多，加之“二次勒索”模式的流行，所造成的安全風(fēng)險和經(jīng)濟損失較往年更為嚴(yán)重。可以說，無論是對個人用戶、還是企業(yè)用戶，勒索病毒依然是網(wǎng)絡(luò)安全領(lǐng)域最主要的安全威脅。

傳統(tǒng)勒索病毒家族依然活躍，廣東“中招”案例排名第一

根據(jù)360反勒索服務(wù)數(shù)據(jù)，PC端Windows系統(tǒng)下phobos、GlobeImposter、Crysis這三大勒索病毒家族的受害者占比最多，合計占到了52.46%。TOP10的勒索病毒家族中，僅BeijingCrypt勒索病毒為本年新增家族，其他勒索病毒均在去年甚至幾年前便一直活躍。

盡管勒索病毒家族傳統(tǒng)格局依然穩(wěn)固，但以數(shù)據(jù)泄露為要挾的“二次勒索”模式還是流行了起來。通過對黑客發(fā)布泄露數(shù)據(jù)網(wǎng)站進(jìn)行跟蹤統(tǒng)計，2020年全年涉及數(shù)據(jù)泄露的勒索病毒家族占比前三依次為：Maze家族占比22.67%、Egregor家族占比16.12%、Conti家族占比14.05%。其中Egregor家族是在Maze逐漸退出歷史舞臺時才出現(xiàn)的一個家族，該家族被猜測為Maze家族的“繼承者 ”。

從勒索病毒的投遞方式來看，遠(yuǎn)程桌面入侵仍然是用戶計算機被感染的最主要方法。共享文件夾被加密，成為危害用戶數(shù)據(jù)安全的第二大因素。在這里，360安全團隊提醒用戶，設(shè)置共享文件需謹(jǐn)慎，可通過其他方式來實現(xiàn)文件同步、協(xié)作。尤其需要注意的是，在運行激活、破解工具之前，應(yīng)在有安全軟件防護狀態(tài)下進(jìn)行，不應(yīng)輕易將其加入信任區(qū)。

該報告還針對勒索病毒感染的地域、系統(tǒng)、行業(yè)、人群和贖金支付情況進(jìn)行了詳細(xì)的數(shù)據(jù)解讀，多維度呈現(xiàn)2020年勒索病毒疫情受害者群像。從受害者地域分布來看，依舊是以信息產(chǎn)業(yè)發(fā)達(dá)和人口密集的地區(qū)為主，其中廣東以19.06%的比例排名第一;從受攻擊系統(tǒng)分布來看，Windows 10系統(tǒng)以31.14%的比例躍居首位，與往年數(shù)據(jù)有較大的變化——2019年受勒索病毒攻擊的系統(tǒng)中超過四成是Windows 7系統(tǒng)。

從受害者行業(yè)分布來看，服務(wù)業(yè)以21.8%的比例居首位，其中又以律師行業(yè)被攻擊的概率最高;從求助者性別分布來看，男性占比高達(dá)93.83%，遠(yuǎn)遠(yuǎn)高于女性，這或許與IT技術(shù)行業(yè)以男性員工為主體有很大的關(guān)系。在勒索病毒受害者中，有98%的受害者在受到勒索病毒攻擊時不會支付贖金，這其中主要是因為不相信攻擊者會守信解密，不愿向黑客低頭這一原因次之。

“新冠疫情”成為誘餌，供應(yīng)鏈威脅升級

《報告》顯示，目前流行的勒索病毒家族幾乎都是采用內(nèi)嵌密鑰以及直接投毒的方式進(jìn)行傳播;在黑客的聯(lián)系方式上，則更多地使用了電子郵箱、洋蔥網(wǎng)絡(luò)聊天室以及Telegram;黑客攻擊的主要手段是對設(shè)備直接進(jìn)行入侵或橫向移動入侵，其中遠(yuǎn)程桌面弱口令攻擊是最常見攻擊手段。

從勒索病毒入侵來源國家或地區(qū)占比來看，美國、法國、俄羅斯分別以28.18%、17.21%、12.10%的比例位居前三;從勒索聯(lián)系郵箱的供應(yīng)商分布來看，勒索病毒作者更偏愛ProtonMail、Tutanota、Aol三家網(wǎng)站所提供的郵箱服務(wù)，而這或許是出于自身習(xí)慣、隱藏信息、注冊便捷度等幾方面綜合考慮后的結(jié)果。

從攻擊手段來看，弱口令攻擊——即有限口令暴破攻擊,依然是今年最為流行的攻擊手段。使用過于簡單的口令、已經(jīng)泄露的口令或一些內(nèi)置的固定口令是造成設(shè)備被攻陷的最常見原因。其中，針對企業(yè)的勒索病毒攻擊，是企業(yè)當(dāng)前最為擔(dān)憂的一類安全問題，對企業(yè)的勒索也貢獻(xiàn)了絕大部分的贖金收入。

受疫情影響，釣魚軟件攻擊也變得活躍起來。例如今年就出現(xiàn)使用COVID-19相關(guān)內(nèi)容主題做為釣魚誘餌的攻擊，使用的主題有：“疫苗、口罩供應(yīng)不足”、“健康調(diào)查報告”、“冠狀病毒最新信息”等，攻擊者總是能找到最引人關(guān)注的話題，誘騙被攻擊者打開釣魚郵件。

值得一提的是，供應(yīng)鏈攻擊也在最近幾年的安全事件中頻頻發(fā)生，其隱蔽性較高、發(fā)現(xiàn)難度大、影響范圍廣、時間跨度長，經(jīng)常被APT組織用來作為攻擊工具。比如2020年底震動整個安全圈的SolarWinds供應(yīng)鏈攻擊——手法隱蔽，攻擊持續(xù)了近一年時間，受影響大型公司、政府部門有上千家之多，足見其威力巨大。

此外，利用系統(tǒng)與軟件漏洞攻擊、網(wǎng)站掛馬攻擊和破解軟件與激活工具攻擊也是攻擊者常用的“投毒”方式。

勒索病毒深刻影響現(xiàn)實生活秩序 360安全大腦利劍出擊

2020年，新冠疫情深刻影響了大眾的生活、工作方式，線上辦公、遠(yuǎn)程會議、各類智能識別技術(shù)等信息技術(shù)手段都參與到了我們現(xiàn)實生活的世界中。在我們享受信息技術(shù)帶來的便利的同時，伴隨而來的網(wǎng)絡(luò)攻擊——尤其是勒索病毒攻擊，對現(xiàn)實生活秩序的影響力也越來越大。

在勒索病毒威脅面前，沒有人能夠置身事外。例如今年9月，德國杜塞多夫大學(xué)醫(yī)院遭勒索軟件攻擊之后轉(zhuǎn)院的病人因搶救不及時死亡。而國內(nèi)的情況也不容樂觀，企業(yè)、醫(yī)院、政府部門因勒索病毒原因停工、停產(chǎn)、業(yè)務(wù)暫停的情況也有發(fā)生?？梢哉f，勒索病毒不再只是一個安全行業(yè)的詞匯，也更多的影響著普通大眾。

關(guān)于未來的發(fā)展趨勢，根據(jù)報告預(yù)測可以得知，勒索病毒的攻擊形式隨著技術(shù)發(fā)展不斷變化，其傳播方式、攻擊目標(biāo)突破傳統(tǒng)局限性，向多元化、低門檻、廣分發(fā)等方向傳播。其中，信息泄露加劇、攻擊手段升級、變現(xiàn)渠道拓寬、勒索軟件擴散，都是值得密切關(guān)注的發(fā)展方向。在此基礎(chǔ)上，勒索病毒對政企和個人用戶帶來的安全威脅將不可同日而語。

對此，報告著重介紹了360安全大腦的反勒索防護能力，綜合360安全大腦驅(qū)動下的360解密大師、360安全衛(wèi)士和反勒索服務(wù)的整體實力，對抗勒索病毒這一首要威脅。在360安全大腦強勢賦能下，360解密大師作為全球規(guī)模最大、最有效的勒索病毒解密工具，2020年全年共計更新版本19次，新增25個家族及變種的解密，累計支持解密勒索病毒超過345種，2020年全年服務(wù)用戶超20651臺次，解密文件近1354萬次，挽回?fù)p失超4億元人民幣。

與此同時，針對令暴破攻擊和系統(tǒng)或軟件服務(wù)漏洞攻擊，360安全衛(wèi)士提供了“遠(yuǎn)程桌面暴破防護”、RPC暴破防護、SMB協(xié)議暴破防護、SQL Server暴破防護、VNC暴破防護、Tomcat暴破防護等一系列防護，同時還增加了對金萬維、瑞友的防護支持;在漏洞保護方面，增加有WebLogic、JBoss、Tomcat等多種服務(wù)器常見軟件的漏洞防護，以及大量系統(tǒng)漏洞的防護能力。而針對企業(yè)內(nèi)網(wǎng)被滲透的問題，360安全衛(wèi)士新增了橫向滲透防護、無文件攻擊防護、常用軟件保護等安全能力，結(jié)合漏洞防護保障企業(yè)內(nèi)網(wǎng)不被輕易拿下。

最后，面對嚴(yán)峻的勒索病毒威脅態(tài)勢，360安全團隊分別為個人用戶和企業(yè)用戶給出有針對性的安全建議，希望能夠幫助盡可能多的用戶全方位的保護計算機安全，免受勒索病毒感染。

對于個人用戶來說，養(yǎng)成良好的安全習(xí)慣，是免遭勒索病毒攻擊的關(guān)鍵：

1、電腦應(yīng)當(dāng)安裝具有高級威脅防護能力和主動防御功能的安全軟件，不隨意退出安全軟件或關(guān)閉防護功能，對安全軟件提示的各類風(fēng)險行為不要輕易采取放行操作;

2、可使用安全軟件的漏洞修復(fù)功能，第一時間為操作系統(tǒng)和瀏覽器，常用軟件打好補丁，以免病毒利用漏洞入侵電腦;

3、盡量使用安全瀏覽器，減少遭遇掛馬攻擊、釣魚網(wǎng)站的風(fēng)險;

4、重要文檔、數(shù)據(jù)應(yīng)經(jīng)常做備份，一旦文件損壞或丟失，也可以及時找回;

5、電腦設(shè)置的口令要足夠復(fù)雜，包括數(shù)字、大小寫字母、符號且長度至少應(yīng)該有8位，不使用弱口令，以防攻擊者破解;

6、一旦電腦被勒索軟件感染，可以通過360反勒索服務(wù)尋求幫助，以盡可能的減小自身損失;

對于企業(yè)用戶來說，做好企業(yè)信息系統(tǒng)的保護是重中之重：

1、應(yīng)及時修復(fù)辦公終端和服務(wù)器漏洞、打補丁;

2、盡量關(guān)閉不必要的服務(wù)與對應(yīng)端口，做到不對外提供服務(wù)的設(shè)備不暴露于公網(wǎng)，降低對外服務(wù)系統(tǒng)的權(quán)限;

3、用復(fù)雜的登錄口令并定期更換十分重要，可及時避免受到當(dāng)下流行的弱口令攻擊;

4、注意提升安全運維人員的職業(yè)素養(yǎng)，時刻保持其警惕性;

5、發(fā)現(xiàn)中毒機器應(yīng)立即關(guān)閉其網(wǎng)絡(luò)和該計算機。關(guān)閉網(wǎng)絡(luò)能阻止勒索病毒在內(nèi)網(wǎng)橫向傳播，關(guān)閉計算機能及時阻止勒索病毒繼續(xù)加密文件;同時聯(lián)系安全廠商，對內(nèi)部網(wǎng)絡(luò)進(jìn)行排查處理;公司內(nèi)部所有機器口令均應(yīng)更換，你無法確定黑客掌握了內(nèi)部多少機器的口令。

最后，360安全團隊提醒用戶——無論是個人用戶還是企業(yè)用戶，一定不要支付贖金。支付贖金不僅變相鼓勵了勒索攻擊行為，而且解密的過程還可能會帶來新的安全風(fēng)險?？梢試L試通過備份、數(shù)據(jù)恢復(fù)、數(shù)據(jù)修復(fù)等手段挽回部分損失。

圍繞《2020年勒索病毒疫情分析報告》，360安全大腦全面、深刻地分析了本年度勒索病毒現(xiàn)狀，并通過數(shù)據(jù)分析和趨勢預(yù)判，幫助廣大互聯(lián)網(wǎng)用戶深入了解當(dāng)前勒索病毒發(fā)展態(tài)勢。未來，360安全大腦將繼續(xù)專注于流行病毒木馬的監(jiān)測、防御、處置和新安全威脅研究，在此基礎(chǔ)上為用戶提供橫向滲透防護、無文件攻擊防護、軟件劫持防護、挖礦木馬防護等多項防護功能，保護廣大網(wǎng)民與企業(yè)的上網(wǎng)安全。