近(jìn)日(rì)，騰訊安全正式對(du<‌'ì)外(wài)發布《2020上(shàng)半年(nián)勒索病毒報(bào)告φΩ≥★》（以下(xià)簡稱“報(bào£"¶→)告”）。《報(bào)告》顯示，上(sh£$àng)半年(nián)全球大(dà)型企業(yè)遭受勒索病毒εγ< 打擊的(de)事(shì)件(jiàn)依然高(gāo)頻(pín)₽∑₽€發生(shēng)。其中，最活躍的(de)勒索病毒家(jiā)族發起針對(du£←ì)性極強的(de)大(dà)型“狩獵”活動，對(duì)企β→業(yè)開(kāi)出天價解密贖金(jīn)；新型勒索病毒層出不(bù)窮，☆→技(jì)術(shù)上(shàng)不(δ§♠→bù)斷進化(huà)。而勒索手段也(yě)從(cóng)單純'↔α的(de)贖金(jīn)換密鑰，升級到(dào)不(bù)給贖金(jīn)就(ji∑"ù)公開(kāi)機(jī)密數(shù)據。騰訊安全也(yě)提供從(™±♥cóng)威脅情報(bào)到(dào)安全産品的(de)整體(tǐ ®↕∑)防護解決方案，協助企業(yè)抵禦勒索病毒攻擊。

據騰訊安全威脅情報(bào)大(dà)δ↔數(shù)據顯示，2020上(shàng)半年(n§↕€÷ián)勒索病毒依舊(jiù)十分(fēn)活躍，但(dànπ•φ​)總體(tǐ)感染情況較去(qù)年(nián)略有(yǒu)下(xià)降。從(cóng)勒索↓¥ 病毒攻擊的(de)地(dì)區(qū)分(fēn ≤)布看(kàn)，廣東(dōng)、浙江、山(shān)東(dōng)、河(hé)南™ ≠↑(nán)、上(shàng)海(hǎi)等經濟較發達地(dì)區(δ₩‍qū)成為(wèi)重點目标，其它省份也(yě)遭受到(d≠★ào)不(bù)同程度攻擊。從(cóng)勒索γ'"¥病毒影(yǐng)響的(de)行(xíng)業(yè)看(kàn)，數(sh↓≥ ∑ù)據價值較高(gāo)的(de)傳統企業↔φ(yè)、教育、醫(yī)療、政府機(jī)構§×Ω遭受攻擊最為(wèi)嚴重，互聯網、金(φσ✘jīn)融、能(néng)源行(xíng)業(yè)緊随其後，λ∞也(yě)遭到(dào)勒索病毒攻擊影(yǐng)響。

攻擊更精準，不(bù)交贖金(jīn)立即公開(kāi)敏感數(shù)據

由于攻擊政企機(jī)構更容易獲得(de) $±©贖金(jīn)，于是(shì)活躍勒索病毒團夥越§¶來(lái)越多(duō)地(dì)将高(gāo)價值大(dà)型政 "₽¶企機(jī)構作(zuò)為(wèi)重點打•δ✔擊對(duì)象。據《報(bào)告》顯'±示，為(wèi)了(le)追求利益最大(dà)化(huà)，多(duō)數(shù)情況下(•♣xià)，攻擊者在攻陷企業(yè)一(yī)台網絡資産之後，會(huì)利©←用(yòng)該資産持續滲透攻陷更多(duō)資産，之後‍♥£大(dà)量植入文(wén)件(jiàn)加密模塊，從(cóng₽♥)而迫使企業(yè)在業(yè)務系統大(dà)面積癱瘓的∞γ∏ε(de)情況下(xià)繳納贖金(jīn)。

注：上(shàng)圖的(de)勒索病毒樣本僅針對( ₹ 'duì)特定目标的(de)IT設備

此外(wài)，為(wèi)避免勒索失敗，攻擊者還(hái)采取了(le)新的✘∞(de)勒索策略。即，先竊取政企機(jī)構敏感數(shù)據，再對(duì)企業(yè) ∑§£資産進行(xíng)加密。如(rú)果企業(y∑™•βè)拒絕繳納贖金(jīn)解密，就(jiù)在€✘暗(àn)網“恥辱牆”頁面公開(kāi)企業(yè)部分(≤↕‌fēn)敏感數(shù)據進一(yī)步實施勒索，若企業(yè)依然β←εβ拒絕繳納贖金(jīn)，勒索團夥就(jiù)會(huì)直接公開÷∏(kāi)所竊取的(de)企業(yè)敏感數(shù)據。對(duì)于大(dà)型企業✔•÷(yè)而言，數(shù)據洩露帶來(lái)的(de)不(bù)止有(yǒu)經濟上∞ ↑→(shàng)的(de)損失，還(hái)會(huì" ®)嚴重影(yǐng)響企業(yè)形象，使自(zì) $¥↓身(shēn)失去(qù)公衆信任。因此，面對(d¥​uì)這(zhè)種以洩露數(shù)據為(wèi)手段的(de)勒£↓αε索攻擊，就(jiù)算(suàn)企業(yè£ ​)有(yǒu)數(shù)據備份，也(yě)隻能(néng)被迫選擇支付贖金(jīn)。

加密、合作(zuò)、定制(zhì)化(huà)，勒索病毒技(jì)術(shù)手段升級

經過長(cháng)期的(de)演變，勒索病π€"↕毒在“勒索”這(zhè)件(ji↔¥↔àn)事(shì)上(shàng)越發成熟。

首先，為(wèi)了(le)對(duì)攻擊目标進行(xíng)精準打§ 擊，很(hěn)多(duō)勒索病毒會(huì)→σ利用(yòng)僵屍網絡龐大(dà)的(de)感染λ•基數(shù)進行(xíng)迅速擴張。例如(rú)GandCrab勒索Ω©λ↕團夥就(jiù)借助Phorpiex僵屍 ♥'¥網絡的(de)持續投遞獲利超20億美(měi)金(jīn)。而新開(kā™∑i)發出的(de)勒索家(jiā)族為(wπ→α¶èi)了(le)快(kuài)速切入市(shì)♣$ ♣場(chǎng)，也(yě)會(huì)選擇與僵屍網絡進行(xíng)合作(z↕φuò)以獲得(de)市(shì)場(chǎng)知π™σ(zhī)名度。據《報(bào)告》顯示，僵屍網絡♦¥σ已成為(wèi)勒索病毒傳播渠道(dào)的(de)中♠λα堅力量，在勒索病毒事(shì)件(jiàn)溯源中的(de)占比越來(lái)越高(gāo"ε)。

其次，為(wèi)了(le)提升加密效率降低(dī)資源消耗，勒索≠£病毒作(zuò)者在加密流程的(de)細節上(shàng)進行(xíng)優化(huà§÷)。從(cóng)早期的(de)單線程文(wén)件(jiàn)加密 ©，升級到(dào)針對(duì)每個(gè)磁盤分(fē¶☆n)區(qū)進行(xíng)多(duō)線程加密；從(cóng)單一γ✔(yī)的(de)x86可(kě)執行(xíng)病毒版本‍✔☆∏到(dào)增加x64可(kě)執行(xíng)版本；利用(yòng)高(gāo)危漏洞→¥進行(xíng)內(nèi)核提權，或使用(yòng)壓縮打包的(de)方式進行(xín₩₹£g)提權來(lái)加密更多(duō)文±¥(wén)件(jiàn)等等。此外(wài)，勒索病毒還(hái)開(kāi)始擴©≤大(dà)加密範圍，不(bù)止加密文(wén)件(ji§‍βàn)，同時(shí)對(duì)文(wén)件(jiàn)名也(yě)進行¥§€✘(xíng)加密。

值得(de)一(yī)提的(de)是(shì)，勒索病毒還(hái)開(kā→× ‌i)始了(le)“聯手”合作(zuò)。騰訊安全專家(jiā)觀察發現(x™ →αiàn)，有(yǒu)攻擊者攜帶不(bù)止一(yī)種勒索病毒。據推測，這(zhè)可(kě¶λ'↓)能(néng)是(shì)攻擊者為(w ‌♦ èi)避免單一(yī)病毒由于安全環境等問(wèn)題導緻的(de)加密失敗，而開(k©≥āi)始與多(duō)個(gè)勒索病毒家(jiā)族合作(zuò)。同時(shí)，更多↓​(duō)的(de)勒索病毒開(kāi)始針對(duì)國(guó)α®≤內(nèi)市(shì)場(chǎng)做(zuò)優化(huà)，例如(rú)增加中文(wén)±"版本的(de)勒索信件(jiàn)，勒索加密擴展後綴使<♦×用(yòng)具有(yǒu)國(guó)內(nèi)風(fēn÷♥​≈g)格的(de)命名方式等。由此可(kě)見(jiàn)，β£國(guó)內(nèi)依然為(wèi)勒索團夥關注最為(wèi)密切的(de)市(shì)場↔✘ (chǎng)之一(yī)。

加強信息安全建設，保障企業(yè)不(b←£ù)被“勒索”

面對(duì)嚴峻的(de)勒索病毒威脅态勢，《報(bào)告》中>‍指出可(kě)按照(zhào)“∏δ♦三不(bù)三要(yào)”思路(lù)進行(xíng)日(rì)常安全管理(l $♠ ǐ)，以提高(gāo)企事(shì)業(yγ§♠±è)單位及政府機(jī)構的(de)網絡安全意識。即标題吸引人(rén)的(de) §$未知(zhī)郵件(jiàn)不(bù)要(yào)點→ 開(kāi)、不(bù)随便打開(kāi)電(diàn)→​✘子(zǐ)郵件(jiàn)附件(jiàn)、不(bù)随意點擊電(diàn)子(zα•&ǐ)郵件(jiàn)中的(de)附帶網址；重要(yào)資料要(yào)備份、開(γ÷kāi)啓電(diàn)子(zǐ)郵件(jiàn)前确認發件(jiàn)人(rén)可(kě)信¥♣、系統補丁/安全軟件(jiàn)病毒庫保持實時(shí)更新。

同時(shí)，騰訊安全專家(jiā)提醒廣大(dà)政企用₹×(yòng)戶，可(kě)根據業(yè)務節點攔截位置部署專業(επφ™yè)的(de)安全産品，并根據騰訊安全威脅情報(bào)中心提供的(de)情報(bख़o)數(shù)據配置各節點聯防聯動、統一(yī)協調管理(lǐ)，提升整體(tǐ)≤↑"網絡抗攻擊能(néng)力。