报告｜《2018勒索病毒白皮书（政企篇）》（一）

近日，360企业安全旗下360终端安全实验室发布《2018勒索病毒白皮书（政企篇）》，白皮书从“勒索病毒整体攻击态势”、“政企遭遇勒索攻击分析”、“勒索病毒发展趋势预测”及“勒索病毒应急响应指南”等四个章节对2018年勒索病毒进行了分析，还汇总了2018年度的热点勒索病毒事件。

数据显示，2018年，全国共有430余万台计算机遭受勒索病毒攻击；攻击以服务器定向攻击为主，辅以撒网式无差别攻击手段；较常使用的攻击手段是远程桌面弱口令暴力破解。2018年，政府单位较容易遭到勒索病毒攻击，占被攻击单位总数的21.0%；金融终端较容易遭到勒索病毒攻击，占被攻击终端总数的31.8%。在感染勒索病毒的政企单位中，政府单位数量较多，占被感染单位总数的24.1%；感染GlobeImposter的较多，占被感染单位总数的34.0%。

章 勒索病毒整体攻击态势

2018年，勒索病毒攻击特点发生了变化：2017年，勒索病毒由过去撒网式无差别攻击逐步转向以服务器定向攻击为主，而2018年，勒索病毒攻击则以服务器定向攻击为主，辅以撒网式无差别攻击手段。

一 整体态势

摘要：

2018年共有430余万台计算机遭受勒索病毒攻击，12月攻击较盛。

根据360互联网安全中心的数据（包括360安全卫士和360杀毒的查杀数据），2018年共计430余万台计算机遭受勒索病毒攻击（只包括国内且不含WannaCry数据）。值得关注的是，在2018年11月和12月，由于GandCrab勒索病毒增加了蠕虫式（蠕虫下载器）攻击手段以及Satan勒索病毒加强了服务器攻击频次，导致攻击量有较大上升。

需要指出的是，以上趋势仅基于监控数据，实际许多用户是黑客通过服务器攻击渗透入侵内网后投放的勒索病毒，亦或用户终端不联网通过内网其他机器感染的勒索病毒，这些情形下是无法监控到数据的。

二 活跃家族

摘要：

2018年GandCrab、GlobeImposter、CrySis这三大家族勒索病毒的受害者较多，合计占比高达80.2%。

根据360反勒索服务统计的数据，2018年GandCrab、GlobeImposter、CrySis这三大家族勒索病毒的受害者较多，合计占比约80.2%。本年度的活跃家族除了少数病毒，都有针对政企用户进行的攻击，因此企业用户仍然是勒索病毒较热衷的攻击对象。360终端安全实验室统计的用户反馈数据，大体和这个数据类似，后文将有详细分析。

三 传播特点

摘要：

2018年度勒索病毒较常使用的攻击手段是远程桌面弱口令暴力破解攻击。

勒索病毒采用的传播手段和其他病毒类似，不过2018年度较为常用的攻击手段却是远程桌面弱口令暴力破解攻击，大量政企、个人用户反馈的勒索病毒都是基于此攻击方式。

下面根据病毒传播影响范围、危害大小列出较常用的几种攻击方式。

1.弱口令攻击

有多种系统或软件的弱口令遭受攻击，这里勒索病毒较常用的是远程桌面登录弱口令。除此外，勒索病毒弱口令攻击还包括针对数据库系统、Tomcat管理账户、VNC等弱口令的攻击。

2.U盘蠕虫

U盘蠕虫过去主要用于传播远控和挖矿病毒，但在2018年11月突然出现传播GandCrab勒索病毒的现象。360终端安全实验室曾对该类蠕虫做了详细分析，具体可参见：这种传播方式的出现，导致2018年11月GandCrab勒索病毒突然成规模的爆发，令许多用户遭受攻击。

3.系统、软件漏洞

由于许多用户安全意识不足，导致许多NDay漏洞被黑客利用进行攻击。2018年，有多个勒索软件家族通过Windows系统漏洞或Web应用漏洞入侵Windows服务器。其中较具代表性的当属Satan勒索病毒，Satan勒索病毒较早于2018年3月在国内传播，其利用多个Web应用漏洞入侵服务器，如下表所示。

4.其他攻击方式

除此之外，其他攻击方式的影响要小不少，这些方式主要包括：

（1）软件供应链攻击：以unnamed1989勒索病毒（“微信支付勒索病毒”）为代表，该勒索病毒主要是因为开发者下载了带有恶意代码的易语言第三方模块，导致调用该模块所开发出来的软件均被感染了恶意代码。根据统计，在此次事件中被感染的软件超过50余种。此外RushQL Oracle数据库勒索病毒也属于软件供应链攻击。

（2）无文件攻击方式：比如GandCrab勒索病毒就采用了“无文件攻击”进行传播，其技术原理主要通过Powershell将GandCrab编码加密后以内存载荷方式加载运行，实现全程无恶意代码落地，从而躲避安全软件的检测。

（3）邮件附件传播：这种方式通过邮件附件传播病毒下载器，诱使用户点击运行下载器下载勒索病毒后中毒。此方式在2016-2017年是勒索病毒较常见的传播方式，但在2018年已经很少被采用。