2018勒索病毒白皮书.docx

2018勒索病毒白皮书(政企篇) 360终端安全实验室 2019年2月 PAGE 3 摘 要 2018年，勒索病毒攻击整体态势以服务器定向攻击为主，辅以撒网式无差别攻击手段。 2018年共有430余万台（只包括国内且不含WannaCry数据）计算机遭受勒索病毒攻击；GandCrab、GlobeImposter、CrySis这三大家族勒索病毒的受害者最多，合计占比高达80.2%；勒索病毒最常使用的攻击手段是远程桌面弱口令暴力破解攻击。 勒索病毒对政企单位的攻击以单点试探为主，79.8%仅尝试攻击一台终端；政府行业的单位最容易遭到勒索病毒攻击，占被攻击单位总数的21.0%；金融行业的终端最容易遭到勒索病毒攻击，占被攻击终端总数的31.8%。 5月是政企单位感染勒索病毒的最高峰，其数值是最低谷（2月）的5.3倍；政府单位是感染勒索病毒的重灾区，被感染数量占被感染单位总数的24.1%；GlobeImposter最难防范，34.0%的受害政企单位感染了该勒索病毒；各大勒索病毒都爱感染政府行业。 政企单位可以通过业务系统无法访问、电脑桌面被篡改、文件后缀被篡改等方式判断是否感染了勒索病毒。如果已经感染了勒索病毒，建议通过隔离中招主机、排查业务系统、联系专业人员进行自救等多种方式，在等待专业人员救助之前有效止损。 政企单位防范勒索病毒建议从七个方面着手，即及时更新最新的补丁库、杜绝弱口令、重要资料定期隔离备份、提高网络安全基线、保持软件使用的可信、选择正确的反病毒软件、建立高级威胁深度分析与对抗能力。  目 录 TOC \o 1-2 \h \z \u 第一章，勒索病毒整体攻击态势 1 一、 整体态势 1 二、 活跃家族 1 三、 传播特点 2 第二章，政企遭遇勒索攻击分析 5 一、 攻击力度 5 二、 感染分析 6 第三章，勒索病毒发展趋势预测 9 一、 紧跟漏洞发展步伐 9 二、 更多的传播方式 9 三、 攻击面和目标扩大化 9 四、 被攻击的设备种类不断扩大 9 第四章，勒索病毒应急响应指南 10 一、 如何判断中毒 10 二、 如何紧急自救 11 三、 如何进行恢复 11 四、 如何避免中毒 13 附录1、2018热点勒索病毒事件 15 附录2、关于360终端安全实验室 17 附录3、关于360天擎新一代终端安全管理系统 17 附录4、关于360天擎终端安全响应系统 18 PAGE 4 第一章，勒索病毒整体攻击态势 2018年，勒索病毒攻击特点也发生了变化：2017年，勒索病毒由过去撒网式无差别攻击逐步转向以服务器定向攻击为主，而2018年，勒索病毒攻击则以服务器定向攻击为主，辅以撒网式无差别攻击手段。 整体态势 摘要：2018年共有430余万台计算机遭受勒索病毒攻击，12月攻击最盛。 根据360互联网安全中心的数据（包括360安全卫士和360杀毒的查杀数据），2018年共计430余万台计算机遭受勒索病毒攻击（只包括国内且不含WannaCry数据）。值得关注的是，在2018年11月和12月，由于GandCrab勒索病毒增加了蠕虫式（蠕虫下载器）攻击手段以及Satan勒索病毒加强了服务器攻击频次，导致攻击量有较大上升。 需要指出的是，以上趋势仅基于监控数据，实际许多用户是黑客通过服务器攻击渗透入侵内网后投放的勒索病毒，亦或用户终端不联网通过内网其他机器感染的勒索病毒，这些情形下是无法监控到数据的。 活跃家族 摘要：2018年GandCrab、GlobeImposter、CrySis这三大家族勒索病毒的受害者最多，合计占比高达80.2%。 根据360反勒索服务统计的数据，2018年GandCrab、GlobeImposter、CrySis这三大家族勒索病毒的受害者最多，合计占比约80.2%。本年度的活跃家族除了少数病毒，都有针对政企用户进行的攻击，因此企业用户仍然是勒索病毒最热衷的攻击对象。360终端安全实验室统计的用户反馈数据，大体和这个数据类似，后文将有详细分析。 以下是360反勒索服务统计数据得到的分析图： 传播特点 摘要：2018年度勒索病毒最常使用的攻击手段是远程桌面弱口令暴力破解攻击。 勒索病毒采用的传播手段和其他病毒类似，不过2018年度最为常用的攻击手段却是远程桌面弱口令暴力破解攻击，大量政企、个人用户反馈的勒索病毒都是基于此攻击方式。 下面根据病毒传播影响范围、危害大小列出最常用的几种攻击方式。 1.弱口令攻击 有多种系统或软件的弱口令遭受攻击，这里勒索病毒最常用的是远程桌面登录弱口令。除此外，勒索病毒弱口令攻击还包括针对数据库系统、Tomcat管理账户、VNC等弱口令的攻击