勒索病毒

據火絨監測，勒索病毒主要通過三種途徑傳播：漏洞、郵件和廣告推廣。

通過漏洞發起的攻擊佔攻擊總數的87.7%。由於win7、xp等老舊系統存在大量無法及時修復的漏洞，而政府、企業、學校、醫院等局域網機構用户使用較多的恰恰是win7、xp等老舊系統，因此也成為病毒攻擊的重災區，病毒可以通過漏洞在局域網中無限傳播。相反，win10系統因為強制更新，幾乎不受漏洞攻擊的影響。

通過郵件與廣告推廣的攻擊分別為7.4%、3.9%。雖然這兩類傳播方式佔比較少，但對於有收發郵件、網頁瀏覽需求的企業而言，依舊會受到威脅。

此外，對於某些特別依賴U盤、記錄儀辦公的局域網機構用户來説，外設則成為勒索病毒攻擊的特殊途徑。 ^[3] 

勒索病毒一般分兩種攻擊對象，一部分針對企業用户(如xtbl，wallet)，一部分針對所有用户。

該類型病毒的目標性強，主要以郵件為傳播方式。

勒索病毒文件一旦被用户點擊打開，會利用連接至黑客的C&C服務器，進而上傳本機信息並下載加密公鑰。然後，將加密公鑰寫入到註冊表中，遍歷本地所 有磁盤中的Office 文檔、圖片等文件，對這些文件進行格式篡改和加密;加密完成後，還會在桌面等明顯位置生成勒索提示文件，指導用户去繳納贖金。

該類型病毒可以導致重要文件無法讀取，關鍵數據被損壞，給用户的正常工作帶來了極為嚴重的影響。

一般勒索病毒，運行流程複雜，且針對關鍵數據以加密函數的方式進行隱藏。以下為APT沙箱分析到樣本載體的關鍵行為：

1、調用加密算法庫；

2、通過腳本文件進行Http請求；

3、通過腳本文件下載文件；

4、讀取遠程服務器文件；

5、通過wscript執行文件；

6、收集計算機信息；

7、遍歷文件。

該樣本主要特點是通過自身的解密函數解密回連服務器地址，通過HTTP GET 請求訪問加密數據，保存加密數據到TEMP目錄，然後通過解密函數解密出數據保存為DLL，然後再運行DLL (即勒索者主體)。該DLL樣本才是導致對數據加密的關鍵主體，且該主體通過調用系統文件生成密鑰，進而實現對指定類型的文件進行加密，即無需聯網下載密鑰即可實現對文件加密。

同時，在沙箱分析過程中發現了該樣本大量的反調試行為，用於對抗調試器的分析，增加了調試和分析的難度。 ^[4] 

根據勒索病毒的特點可以判斷，其變種通常可以隱藏特徵，但卻無法隱藏其關鍵行為，經過總結勒索病毒在運行的過程中的行為主要包含以下幾個方面：

1、通過腳本文件進行Http請求；

2、通過腳本文件下載文件；

3、讀取遠程服務器文件；

4、收集計算機信息；

5、遍歷文件；

6、調用加密算法庫。

為防止用户感染該類病毒，我們可以從安全技術和安全管理兩方面入手：

1、不要打開陌生人或來歷不明的郵件，防止通過郵件附件的攻擊；

2、儘量不要點擊office宏運行提示，避免來自office組件的病毒感染；

3、需要的軟件從正規（官網）途徑下載，不要雙擊打開.js、.vbs等後綴名文件；

4、升級到最新的防病毒等安全特徵庫；

5、升級防病毒軟件到最新的防病毒庫，阻止已存在的病毒樣本攻擊；

6、定期異地備份計算機中重要的數據和文件，萬一中病毒可以進行恢復。 ^[5] 

2017年5月12日，一種名為“想哭”的勒索病毒襲擊全球150多個國家和地區，影響領域包括政府部門、醫療服務、公共交通、郵政、通信和汽車製造業。

2017年6月27日，歐洲、北美地區多個國家遭到“NotPetya”病毒攻擊。烏克蘭受害嚴重，其政府部門、國有企業相繼“中招”。

2017年10月24日，俄羅斯、烏克蘭等國遭到勒索病毒“壞兔子”攻擊。烏克蘭敖德薩國際機場、首都基輔的地鐵支付系統及俄羅斯三家媒體中招，德國、土耳其等國隨後也發現此病毒。 ^[6] 

2018年2月，多家互聯網安全企業截獲了Mind Lost勒索病毒。 ^[7] 

2018年2月，中國內便再次發生多起勒索病毒攻擊事件。經騰訊企業安全分析發現，此次出現的勒索病毒正是GlobeImposter家族的變種，該勒索病毒將加密後的文件重命名為.GOTHAM、.Techno、.DOC、.CHAK、.FREEMAN、.TRUE、.TECHNO等擴展名，並通過郵件來告知受害者付款方式，使其獲利更加容易方便。 ^[8] 

2018年3月1日，有殺毒軟件廠商表示，他們監測到了“麒麟2.1”的勒索病毒。 ^[9] 

2018年3月，國家互聯網應急中心通過自主監測和樣本交換形式共發現23個鎖屏勒索類惡意程序變種。該類病毒通過對用户手機鎖屏，勒索用户付費解鎖，對用户財產和手機安全均造成嚴重威脅。 ^[10] 

從2018年初到9月中旬，勒索病毒總計對超過200萬台終端發起過攻擊，攻擊次數高達1700萬餘次，且整體呈上升趨勢。 ^[3] 

2018年12月1日，火絨安全團隊曝光了一個以微信為支付手段的勒索病毒在國內爆發。幾日內，該勒索病毒至少感染了10萬台電腦，通過加密受害者文件的手段，已達到勒索贖金的目的，而受害者必需通過微信掃一掃支付110元贖金才能解密。

2018年12月7日，平安東莞賬號證實“12.05”特大新型勒索病毒案已被偵破，根據上級公安機關“淨網安網2018”專項行動有關部署，東莞網警在省公安廳網警總隊的統籌指揮，24小時內火速偵破“12.05”特大新型勒索病毒破壞計算機信息系統案，抓獲病毒研發製作者羅某某（男，22歲，廣東茂名人），繳獲木馬程序和作案工具一批 ^[11]  。

2019年3月，瑞星安全專家發現通過發送恐嚇郵件，誘使用户下載附件，導致重要文件被加密且無法解密的GandCrab5.2勒索病毒。 ^[12] 

2020年4月，網絡上出現了一種名為“WannaRen”的新型勒索病毒，與此前的“WannaCry”的行為類似，加密Windows系統中幾乎所有文件，後綴為.WannaRen，贖金為0.05個比特幣。 ^[13] 

據共同社21日報道，日本警察廳20日發佈消息稱，法國辦案部門逮捕了疑似索要贖金型電腦病毒“勒索病毒”犯罪團伙的外籍主要成員。日企也曾遭到“勒索病毒”攻擊。 ^[14]