勒索病毒专题（一）谈谈勒索病毒的“前世今生”

公安网安警务室

自2017年5月12日一场全球性互联网灾难—Wannaycry借助高危漏洞“永恒之蓝”爆发以来，勒索病毒正式进入广大公众视野，给政府企业网络安全建设敲醒了“警钟”。此后，安全软件与勒索病毒的技术对抗不断升级，勒索病毒的攻击也日益呈现出技术手段更成熟，攻击目标更精准，产业分工更具体的特性。

一、勒索病毒概述

勒索病毒是一类利用加密算法对文件进行加密，拒绝用户访问其电脑或者电脑中数据，并以此要求用户支付赎金的一类恶意软件，主要以邮件、程序木马、网页挂马的形式进行传播。随着匿名货币为人熟知，以及漏洞利用工具包的工程化利用，勒索病毒已经成为当今网络安全的“网红”威胁之一，而我国也是受勒索病毒攻击最严重的国家之一。
勒索病毒大致可分为两类：一种是通过技术手段，锁定用户机器。这类Android手机中较为常见；另一类则是直接使用强加密算法直接加密用户的高价值文件（文档，图片，设计图纸，模型等），同时不破坏用户系统的正常功能。目前在PC中流行的主要为这一类。

二、病毒发展简史

勒索病毒的发展大致可以分为以下阶段。

（一）萌芽期1989年，AIDS trojan是世界上第一个被载入史册的勒索病毒，从而开启了勒索病毒的时代。早期的勒索病毒主要通过钓鱼邮件，挂马，社交网络方式传播，使用转账等方式支付赎金，其攻击范畴和持续攻击能力相对有限，相对容易追查。

（二）成型期2013下半年开始，是现代勒索病毒正式成型的时期。勒索病毒使用AES和RSA对特定文件类型进行加密，使破解几乎不可能。同时要求用户使用虚拟货币支付，以防其交易过程被跟踪。大多数情况下，这些恶意软件本身并不具有主动扩散的能力。
（三）产业化自2016年开始，然而随着漏洞利用工具包的流行，尤其是 “The ShadowBrokers” （影子经纪人）公布方程式黑客组织的工具后，其中的漏洞攻击工具被黑客广泛应用。典型的例子，就是WannaCry勒索蠕虫病毒的大发作，是破坏性病毒和蠕虫传播的联合行动，其目的不在于勒索钱财，而是制造影响全球的大规模破坏行动。
在此阶段，勒索病毒已呈现产业化、家族化持续运营。在整个链条中，各环节分工明确，完整的一次勒索攻击流程可能涉及勒索病毒作者、勒索实施者、传播渠道商、代理。

勒索病毒产业化链条

（四）多样化自2018年开始，常规的勒索木马技术日益成熟。已将攻击目标从最初的大面积撒网无差别攻击，转向精准攻击高价值目标。比如直接攻击医疗行业，企事业单位、政府机关服务器，包括制造业在内的传统企业面临着日益严峻的安全形势。越来越多基于脚本语言开发出的勒索病毒开始涌现，甚至开始出现使用中文编程“易语言”开发的勒索病毒，如使用Python系列的“Py-Locker”勒索病毒。

三、最新感染动态

2019全年，勒索病毒攻击以1月份攻击次数最多，下半年整体攻击次数较上半年有所下降。主要原因为部分老牌勒索家族对企业网络的攻击更加精准，致企业遭遇勒索病毒的损失更加严重。

从接受到的勒索反馈来看，通过加密用户系统内的重要资料文档、数据，再勒索虚拟币实施犯罪仍为当前勒索病毒攻击的的主要形式。

国内遭受勒索病毒攻击中，广东，北京，江苏，上海，河北，山东最为严重，其它省份也有遭受到不同程度攻击。传统企业，教育，政府机构遭受攻击最为严重，互联网，医疗，金融，能源紧随其后。

四、活跃勒索病毒

勒索病毒发展至今粗略计算有20多个家族共50多类变种。观察2019全年勒索病毒活跃度，GlobeImposter家族最为活跃，该病毒在国内传播主要以其12生肖系列，12主神系列为主（加密扩展后缀中包含相关英文，例如：.Zeus865），各政企机构都是其重点攻击目标，其次为Crysis系列家族，该家族伙同其衍生Phobos系列一同持续活跃，紧随GlobeImposter之后。

（一）GlobeImposterGlobeImposter最早出现于2017年，2018年8月呈多地爆发态势，此病毒攻击主要针对开放远程桌面服务的服务器，攻击者通过暴力破解服务器密码，对内网服务器发起扫描并人工投放勒索病毒，导致文件被加密。
加密文件完成后会留下名为HOW TO BACK YOURFILES.(txt html exe)类型的勒索说明文件。该病毒加密扩展后缀繁多，其规模使用且感染泛滥的类型有12生肖4444，12生肖/主神666，12生肖/主神865，12生肖/主神865qq等系列，由于该病毒出现至今仍然无有效的解密工具。

（二）CrysisCrysis勒索病毒从2016年开始具有勒索活动，该家族主要通过RDP爆破进行植入服务器进行勒索，加密后文件后以java后缀结尾，由于CrySiS采用AES+RSA的加密方式，目前无法解密。
加密文件后通常会添加“ID+邮箱+指定后缀”格式的扩展后缀，该ID为磁盘ID也作为声明中感染机器的ID。硬盘内的除系统所有文件全部被加密了，加密后的文件全部以“.arrow”、“.arena”、“.big”等为结尾。

（三）GandCrabGandCrab勒索病毒首次出现于2018年1月，是国内首个使用达世币（DASH）作为赎金的勒索病毒，目前已连续出现了5个大版本的变种迭代，非常活跃，主要通过RDP爆破、邮件、漏洞、垃圾网站挂马等方式进行传播，其自身不具备感染传播能力，不会主动对局域网的其他设备发起攻击，会加密局域网共享目录文件夹下的文件。
病毒遍历主机文件目录，生成随机后缀名的加密文件，加密完成之后，通过ShellExecuteW函数调用wmic.exe程序，删除磁盘卷影，最后，生成勒索信息文件并修改桌面背景。

...

五、主要攻击特征

企业用户将会成为勒索病毒定向攻击的主要对象，可以勒索更多的赎金。勒索攻击主要以RDP爆破为主（包括企业内网渗透），黑客攻击成功率高。勒索病毒将会使用更多漏洞进行攻击，漏洞攻击往往用户没有感知。黑客入侵内网之后，将利用脆弱性进行横向传播，达到加密、勒索的目的。

六、重点勒索事件

（一）GandCrab V5.2冒充某政府机关进行鱼叉邮件攻击国内安全厂商监测到不法分子正在使用GandCrab5.2勒索病毒对我国政府部分政府部门工作人员进行鱼叉邮件攻击。邮件附件中包含的病毒由于使用了RSA+Salsa20的加密方式，无法拿到病毒作者手中私钥常规情况下无法解密。

（二）Globelmposter变种来袭，多家企业中招2019年3月初，Globelmposter勒索病毒再次发起大规模攻击，此次攻击主要以国内公共机构服务器为主要攻击对象，该病毒通过暴力破解弱口令入侵受害服务器，运行后会加密磁盘空间中除Windows目录和.***4444后缀外的常见文件类型，导致关键数据库或程序无法访问，导致多家医疗机构受到不同程度的感染，对业务连续性造成了极其严重的影响。

（三）“天堂”伸出恶魔之手，Paradise勒索病毒再度席卷2019年3月下旬，国内安全厂商接到客户反馈其主机被加密勒索，经过跟踪分析，确认入侵样本为Paradise勒索病毒变种。此次的变种借用了CrySiS家族的勒索信息，代码结构也与早期版本有了很大的区别。

七、病毒未来趋势

（一）  PC上价值最高的依然为用户数据，故勒索病毒依然为用户面临的主要安全威胁之一；
（二） 企业用户数据价值较高，且内网环境复杂，依然是勒索病毒的重点攻击对象；
（三） 随着技术的普及、勒索病毒产业链的成熟，黑客加入勒索病毒的门槛越来越低，因此勒索病毒有可能变得更多样、更新更频繁；
（四）目前受到的勒索病毒攻击主要是windows系统，但陆续也出现了MacOS、Android等平台的勒索病毒，随着windows的防范措施完善，将来黑客也可能转向攻击其他平台。
（五） 由于勒索病毒和挖矿木马的攻击方式和传播渠道几乎完全一样，目前已有不法黑客，如Satan病毒团伙，同时采用勒索病毒和挖矿木马双重攻击，给用户带来更大的损失。 网络安全的本质就是攻防两端力量和资源的对抗，知己知彼，方可有的放矢，才能在严峻的网络安全形势中处于主动。下篇请阅“勒索病毒的处置建议”。