2020上半年全球十大典型勒索软件大盘点

天地和兴工业网络安全研究院对所监测到的众多勒索软件攻击事件进行梳理，注意到勒索攻击的目标正向石油、天燃气、能源、制造等关键基础设施行业发展。本文筛选10个典型的、比较活跃的勒索软件，通过简要分析其攻击的目标、路径、手段及主要特征，以此警示关键信息基础设施利益相关方，警钟常鸣，防患未然。

典型勒索软件：

1、勒索软件Maze

Maze勒索软件是ChaCha的一个变种，最早出现于2019年5月。该病毒声称，解密赎金额度取决于被感染电脑的重要程度，包括个人电脑、办公电脑、服务器，这意味着高价值目标受攻击后解密付出的代价也会相应的更高。

2、勒索软件Ryuk

Ryuk勒索病毒最早于2018年8月被首次发现，它是由俄罗斯黑客团伙GrimSpider幕后操作运营。GrimSpider是一个网络犯罪集团，使用Ryuk勒索软件对大型企业及组织进行针对性攻击。这款勒索病在国外比较流行，主要针对一些大型企业进行定向攻击勒索。Ryuk特别狡诈的一个功能是可以禁用被感染电脑上的Windows系统还原Windows System Restore选项，令受害者更难以在不支付赎金的情况下找回被加密的数据。鉴于攻击者针对的是高价值受害者，赎金目标也转为大型企业。

3、勒索软件Sodinokibi/ REvil

Sodinokibi勒索病毒（也称REvil），2019年5月24日首次在意大利被发现。主要通过Oracle WebLogic漏洞、Flash UAF漏洞、网络钓鱼邮件、RDP端口、漏洞利用工具包以及攻击一些托管服务提供商MSP等方式发起攻击。不仅告诉人们“不付赎金就拿不回数据”，还会威胁称“将在网上公开或在地下论坛竞拍这些机密数据”。这种新的勒索方式将此商业模式推升到了新的高度。

4、勒索软件DoppelPaymer

DoppelPaymer代表了勒索软件攻击的新趋势—勒索文件加密和数据窃取双管齐下。根据安全研究人员的说法，此类恶意软件首先会窃取数据，然后向受害者发送赎金勒索消息，而不是像传统勒索软件一样就地加密锁死数据。2019年中期以来一直活跃，今年3月美国精密零件制造商Visser遭此勒索软件攻击，意外泄漏特斯拉、波音、SpaceX等公司有关的敏感文件。DoppelPaymer 勒索软件最早于2019年6月被发现，主要通过RDP暴力破解和垃圾邮件进行传播，邮件附件中带有一个自解压文件，运行后释放勒索软件程序并执行。

5、勒索软件NetWalker

NetWalker（又名Mailto）勒索软件最早于2019年8月首次发现，Mailto是基于加密文件名格式的勒索软件的名称，Netwalker是基于勒索软件的勒索信内容给出的名称，目前针对的目标是企业和政府机构，近期开始活跃。Netwalker活动背后的攻击者使用常见的实用程序、开发后工具包和living-off-The-land，LOTL策略来探索一个受到破坏的环境，并尽可能多地获取数据。此勒索病毒成为了无档案病毒（fileless malware），能够保持持续性，并利用系统内的工具来进行攻击而不被侦测到和杀软查杀。

6、勒索软件CLOP

Clop勒索软件于2019年2月出现在公众视野中，Clop背后团队的主要目标是加密企业的文件，收到赎金后再发送解密器。目前Clop仍处于快速发展阶段。该恶意软件暂无有效的解密工具，致受害企业大量数据被加密而损失严重。与其他勒索病毒不同的是，Clop勒索软件部分情况下携带了有效的数字签名，数字签名滥用和冒用在以往情况下多数发生在流氓软件和窃密类木马程序中。勒索软件携带有效签名的情况极为少见，这意味着该软件在部分拦截场景下更容易获取到安全软件的信任，进而感染成功，造成无法逆转的损失。

7、勒索软件EKANS

EKANS勒索软件（也称Snake），于2020年1月首次被发现，是一种新的勒索软件，专门针对工业控制系统。EKANS代码中包含一系列特定用于工业控制系统功能相关的命令与过程，可导致与工业控制操作相关的诸多流程应用程序停滞。EKANS勒索软件是用Golang编写的，将整个网络作为目标，并且存在大量混淆。其中，包含了一种常规混淆，这种混淆在以前并不常见，通常是与目标方法结合使用。

8、勒索软件Nefilim

Nefilim出现于2020年3月，可能是通过公开的RDP（远程桌面服务）进行分发。Nefilim与Nemty共享许多相同的代码，主要的不同之处在于，Nefilim移除了勒索软件即服务（RaaS）的组件，依靠电子邮件进行支付，而不是Tor支付网站。Nefilim使用AES-128加密文件，每个加密的文件都将附加.NEFILIM扩展名，加密完成后，调用cmd命令进行自我删除。释放的勒索信中包含不同的联系电子邮件，并且威胁如果在7天内未支付赎金，将会泄漏数据。

9、勒索软件Ragnar Locker

RagnarLocker勒索软件在2019年12月底首次出现，是一种新的勒索软件，将恶意软件部署为虚拟机（VM），以逃避传统防御。勒索软件的代码较小，在删除其自定义加壳程序后仅有48KB，并且使用高级编程语言（C/C++）进行编码。目标往往是公司，而不是个人用户。该恶意软件的目标是对可以加密的所有文件进行加密，并提出勒索，要求用户支付赎金以进行解密。

10、勒索软件PonyFinal

一种新型的人工勒索软件“PonyFinal”，通过手动启动有效载荷来部署攻击。它对目标公司的系统管理服务器使用“暴力手段”，无需依靠诱骗用户通过网络钓鱼链接或电子邮件来启动有效负载。主要针对在COVID-19危机中的医疗卫生机构。PonyFinal的入侵点通常是公司系统管理服务器上的一个账户，PonyFinal的黑客们使用猜测弱密码的暴力攻击来攻击该帐户。一旦黑客进入内部系统后，他们会部署Visual Basic脚本，该脚本会运行PowerShell反向外壳程序以转储和窃取本地数据。

思考及建议：

在工业企业场景中，勒索软件惯用的攻击向量主要是弱口令、被盗凭据、RDP服务、USB设备、钓鱼邮件等，有效防范勒索软件攻击，仍需要针对性做好基础防御工作，构建和扩张深度防御，从而保障企业数据安全，促进业务良性发展。

1、强化端点防护

及时加固终端、服务器，所有服务器、终端应强行实施复杂口令策略，杜绝弱口令；安装杀毒软件、终端安全管理软件并及时更新病毒库；及时安装漏洞补丁；服务器开启关键日志收集功能，为安全事件的追溯提供基础。

2、关闭不需要的端口和服务

严格控制端口管理，尽量关闭不必要的文件共享权限以及关闭不必要的端口（RDP服务的3389端口），同时使用适用的防恶意代码软件进行安全防护。

3、采用多因素认证

利用被盗的员工凭据来进入网络并分发勒索软件是一种常见的攻击方式。这些凭据通常是通过网络钓鱼收集的，或者是从过去的入侵活动中获取的。为了减少攻击的可能性，务必在所有技术解决方案中采用多因素身份验证（MFA）。

4、全面强化资产细粒度访问

增强资产可见性，细化资产访问控制。员工、合作伙伴和客户均遵循身份和访问管理为中心。合理划分安全域，采取必要的微隔离。落实好最小权限原则。

5、深入掌控威胁态势

持续加强威胁监测和检测能力，依托资产可见能力、威胁情报共享和态势感知能力，形成有效的威胁早发现、早隔离、早处置的机制。

6、制定业务连续性计划

强化业务数据备份，对业务系统及数据进行及时备份，并验证备份系统及备份数据的可用性；建立安全灾备预案。同时，做好备份系统与主系统的安全隔离，避免主系统和备份系统同时被攻击，影响业务连续性。业务连续性和灾难恢复（BCDR）解决方案应成为在发生攻击时维持运营的策略的一部分。

7、加强安全意识培训和教育

员工安全意识淡漠，是一个重要问题。必须经常提供网络安全培训，以确保员工可以发现并避免潜在的网络钓鱼电子邮件，这是勒索软件的主要入口之一。将该培训与网络钓鱼演练结合使用，以掌握员工的脆弱点。确定最脆弱的员工，并为他们提供更多的支持或安全措施，以降低风险。

8、定期检查

每三到六个月对网络卫生习惯、威胁状况、业务连续性计划以及关键资产访问日志进行一次审核。通过这些措施不断改善安全计划。及时了解风险，主动防御勒索软件攻击并减轻其影响。

此外，无论是企业还是个人受害者，都不建议支付赎金。支付赎金不仅变相鼓励了勒索攻击行为，而且解密的过程还可能会带来新的安全风险。

编辑 / 苏丁