2021年已过三分之二，除了应对新冠病毒持续的冲击外，全球各行业还在面对一种持续激增、愈发顽固的“流行病”——勒索病毒。据海外研究团队Check Point Research统计，2021年5月勒索病毒攻击次数相对年初增加了41%，相对2020年6月同比增加了 93%。

根据深信服最新颁布的《2021上半年勒索病毒趋势报告》， 可以从「4大观察维度+3大攻击演变」窥探当前勒索病毒的野蛮生长情况：数据显示，勒索病毒加速进化，攻击手法持续迭代，甚至对特定的行业、地域具有明显的针对性。

勒索病毒攻击手法究竟发生了哪些变化？病毒对哪些行业与地域穷追猛打？接下来带您一探究竟……

4大观察维度

看看你离被勒索病毒感染有多远？

今年上半年，深信服终端安全团队持续追踪国内各大勒索事件，从“感染行业分布”、“攻击咨询行业分布”、“感染地域分布”和“病毒活跃家族”四大维度观察勒索病毒最新动态，并总结出了相应的规律。

1. 勒索病毒感染行业：教育行业占比创历史新高

根据云端感染统计数据，部分校园网由于大量设备疏于安全加固与漏洞修复，受Wannacry感染严重，因此，教育行业受感染比例创历史新高，占据近半壁江山，其影响力和危害性不容忽视。其次，企业、制造业、医疗卫生等行业因数据重要性与经济实力，依旧成为勒索病毒主要攻击目标，受到不同程度影响。

2. 勒索攻击咨询行业：能源与地产行业成新靶

深信服终端安全团队统计了上半年接到的攻击事件线下咨询，数据显示，医疗、教育、制造业等行业延续着以往的高频攻击。值得关注的是，能源行业和地产行业受到勒索病毒攻击的频率正逐步升高。

3. 勒索病毒感染地域：沿海发达城市为“易感群体”

从感染地域分布来看，广东、安徽、浙江、江苏等沿海城市，因对外贸易往来较为发达，受勒索病毒感染最为严重。

4. 勒索病毒活跃家族：Wannacry依然让企业“想哭”

从深信服云端数据统计来看，Wannacry仍然依靠“永恒之蓝”漏洞（MS17-010）占据勒索病毒感染量榜首。尽管Wannacry勒索病毒已经无法触发加密，但其感染数据反映了当前仍存在大量主机没有针对常见高危漏洞进行合理加固的现象。

深信服终端检测响应平台EDR轻补丁功能，

无需重启打补丁，一键防护高危漏洞，拒绝“永恒之蓝”

勒索病毒家族 TOP 5 快来看清真面目

点击图片下方的文字链接可查看相关的分析文章

《紧急预警：Globelmposter再次攻击医疗行业，爆“十二生肖”2.0新变种》

《Globelmposter勒索病毒最新变种预警：从“十二生肖”到“十二主神”，为何国内医疗行业最受伤？》

《GlobeImposter勒索病毒新变种C4H东山再起》

《3.25 亿！REvil 勒索团伙又出动，深信服 EDR 来给用户打个“勒索病毒预防针”》

《技术揭秘：勒索苹果代工厂5000万美元的REvil有什么不同？》

《Sodinokibi新变种呈现定制化，疑似团伙连续作案》

《准备交赎金？当心Phobos勒索病毒二次加密！》

《利用IQY（Excel Web Query）文件分发，Buran勒索病毒又出新变种》

《Hospit勒索变种瞄准制造业，深信服首发解密工具》

3大攻击演变

勒索病毒持续翻新 防病毒要打持久战

尽管勒索病毒活跃家族的格局依然稳定，但在巨大经济利益的驱使下，勒索团伙不断研究病毒的变种及攻击形式，使其不断进行自我进化。

1. 从“加密数据”到 “三重勒索”的改变

先从最初的单一加密勒索演化到“双重勒索”，即在加密前攻击者会先窃取大量受害者敏感数据，威胁受害者如果不缴纳赎金则公开数据。而近期演化出的“三重勒索”模式，则是在双重勒索的基础上增加了DDoS攻击威胁。

Avaddon勒索团伙发布勒索声明，图片来源：Hackread.com

2. 从“散装攻击”到“定向攻击”的转型

早期的勒索病毒攻击靠批量扫描发现薄弱点，目标较为分散，主要分布于中小企业，行业范围没有限制。但近期，勒索攻击与高级持续性威胁相结合，演化出针对高价值目标的定向勒索，例如制造业、金融、医疗等。更有甚者，在攻击前会研究企业的经济状况，根据其支付能力决定赎金多少。

海外厂商报道勒索团伙会根据金融时报决定下个攻击目标

3. 从“单一平台”到“多种平台”的扩展

目前为止，受勒索病毒影响最普遍的仍然是 Windows 系统，但近年来，逐渐出现了针对 Windows 以外的勒索病毒。早在2018年，深信服终端安全团队曾报道过一款名为 Lucky 的跨平台勒索病毒，利用 Tomcat 漏洞针对 Linux 和 Windows 系统进行无差别攻击。

深信服千里目报道《国内首例！Lucky勒索病毒攻击Linux与Windows》

4+7+1勒索病毒防治药方

科学抗病毒，深信服奉上“灵丹妙药”

深信服基于多年来为1000+各行业用户提供有效的勒索病毒防护，在实践中沉淀出系统性解决方案。面对勒索病毒新的变化趋势，深信服推出「4+7+1勒索病毒防治药方」，其中全新升级的勒索病毒防护解决方案，将帮助用户更有效应对高级勒索威胁。

深信服「4+7+1勒索病毒防治药方」

● 4个预防动作，提升免疫力

● 7绝句快速响应，病毒来了不慌张

● 1套勒索病毒防护解决方案，全方位贴心防护

● 防治药方：4个预防动作，提升免疫力

当“病毒”在进化，攻击团伙在努力，这注定是一场没有硝烟的“战争”。正如有些人往往等病重了才去看病，多数企业在被勒索后才“病急乱投医”，但造成的严重损失已无法挽回。科学的“防疫药方”在于事前预防，为企业网络安全“戴紧口罩”。

1.资产管理：管理资产是安全运营工作的基础工作，明确资产对象，形成资产台账，是后续安全运营工作能够顺利开展的关键要素。

2.风险排查及修复：定期排查企业网络中的风险项，包括高危可利用漏洞、高危端口、设备弱口令以及安全设备策略等，及时对风险项进行加固调整，减少暴露面，同时应关注安全设备上攻击事件和勒索事件的实时告警，进行快速响应。

3.有效备份：针对业务类型选择合适的备份，核心数据尽量定期异地备份，若不幸失陷，备份恢复能够将损失最小化。

4.安全意识：人是企业安全防范中最薄弱的环节，很多内部风险的起因往往是由于人的安全意识匮乏导致，因此，内部安全意识培养十分重要。

● 防治药方：7绝句快速响应，病毒来了不慌张

正如新冠病毒爆发初期，当事态发展到难以控制的局面，在有关专家的呼吁下，大部分人才开始觉醒：如果在疫情发展初期足够重视，可以将风险降到可控范围的最低状态。因此如果不慎中了勒索病毒，不用慌张，深信服为你送上“快速响应七绝句”：

1.梳理资产，确认灾情：尽快判断影响面，有利于后续工作开展及资源投入，确认感染数量、感染终端业务归属、感染家族等详情。

2.保留现场，断开网络：尽快断网，降低影响面，保留现场，不要轻易重启或破坏（若发现主机还没完成加密的情况，可以即刻断电，交给专业安全人员处理），避免给后续溯源分析、解密恢复带来困难。

3.确认诉求，聚焦重点：受害者企业必须明确核心诉求（数据解密、加固防御、入侵分析、样本分析、企业内网安全状况评估等），应急响应人员必须根据核心诉求，按照紧急程度依次开展工作。

4.样本提取，数据收集：通过人工排查或工具扫描定位感染设备中是否还有勒索病毒文件、黑客工具文件残留，进行采样提取，并对勒索信息文件、加密后缀、系统日志等信息进行即时的保存。

5.判断家族，尝试解密：根据勒索信息文件和加密后缀进行家族搜索，确认是否有解密工具；如果获取到解密工具，需要将原加密数据备份后再进行解密，谨防损坏后永久性丢失数据。

6.溯源取证，封堵源头：通过对主机日志、安全产品日志的详细排查，定位入侵来源，还原攻击过程，尽快对攻击入口进行封堵。

7、加固防御，以绝后患：针对事件暴露的安全风险点进行较为完整的安全加固。

如若转载，请注明原文地址