1、 勒索病毒重点狩猎企业服务器，攻击更勒索病毒重点狩猎企业服务器，攻击更 加肆无忌惮加肆无忌惮 腾讯安全发布腾讯安全发布2020上半年勒索病毒报告上半年勒索病毒报告 一、一、勒索病毒勒索病毒危害危害半年半年概览概览 上半年全球大型企业遭受勒索病毒打击的事件依然高频发生， 勒索病毒对政企机构的精 准攻击形势依然严峻。 最活跃的勒索病毒家族发起针对性极强的大型狩猎活动， 对企业开出 天价解密赎金；新型勒索病毒层出不穷，技术上不断进化；从单纯的赎金换密钥，升级到不 给赎金就公开机密数据，勒索病毒黑产已变得更加肆无忌惮。 勒索病毒产业链针对政企目标的精确打击、不断革新的加密技能、规模化的商业运作， 正在

2、世界范围内持续产生严重危害。腾讯安全大数据显示，2020 上半年依旧十分活跃，但 勒索病毒总的感染情况较去年略有下降： 图 1 从勒索病毒攻击的地区分布看，广东、浙江、山东、河南、上海最为严重，其它省份也 有遭受到不同程度攻击。 图 2 从勒索病毒影响的行业看，传统企业、教育、医疗、政府机构遭受攻击最为严重，互联 网、金融、能源也遭到勒索病毒攻击影响。 图 3 二、二、上半年上半年勒索病毒攻击的主要勒索病毒攻击的主要特点特点 1. 攻击行动精确打击，潜伏、制造严重攻击行动精确打击，潜伏、制造严重破坏破坏，迫使受害者就，迫使受害者就 范范 活跃勒索病毒团伙， 越来越多地将高价值大型政企机构作为重

3、点打击对象。 为了追求利 益最大化，多数情况下，攻击者并不满足于加密企业内的一台机器。攻击者往往在攻陷企业 一台网络资产之后， 会利用该资产较长时间持续渗透攻陷更多资产， 之后大量植入文件加密 模块，从而迫使企业在业务系统大面积瘫痪的情况下缴纳赎金。 腾讯安全专家对勒索病毒的技术分析发现， 勒索团伙针对特定目标精准打击的特点极其 明显：2020 年 6 月，本田集团遭受 SNAKE 勒索团伙打击，全球范围内众多业务受影响， 该案例中就发现攻击团伙在病毒代码中硬编码了本田集团相关的系统名、公网 IP、域名信 传统行业传统行业 42% 教育教育 18% 互联网互联网 5% 医疗医疗 15% 政府机

4、构政府机构 15% 金融金融 2% 能源能源 1% 其它其它 2% 勒索病毒攻击的受害企业行业分布勒索病毒攻击的受害企业行业分布 息。这意味着勒索攻击行动是精心策划、蓄谋已久。 图 4 图 5 图 6 腾讯安全高级威胁追溯系统查询到该病毒样本仅针对本田公司 2. 从勒索赎金换密钥到不付赎金就公开企业机密从勒索赎金换密钥到不付赎金就公开企业机密 为了应对日益严重的勒索病毒攻击， 企业部署数据备份方案明显增多， 当遭遇勒索病毒 加密系统时，会首选自行恢复，而拒绝缴纳赎金。攻击者为避免勒索失败，采取了新的勒索 策略：攻击者先窃取政企机构敏感数据，之后再对企业资产进行加密。如果企业拒绝缴纳赎 金解密，

5、就在暗网“耻辱墙”页面公开企业部分敏感数据进一步实施勒索，如果企业依然拒 绝缴纳赎金，勒索团伙就会直接公开所窃取的企业敏感数据。 这种“业务创新“是 2019 年由 Maze 勒索病毒团伙率先实施，至今已被众多勒索团伙 效仿（Sodinokibi，Lockbit，Ako，NetWalker，CIop，DoppelPaymer.）。数据泄 露对大型企业而言，带来的不止有经济上的损失，还会严重影响企业形象，失去公众信任， 整体会带来极大的负面影响。 面对这种以泄露数据为手段的勒索攻击， 备份系统已无可奈何， 许多企业被迫选择支付赎金。 图 7 图 8 3. 僵尸网络成为勒索病毒传播的中坚力量僵尸网

6、络成为勒索病毒传播的中坚力量 腾讯安全团队观察到多个利用僵尸网络传播扩散的勒索病毒家族，例如 GandCrab 勒 索团伙获利超 20 亿美金， 该病毒与 Phorpiex 僵尸网络的持续投递就有着密不可分的关系。 Ryuk 勒索病毒长期以来依赖 Trickbot、Emotet 僵尸网络对大型企业进行精确打击，Ryuk 开出的勒索赎金通常为数百万元， 多个欧美国家政府机构在面对 Ryuk 的打击时选择了缴纳 赎金。 新开发出的勒索家族为了快速切入市场， 也会选择与僵尸网络进行合作， 依靠僵尸网络 庞大的感染基数迅速扩张，得到市场知名度以获取到与更多投递者的合作机会。2020 年至 今，腾讯安全

7、已观察到多起由僵尸网络发起的勒索病毒投递行为。例如 Phorpiex 僵尸网络 与 Nemty 勒索家族的长期合作投递；Phorpiex 僵尸网络投递新型 Avaddon 勒索病毒； Phorpiex 僵尸网络持续投递勒索恐吓邮件；匿影僵尸网络在以挖矿为主的盈利模式下也曾 投递传播 WannaRen 勒索病毒。僵尸网络已成为勒索病毒传播渠道的中坚力量，在勒索病 毒事件溯源中的占比越来越高。 图 9 Phorpiex 僵尸网络与 Nemty 勒索病毒的关系 图 10 Avaddon 勒索病毒与 Phorpiex 僵尸网络的关系 4. 勒索病毒勒索病毒技术升级：技术升级：加密性能加密性能提升提升，

8、企业损失企业损失扩大扩大 勒索病毒经过长期的演变， 技术上越发成熟， 勒索病毒作者在加密流程的细节上进行优 化，从早期的单线程文件加密，升级到针对每个磁盘分区进行多线程加密；从单一的 x86 可执行病毒版本到增加 x64 可执行版本；部分勒索病毒开始采用 IOCP1完成端口2对文件进 1 IOCP 是一种网络通信模型，是一种真正意义上的异步通信模型。 2 完成端口是系统维护的一个队列， 操作系统把重叠IO操作完成的事件通知放到该队列里， 由于是暴露 “操 作完成”的事件通知，所以命名为“完成端口”（Completion Ports）。 行异步加密读写过程，使得加密过程更高效资源消耗也较低，受害

9、者更加难以察觉；部分勒 索病毒为了加密更多文件，利用高危漏洞进行内核提权。例如 Sodinokibi 就直接使用了 CVE-2018-8453 进行 EOP 利用，也发现有勒索病毒使用压缩打包的方式进行提权 （ms16-032），勒索模块利用。勒索病毒也开始扩大加密范围，不止加密文件，同时对文 件名也进行加密。 图 11 勒索病毒利用漏洞提权的代码 图 12 勒索病毒将用户文件名也加密了 5. 攻击者携带多个攻击者携带多个勒索勒索病毒病毒投放投放，中文化中文化定制定制多见多见 在处理一些勒索事件现场时， 腾讯安全专家观察到有攻击者携带不止一种勒索病毒。 工 程师在处理 Medaslocker

10、勒索感染现场，发现攻击者遗留的勒索工具包，存在 GlobeImposter 勒索病毒样本。我们推测这是攻击者开始与多个勒索病毒家族合作，以避 免单一病毒由于安全环境等问题导致的加密失败。 同时， 更多的勒索病毒开始针对国内市场 做优化， 例如增加中文版本的勒索信件， 勒索加密扩展后缀使用具有国内风格的命名方式等， 国内依然为勒索团伙关注最为密切的市场之一。 图 13 图 14 中文版的勒索信 三、三、勒索病毒勒索病毒排行排行榜榜 观察 2020 上半年勒索病毒活跃度， Crysis 家族最为活跃， 该家族从 2016 年开始活跃， 其家族衍生 Phobos 系列变种在 2019 年 2 月开始

11、出现。 该病毒的攻击团伙擅长通过爆破弱 口令攻击大型企业；其次是被称为 GandCrab 接班人的 Sodinokibi，该病毒在传播手法、 作案方式、病毒行为与 GandCrab 勒索病毒较为相似，依然为 2020 年勒索病毒中最具威 胁的家族之一。同时，新型勒索病毒 Avaddon 出道之初就通过僵尸网络、垃圾邮件传播， 一度感染量激增，成为 2020 年最具威胁的新勒索病毒家族之一。 图 15 1. Crysis Crysis 勒索病毒从 2016 年开始具有勒索活动 ，加密文件完成后通常会添加“ID+邮 箱+指定后缀”格式的扩展后缀，例：“id-编号.bip“，其 家族衍生 Phobo

12、s 系列变种在 2019 年 2 月开始也有活跃。 该病毒通常使用弱口令爆破的方 式入侵企业服务器， 安全意识薄弱的企业由于多台机器使用同一弱密码， 面对该病毒极容易 引起企业内服务器的大面积感染，进而造成业务系统瘫痪。 Crysis Sodinokibi GlobeImposter Stop MedusaLocker Maze Nemty Scarab GarrantyDecrypt Avaddon 2020上半年勒索病毒排行榜上半年勒索病毒排行榜 图 16 2. Sodinokibi Sodinokibi 勒索病毒首次出现于 2019 年 4 月底， 由于之后 GandCrab 停止运营事

13、件， 该病毒紧跟其后将 GandCrab 勒索家族的多个传播渠道纳入自身手中。该病毒目前在国内 主要通过 web 漏洞和钓鱼邮件传播，也被国内厂商称为 GandCrab 的“接班人”，该病毒 的特点之一是病毒加密完成后会把壁纸修改为蓝色背景壁纸，因此也得名”锁蓝勒索“。 该病毒攻击时也会使用内核提权漏洞 CVE-2018-8453 将自身提升到 SYSTEM 权限， 已获得更多文件的读写权限，使得加密文件过程更加顺利。同时，该病毒也在不断的对国内 系统做定制化的操作（中文支持，国内大软件目录判断），毫无疑问，国内是该病毒的重点 打击目标之一。 图 17 3. GlobeImposter Glo

14、beImposter 出现于 2017 年中，加密文件完成后会留下名为 HOW TO BACK YOUR FILES.(txt、html、exe)，Decryption_Info.html 类型的勒索说明文件。该病毒加密 扩展后缀繁多，其规模使用且感染泛滥的类型有 12 生肖 4444，12 生肖/主神 666，12 生 肖/主神 865，12 生肖/主神 865qq，C*H 等系列，由于该病毒出现至今仍然无有效的解密 工具，各政企机构需提高警惕。 图 18 4. Stop Stop 勒索病毒家族在国内主要通过破解软件等工具捆绑进行传播，加密时通常需要下 载其它病毒辅助工作模块。 Stop 勒

15、索病毒使用勒索后缀变化极为频繁， 通常勒索 980 美元， 并声称 72 小时内联系病毒作者将获得 50%费用减免。 该病毒除加密文件外，还具备以下行为特点： 1) 加密时，禁用任务管理器、禁用 Windows Defender、关闭 Windows Defender 的实时监控功能; 2) 通过修改 hosts 文件阻止系统访问全球范围内大量安全厂商的网站； 3) 因病毒执行加密时，会造成系统明显卡顿，为掩人耳目，病毒会弹出伪造的 Windows 自动更新窗口； 4) 释放一个被人为修改后不显示界面的 TeamViewer 模块，用来实现对目标电脑的 远程控制； 5) 下载 AZORult

16、窃密木马，以窃取用户浏览器、邮箱、多个聊天工具的用户名密码 图 19 5. MedusaLocker Medusalocker 该病毒出现于 2019 年 10 月， 已知该病毒主要通过钓鱼欺诈邮件及弱 口 令 爆 破 传 播 。 该 病 毒 早 期 版 本 加 密 文 件 完 成 后 添 加 扩 展 后 缀 .encrypted 或 者.ReadTheInstructions 后缀，近期传播病毒版本加密文件后添加.deadfiles .EG 扩展后 缀，也看到有使用.shanghai 国内地域拼音的后缀类型。通常该团伙攻击者向受害者勒索 1BTC（比特币），当前市值约 6.4 万元。 图 2

17、0 6. Maze Maze（迷宫）勒索病毒也叫 ChaCha 勒索病毒，擅长使用 Fallout EK 漏洞利用工具通 过网页挂马等方式传播。被挂马的网页，多见于黄赌毒相关页面，通常会逐步扩大到盗版软 件、游戏外挂（或破解）、盗版影视作品下载，以及某些软件内嵌的广告页面，该病毒的特 点之一是称根据染毒机器的价值来确认勒索所需的具体金额， 该勒索病毒同时也是将数据加 密勒索转向数据泄露勒索的先行者。 图 21 7. Nemty NEMTY 勒索病毒出现于 2019 年 8 月，该病毒早期加密文件完成后会添加 NEMTY 扩 展后缀，也因此得名。该病毒在国内会依靠垃圾邮件，RIG EK（漏洞利用

18、工具包）传播， 最新变种加密文件完成后会添加._NEMTY_random 形式的随机扩展后缀。该病毒也与 Phorpiex 僵尸网络有着密切的合作，常借助僵尸网络扩散传播。 图 22 8. Scarab Scarab 勒索病毒变种较多，病毒使用 Delphi 语言编写，该病毒攻击团伙会使用钓鱼 邮件、弱口令爆破、或漏洞入侵等方式尝试入侵。病毒使用 RSA+AES 的方式对文件进行加 密。国内发现的 cov19 变种不仅会加密文件内容，同时还会使用 RC4+非标准的 Base64 对文件名进行加密编码，被攻击后系统内文件将被修改为“固定名的编码数据.cov19”格 式。 图 23 9. Garr

19、antyDecrypt GarrantyDecrypt 勒索病毒家族最早在 2018 年下半年被发现， 该团伙每隔几个月就会 有一次新变种更新发布，先后出现有 bigbosshors、nostro、metan、tater 等变种。病毒 用了 RSA+salsa20 算法加密，国内流行部分变种马王变种同时会释放到 appdata 目录中 名为_uninstalling_.png 图作勒索壁纸，壁纸显示群马奔腾图，加密文件扩展后缀 为.horseleader，该病毒在完成目标文件加密流程后，会执行自删除操作，故染毒环境中通 常没有病毒母体。 图 24 10. Avaddon Avaddon 勒索病

20、毒出现于 2020 年 6 月上旬，病毒早期版本加密文件完成后会添加 avdn 扩展后缀，随后病毒加密文件扩展变更为随机字串。加密文件完成后留下名为”随机 -readme.html”的勒索信文档。该病毒出道即以大量的垃圾邮件传播，同时与 Phorpiex 僵尸网络合作。导致其一度感染量上升。 图 25 四、四、勒索病毒防范措施勒索病毒防范措施 1. 定期进行安全培训，日常安全管理可参考“三不三要”思路 1) 不上钩：标题吸引人的未知邮件不要点开 2) 不打开：不随便打开电子邮件附件 3) 不点击：不随意点击电子邮件中附带网址 4) 要备份：重要资料要备份 5) 要确认：开启电子邮件前确认发件人

21、可信 6) 要更新：系统补丁/安全软件病毒库保持实时更新 2. 全网安装专业的终端安全管理软件， 由管理员批量杀毒和安装补丁， 后续定期更新各类 系统高危补丁。 3. 部署流量监控/阻断类设备/软件，便于事前发现,事中阻断和事后回溯。 4. 建议由于其他原因不能及时安装补丁的系统，考虑在网络边界、路由器、防火墙上设置 严格的访问控制策略，以保证网络的动态安全。 5. 建议对于存在弱口令的系统，需在加强使用者安全意识的前提下，督促其修改密码，或 者使用安全策略来强制各节点使用复杂密码，避免遭遇弱口令爆破攻击。 6. 建议对于存在弱口令或是空口令的服务，在一些关键服务上，应加强口令强度，同时需 使

22、用加密传输方式， 对于一些可关闭的服务来说， 建议关闭不要的服务端口以达到安全 目的，不使用相同口令管理多台关键服务器。 7. 建议网络管理员、 系统管理员、 安全管理员关注安全信息、 安全动态及最新的严重漏洞， 攻与防的循环，伴随每个主流操作系统、应用服务的生命周期。 8. 建议对数据库账户密码策略建议进行配置， 对最大错误登录次数、 超过有效次数进行锁 定、密码有效期、到期后的宽限时间、密码重用等策略进行加固设置。 9. 建议对数据库的管理访问节点地址进行严格限制，只允许特定管理主机 IP 进行远程登 录数据库。 做好安全灾备方案，可按数据备份三二一原则来指导实施 1. 至少准备三份备份；

23、 2. 两种不同备份介质：将数据备份在两种不同的存储类型，如服务器/移动硬盘/云端/光 盘等 3. 一份异地备份：至少一份备份存储在异地，当发生意外时保证有一份备份数据安全。 安装使用安全防护软件 个人用户安装腾讯电脑管家、企业用户部署腾讯 T-Sec 终端安全管理系统拦截查杀各类勒 索病毒， 保护各终端节点； 建议启用文档守护者， 该功能集成针对主流勒索病毒的解密方案， 并提供完善的数据备份方案， 为数千万用户提供文档保护恢复服务。 通过自研解密方案成功 为上千名不幸感染勒索病毒者提供了解密服务，帮助其成功恢复了被病毒加密的文件。 政企用户可根据业务节点拦截位置部署适当的安全产品， 并根据腾

24、讯安全威胁情报中心提供 的情报数据配置各节点联防联动、统一协调管理，提升整体网络抗攻击能力。可参考下表选 择： 应用 场景 安全产品 解决方案 威胁 情报 腾讯 T-Sec 威胁情报云查服务 （SaaS） SaaS 形式自动化威胁情报查询产品： 满足对IP/Domain/IP/Domain/文件文件等对象的威胁查询、 SaaS 形式威 胁情报查询及溯源产品“T-Sec 高级威胁追溯系统”。 腾讯 T-Sec 高级威胁追溯系统 进行线索研判、攻击定性和关联分析，追溯威胁源头， 有效预测威胁的发生并及时预警。 云原生 安全防 护 云防火墙 （Cloud Firewall，CFW） 一款基于公有云环

25、境下的 SaaS 化防火墙，主要为用户 提供互联网边界的防护，解决云上访问控制的统一管理 与日志审计的安全与管理需求。 有关云防火墙的更多信息，可参考： T-Sec 主机安全 （Cloud Workload Protection，CWP） 基于腾讯安全积累的海量威胁数据，利用机器学习为用 户提供黑客入侵检测和漏洞风险预警等安全防护服务， 腾讯主机安全（云镜）提供云上终端的防毒杀毒、防入 侵、漏洞管理、基线管理等。 关 于 T-Sec 主 机 安 全 的 更 多 信 息 ， 可 参 考 ： 腾讯 T-Sec 漏洞扫描服务 （ Vulnerability Scan Service，VSS） 自动探

26、测企业网络资产并识别其风险。 能够对企业的网络设备及应用服务的可用性、安全性与 合规性等进行定期的安全扫描、持续性风险预警和漏洞 检测，并且为企业提供专业的修复建议，降低企业安全 风险。 腾讯云 T-Sec 安全运营中心（云 SOC） 基于客户云端安全数据和腾讯安全大数据的云安全运营 平台。已接入腾讯主机安全（云镜）、腾讯御知等产品 数据导入，为客户提供漏洞情报、威胁发现、事件处置、 基线合规、及泄漏监测、风险可视等能力。 关于腾讯 T-Sec 安全运营中心的更多信息，可参考： 非云企 业安全 防护 腾讯 T-Sec 高级威胁追溯系统 （腾讯御界） 基于腾讯安全能力、依托腾讯在云和端的海量数据

27、，研 发出的独特威胁情报和恶意检测模型系统。 可及时有效检测黑客对企业网络的各种入侵渗透攻击风 险。 腾讯 T-Sec 终端安全管理 系统（御点） 拦截病毒木马攻击终端系统； 支持集中检测、修复各终端系统存在的安全漏洞； 支持启用文档守护者功能自动备份重要资料文件。 个人用户推荐使用腾讯电脑管家保护终端系统。 更多产品信息，请参考腾讯安全官方网站 附：附：勒索病毒勒索病毒演化演化史史 勒索病毒从最初的散在发生的恶作剧， 到逐步出现规模化分工的商业运营， 在世界范围 内造成的严重损失远超其他病毒木马，一起回顾下勒索病毒的演化史： 史前时代：小儿科的恶作剧时代 1.使用纯脚本修改用户开机密码 危害

28、评估： 技术评估： 影响评估： 2.修改用户 MBR 劫持开机流程 危害评估： 技术评估： 影响评估： 虚张声势：群发垃圾邮件恐吓 危害评估： 技术评估： 影响评估： 图 26 初露锋芒：危害显露 1.扫描全盘文件后对文件进行不可逆加密 危害评估： 技术评估： 影响评估： 图 27 2.使用第三方正规工具对磁盘进行加密 比较多见的攻击场景是使用名为 BestCrypt 的磁盘加密工具 危害评估： 技术评估： 影响评估： 图 28 风生水起：渐成主流 1.对数据库进行删库后留下勒索信息 危害评估： 技术评估： 影响评估： 图 29 2.窃取数据，以数据泄露为理由进行勒索 危害评估： 技术评估： 影响评估： 图 30 巅峰之作：至今未被超越 利用高危漏洞大规模扩散 危害评估： 技术评估： 影响评估： 图 31