1、 2017 年年上半上半年中国年中国网络网络安全报告安全报告 北京瑞星信息技术股份有限公司 国家信息中心信息与网络安全部 2017 年 7 月 免责声明免责声明 本报告是瑞星与国家信息中心信息与网络安全部联合发布，综合瑞星“云安 全”系统、瑞星客户服务中心、瑞星反病毒实验室、瑞星互联网攻防实验室、瑞 星威胁情报平台等部门的统计、研究数据和分析资料，仅针对中国 2017 年 1 至 6 月的网络安全现状与趋势进行统计、研究和分析。本报告提供给媒体、公众和 相关政府及行业机构作为互联网网络安全状况的介绍和研究资料， 请相关单位酌 情使用。如若本报告阐述之状况、数据与其他机构研究结果有差异，请使用方

2、自 行辨别， 瑞星公司和国家信息中心信息与网络安全部不承担与此相关的一切法律 责任。 目录目录 一、恶意软件与恶意网址 . 6 （一）恶意软件 . 6 1. 2017 年 1 至 6 月病毒概述 . 6 2. 2017 年 1 至 6 月年病毒 Top10 . 8 3. 2017 年 1 至 6 月中国勒索软件感染现状 . 8 （二）恶意网址 . 9 1. 2017 年 1 至 6 月全球恶意网址总体概述 . 9 2. 2017 年 1 至 6 月中国恶意网址总体概述 . 10 3. 2017 年 1 至 6 月中国诈骗网站概述 . 11 4. 2017 年 1 至 6 月中国主要省市访问诈骗

3、网站类型 . 12 5. 诈骗网站趋势分析 . 12 6. 2017 年 1 至 6 月中国挂马网站概述 . 12 7. 挂马网站趋势分析 . 13 二、移动互联网安全 . 14 （一）手机安全 . 14 1.手机病毒概述 . 14 2. 2017 年 1 至 6 月手机病毒 Top5 . 14 3. 2017 年 1 至 6 月 Android 手机漏洞 Top5 . 15 （二）2017 年 1 至 6 月移动安全事件 . 16 1.勒索病毒伪装成王者荣耀辅助工具袭击移动设备 . 16 2.315 曝光人脸识别技术成手机潜在威胁 . 16 3.亚马逊、小红书用户信息泄露助长电话诈骗 . 1

4、7 4.病毒伪装“Google Play”盗取用户隐私 . 18 （三）移动安全趋势分析 . 18 1.手机 web 浏览器攻击将倍增 . 18 2.Android 系统将受到远程设备劫持、监听 . 18 3.物联网危机将不断加深 . 19 4.木马病毒、短信和电话诈骗将联合作案 . 19 三、互联网安全 . 19 （一）2017 年 1 至 6 月全球网络安全事件解读 . 19 （二）全球网络扫描异常活跃 . 22 （三）僵尸网络持续影响全球网络 . 25 四、趋势展望 . 28 （一）勒索软件蠕虫化 . 28 （二）Linux 病毒仍保持快速增长 . 28 （三）物联网（IoT）设备面临的

5、安全威胁越发突出 . 31 专题 1：网络摄像头泄露用户隐私分析报告 . 32 专题 2：反病毒技术分享：动态防御成“敲诈软件”最有效克星 . 39 专题 3：The Shadow Brokers 方程式工具包分析 . 44 报告摘要报告摘要 2017 年 1 至 6 月，瑞星“云安全”系统共截获病毒样本总量 3,132 万个，病毒感染次 数 23.4 亿次，病毒总体数量比 2016 年同期上涨 35.47%。新疆省病毒感染 3,767 万人 次，位列全国第一，其次为北京市 3,320 万人次。 2017 年 1 至 6 月，瑞星“云安全”系统在全球范围内共截获恶意网址（URL） 总量 5,0

6、20 万个，其中挂马网站 2,452 万个，诈骗网站 2,568 万个。美国恶意 URL 总量为 1,784 万个，位列全球第一，其次是中国 1,131 万个，韩国 320 万个，分别为二、三位。 2017 年 1 至 6 月，瑞星“云安全”系统共截获手机病毒样本 253 万个，新增病毒类型 以流氓行为、 隐私窃取、 系统破坏、 资费消耗四类为主， 其中流氓行为类病毒占比 28.35%， 位居第一。 其次是隐私窃取类病毒占比 25.64%， 第三名是系统破坏类病毒， 占比 20.66%。 2017 年 1 至 6 月移动安全事件： 勒索病毒伪装成 王者荣耀辅助工具 袭击移动设备； 315 曝光

7、人脸识别技术成手机潜在威胁；亚马逊、小红书用户信息泄露助长电话诈骗； 病毒伪装“Google Play”盗取用户隐私。 2017 年 1 至 6 月全球网络安全事件解读：The Shadow Brokers 泄露方程式（Equation Group）大量 0day；WannaCry 勒索袭击全球；Petya 病毒借勒索之名袭击多国；Amnesia 攻击全球 DVR 设备组建僵尸网络；勒索韩国网络托管公司的 Erebus 病毒。 趋势展望：勒索软件蠕虫化；Linux 病毒仍保持快速增长；物联网（IoT）设备面临的安 全威胁越发突出； 专题 1：网络摄像头泄露用户隐私分析报告。随着网络摄像头的发展

8、，有网络安全专家 曾经曝光过关于网络智能摄像头的安全漏洞问题， 如果用户购买的网络摄像头存在安全 漏洞，只要黑客利用恶意手段就可以入侵到你的摄像头内，可随时监控你的一举一动。 专题 2：反病毒技术分享：动态防御成“敲诈软件”最有效克星。瑞星安全专家介绍， Nemucod 家族是一个近年来十分流行的脚本病毒，其主要是一些混淆变型的 JS 或 VBS 脚本，被“黑客”附加在电子邮件中投递给潜在受害者，激活后脚本代码从远程服务器 下载勒索软件到本地并运行。 专题 3：The Shadow Brokers 方程式工具包分析。2017 年 4 月，The Shadow Brokers 公布了第三批 NS

9、A（美国国家安全局）使用的网络入侵工具。泄露的资料中包括一整套 完整的入侵和控制工具。泄露资料中包括 FuzzBunch 攻击平台，DanderSpiritz 远控 平台，和一个复杂的后门 oddjob 还包括 NSA 对 SWIFT 进行攻击的一些资料信息。经分 析这一次泄露出来的工具涉及的面更广，危害也更大。 一、恶意软件与恶意网址一、恶意软件与恶意网址 （一）恶意软件（一）恶意软件 1. 2017 年年 1 至至 6 月病毒概述月病毒概述 （1 1）病毒疫情总体概述）病毒疫情总体概述 2017 年 1 至 6 月，瑞星“云安全”系统共截获病毒样本总量 3,132 万个，病毒感染次 数 2

10、3.4 亿次，病毒总体数量比 2016 年同期上涨 35.47%。 报告期内，新增木马病毒占总体数量的 42.33%，依然是第一大种类病毒。蠕虫病毒为 第二大种类病毒，占总体数量的 36.35%，第三大种类病毒为灰色软件病毒（垃圾软件、广 告软件、黑客工具、恶意软件），占总体数量的 6.76%。 报告期内， CVE-2017-0199 漏洞利用占比 70%， 位列第一位。 该漏洞以 RTF 文档为载体， 伪装性非常强，依然是最为常用的漏洞攻击手段。 （2 2）病毒感染地域分析）病毒感染地域分析 报告期内，新疆省病毒感染 3,767 万人次，位列全国第一，其次为北京市 3,320 万人次 及广东

11、省 2,983 万人次。 2. 2017 年年 1 至至 6 月年病毒月年病毒 Top10 根据病毒感染人数、变种数量和代表性进行综合评估，瑞星评选出了 2017 年 1 至 6 月 病毒 Top10： 3. 2017 年年 1 至至 6 月中国勒索软件感染现状月中国勒索软件感染现状 报告期内，瑞星“云安全”系统共截获勒索软件样本 44.86 万个，感染共计 307 万次， 其中广东省感染 37 万次，位列全国第一，其次为北京市 20 万次，云南省 12 万次及浙江省 11 万次。 （二）恶意网址（二）恶意网址 1. 2017 年年 1 至至 6 月全球恶意网址总体概述月全球恶意网址总体概述

12、2017 年 1 至 6 月， 瑞星 “云安全” 系统在全球范围内共截获恶意网址 （URL） 总量 5,020 万个，其中挂马网站 2,452 万个，诈骗网站 2,568 万个。美国恶意 URL 总量为 1,784 万个， 位列全球第一，其次是中国 1,131 万个，韩国 320 万个，分别为二、三位。 2. 2017 年年 1 至至 6 月中国恶意网址总体概述月中国恶意网址总体概述 报告期内，北京市恶意网址（URL）总量为 541 万个，位列全国第一，其次是陕西省 231 万个，以及浙江省 64 万个，分别为二、三位。 注：上述恶意 URL 地址为恶意 URL 服务器的物理地址。 3. 20

13、17 年年 1 至至 6 月中国诈骗网站概述月中国诈骗网站概述 2017 年 1 至 6 月，瑞星“云安全”系统共拦截诈骗网站攻击 529 万余次，北京市受诈 骗网站攻击 68 万次，位列第一位，其次是浙江省受诈骗网站攻击 66 万次，第三名是广东省 受诈骗网站攻击 65 万次。 报告期内，非法导航类诈骗网站占 35%，位列第一位，其次是情色类诈骗网站占 20%， 时时彩类诈骗网站占 17%，分别为二、三位。 4. 2017 年年 1 至至 6 月中国主要省市访问诈骗网站类型月中国主要省市访问诈骗网站类型 报告期内，北京市、河北省等访问的诈骗网站类型主要以网络赌博为主，而黑龙江省、 天津市则以

14、色情论坛为主。 5. 诈骗网站趋势分析诈骗网站趋势分析 2017 年上半年非法导航类诈骗网站占比较多，这类集赌博、六合彩、算命、情色为一 体的导航网站，会窃取用户隐私信息。有些甚至通过木马病毒盗取用户银行卡信息，进行恶 意盗刷、勒索等行为。诈骗攻击主要通过以下手段进行： 利用 QQ、微信、微博等聊天工具传播诈骗网址。 利用垃圾短信“伪基站”推送诈骗网址给用户进行诈骗。 通过访问恶意网站推送安装恶意 APP 程序窃取用户隐私信息。 通过第三方下载网站对软件捆绑木马病毒诱使用户下载。 6. 2017 年年 1 至至 6 月中国挂马网站概述月中国挂马网站概述 2017 年 1 至 6 月，瑞星“云安

15、全”系统共拦截挂马网站攻击 506 万余次，北京市受挂 马攻击 344 万次，位列第一位，其次是陕西省受挂马攻击 152 万次。 7. 挂马网站趋势分析挂马网站趋势分析 2017 年上半年挂马攻击相对减少，攻击者一般是自建一些导航类或色情类的网站，吸 引用户主动访问。 也有一些攻击者会先购买大型网站上的广告位， 然后在用户浏览广告的时 候悄悄触发。如果不小心进入挂马网站，则会感染木马病毒，导致大量的宝贵文件资料和账 号密码丢失，其危害极大。 挂马防护手段主要为： 拒绝接受陌生人发来的链接地址。 禁止浏览不安全的网站。 禁止在非正规网站下载软件程序。 安装杀毒防护软件。 二、移动互联网安全二、移

16、动互联网安全 （一）手机安全（一）手机安全 1.手机病毒概述手机病毒概述 2017 年 1 至 6 月，瑞星“云安全”系统共截获手机病毒样本 253 万个，新增病毒类型 以流氓行为、隐私窃取、系统破坏、资费消耗四类为主，其中流氓行为类病毒占比 28.35%， 位居第一。其次是隐私窃取类病毒占比 25.64%，第三名是系统破坏类病毒，占比 20.66%。 2. 2017 年年 1 至至 6 月手机病毒月手机病毒 Top5 3. 2017 年年 1 至至 6 月月 Android 手机漏洞手机漏洞 Top5 （二）（二）20172017 年年 1 1 至至 6 6 月移动安全事件月移动安全事件 1

17、.勒索病毒伪装成王者荣耀辅助工具袭击移动设备勒索病毒伪装成王者荣耀辅助工具袭击移动设备 2017 年 6 月，一款冒充“王者荣耀辅助工具”的勒索病毒，通过 PC 端和手机端的社交 平台、游戏群等渠道大肆扩散，威胁几乎所有 Android 平台，设备一旦感染后，病毒将会把 手机里面的照片、下载、云盘等目录下的个人文件进行加密，如不支付勒索费用，文件将会 被破坏，还会使系统运行异常。 2.315 曝光人脸识别技术成手机潜在威胁曝光人脸识别技术成手机潜在威胁 2017 年 315 晚会上，技术人员演示了人脸识别技术的安全漏洞利用，不管是通过 3D 建 模将照片转化成立体的人脸模型， 还是将普通静态自

18、拍照片变为动态模式， 都可以骗过手机 上的人脸识别系统。此外，315 还揭露了公共充电桩同样是手机的潜在威胁，用户使用公共 充电桩的时候，只要点击“同意”按钮，犯罪分子就可以控制手机，窥探手机上的密码、账 号，并通过被控制的手机进行消费。 3.亚马逊、小红书用户信息泄露助长电话诈骗亚马逊、小红书用户信息泄露助长电话诈骗 2017 年 6 月，亚马逊和小红书网站用户遭遇信息泄露危机，大量个人信息外泄导致电 话诈骗猛增。据了解，亚马逊多位用户遭遇冒充“亚马逊客服”的退款诈骗电话，其中一位 用户被骗金额高达 43 万，小红书 50 多位用户也因此造成 80 多万的损失。 4.病毒伪装“病毒伪装“Go

19、ogle Play”盗取用户隐私”盗取用户隐私 2017 年 6 月，一款伪装成“Google Play”的病毒潜伏在安卓应用市场中，该病毒会伪 装成正常的 Android market app，潜伏在安卓手机 ROM 中或应用市场中诱导用户下载安装。 该病毒安装后无启动图标，运行后，会向系统申请大量高危权限(发短信和静默安装等)，随 后伪装成 Google Play 应用并安装和隐藏在 Android 系统目录下。因为在“/system/app/” 路径下的 app 默认都是拥有 system 权限的，所以该病毒样本可以在用户不知情的情况下， 在后台静默下载并安装应用到手机当中， 还会获取用

20、户手机中的隐私信息， 给用户造成系统 不稳定或隐私泄露等安全性问题。 （三）移动安全趋势分析（三）移动安全趋势分析 1.手机手机 web 浏览器攻击将倍增浏览器攻击将倍增 Android 和 IOS 平台上的 web 浏览器，包括 Chrome、Firefox、Safari 以及采用类似内 核的浏览器都有可能受到黑客攻击。 因为移动浏览器是黑客入侵最有效的渠道， 通过利用浏 览器漏洞，黑客可以绕过很多系统的安全措施。 2.Android 系统将受到远程设备劫持、监听系统将受到远程设备劫持、监听 随着 Android 设备大卖， 全球数以亿计的人在使用智能手机， 远程设备劫持将有可能引 发下一轮

21、的安全问题， 因为很多智能手机里存在着大量能够躲过谷歌安全团队审查和认证的 应用软件。与此同时，中间人攻击的数量将大增，这是因为很多新的智能手机用户往往缺乏 必要的安全意识，例如他们会让自己的设备自动访问不安全的公共 WiFi 热点，从而成为黑 客中间人攻击的猎物和牺牲品。 3.物联网危机将不断加深物联网危机将不断加深 如今，关于“物联网开启了我们智慧生活”的标语不绝于耳，但支持物联网系统的底层 数据架构是否真的安全、是否已经完善，却很少被人提及，智能家居系统、智能汽车系统里 藏有我们太多的个人信息。 严格来讲， 所有通过蓝牙和 WiFi 连入互联网的物联网设备和 APP 都是不安全的， 而这

22、其中最人命关天的莫过于可远程访问的医疗设备， 例如大量的超声波扫 描仪等医疗设备都使用的是默认的访问账号和密码，这些设备很容易被不法分子利用。 4.木马病毒、短信和电话诈骗将联合作案木马病毒、短信和电话诈骗将联合作案 常见的电信诈骗，如贵金属理财诈骗、假冒银行客服号诈骗、网购退款诈骗、10086 积 分兑换诈骗等，基本都是由木马病毒、短信、电话多种方式联合完成。这种诈骗方式更加智 能化、系统化和可视化，诈骗分子甚至可以掌控被感染用户的通信社交关系链，往往导致巨 大的资金损失。 三、互联网安全三、互联网安全 （一）（一）20172017 年年 1 1 至至 6 6 月全球网络安全事件解读月全球网

23、络安全事件解读 1.The Shadow Brokers1.The Shadow Brokers 泄露方程式大量泄露方程式大量 0day0day 漏洞漏洞 2017 年 4 月 ，The Shadow Brokers 再度放出手中掌握的“方程式组织”使用的大量黑 客工具： OddJob， EasyBee， EternalRomance， FuzzBunch， EducatedScholar， EskimoRoll， EclipsedWing ， EsteemAudit ， EnglishMansDentist ， MofConfig ， ErraticGopher ， EmphasisMine

24、， EmeraldThread， EternalSynergy， EwokFrenzy， ZippyBeer， ExplodingCan， DoublePulsar 等。其中包括多个可以远程攻击 Windows 的 0day。受影响的 Windows 版本包 括 Windows NT，Windows 2000、Windows XP、Windows 2003、Windows Vista、Windows 7、 Windows 8，Windows 2008、Windows 2008 R2、Windows Server 2012 SP0 等。这次泄露的 工具也直接导致了后来的 WannaCry、Pet

25、ya 的全球爆发。 2.WannaCry2.WannaCry 勒索袭击全球勒索袭击全球 2017 年 5 月，一款名为 WannaCry 的勒索病毒席卷包括中国、美国、俄罗斯及欧洲在内 的 100 多个国家。我国部分高校内网、大型企业内网和政府机构专网遭受攻击。勒索软件利 用了微软 SMB 远程代码执行漏洞 CVE-2017-0144， 微软已在今年 3 月份发布了该漏洞的补丁。 2017 年 4 月黑客组织影子经纪人 （The Shadow Brokers） 公布的方程式组织 （Equation Group） 使用的“EternalBlue”中包含了该漏洞的利用程序，而该勒索软件的攻击者在借

26、鉴了 “EternalBlue”后进行了这次全球性的大规模勒索攻击事件。 3.Petya3.Petya 病毒借勒索之名袭击多国病毒借勒索之名袭击多国 新勒索病毒 petya 袭击多国，影响的国家有英国、乌克兰、俄罗斯、印度、荷兰、西班 牙、丹麦等，包括乌克兰首都国际机场、乌克兰国家储蓄银行、邮局、地铁、船舶公司、俄 罗斯的石油和天然气巨头 Rosneft， 丹麦的航运巨头马士基公司， 美国制药公司默克公司， 还有美国律师事务所 DLA Piper，甚至是核能工厂都遭到了攻击。报道称,这轮病毒足以与 五月席卷全球的勒索病毒的攻击性相提并论。与 WannaCry 相比，该病毒会加密 NTFS 分区

27、、 覆盖 MBR、阻止机器正常启动，使计算机无法使用，影响更加严重。 4.Amnesia4.Amnesia 攻击全球攻击全球 DVRDVR 设备组建僵尸网设备组建僵尸网络络 Amnesia 是一款基于 IOT/Linux 蠕虫“Tsunami”的变种，被黑客用来组建僵尸网络。 它允许攻击者利用未修补的远程代码执行漏洞攻击其硬盘录像机( DVR )设备。该漏洞已被 安全研究人员在 TVT Digital（深圳同为数码）制造的 DVR（硬盘录像机）设备中被发现， 并波及了全球 70 多家的供应商品牌。据数据统计显示全球有超过 22.7 万台设备受此影响， 而台湾、美国、以色列、土耳其和印度为主要分

28、布地区。 5.5.勒索韩国网络托管公司的勒索韩国网络托管公司的 Erebus Erebus 病毒病毒 2017 年 6 月份， 韩国网络托管公司 Nayana 在 6 月 10 日遭受网络攻击， 导致旗下 153 台 Linux 服务器与 3,400 个网站感染 Erebus 勒索软件。事件发生后，韩国互联网安全局、 国家安全机构已与警方展开联合调查，Nayana 公司也表示，他们会积极配合，尽快重新获 取服务器控制权限。在努力无果后，Nayana 公司最终还是选择以支付赎金的方式换取其服 务器的控制权限，向勒索黑客支付价值 100 万美元的比特币，来解密锁指定的文件。 6.6.总结总结 瑞星

29、安全专家通过对 2017 年 1 至 6 月的互联网安全事件分析发现，网络攻击有可能逐 渐演变为网络恐怖主义， 黑客组织有预谋地利用网络并以网络为攻击目标， 攻击全球各个国 家，并且破坏国家的政治稳定、经济安全，扰乱社会秩序，制造轰动效应的恐怖活动。随着 全球信息网络化的发展，破坏力惊人的网络恐怖主义正在成为世界的新威胁。为此，防范网 络恐怖主义已成为维护国家安全的重要课题。 （二）全球网络扫描（二）全球网络扫描异常活跃异常活跃 网络扫描是一些网络攻击的前奏， 也是一些网络威胁活动的体现， 通过捕捉网络扫描行 为，可以感知到网络空间的威胁态势，是了解网络空间安全状况的最好途径之一。 根据瑞星全

30、球威胁情报采集网络采集的网络扫描数据，瑞星总结出以下特点： 1 1、TelnetTelnet 默认端口成为最大被扫描对象默认端口成为最大被扫描对象 大量的 Telnet 扫描来自于服务器、 网络设备、 IoT 设备等运行 Linux 系统的计算设备， 主要原因是目前相当活跃的巨大的僵尸网络，例如 Linux.Gafgyt 和 Linux.Mirai 这两大僵 尸网络家族。 2 2、445445 端口被疯狂扫描端口被疯狂扫描 由于今年 NSA 武器库泄露，通过 445 端口利用“永恒之蓝”漏洞，成为入侵 Windows 系统计算机的最为简单便捷的方法。不久前 Linux 上使用的 Samba 服

31、务也爆出远程执行漏 洞(CVE-2017-7494),影响 Samba 3.5.0 和包括 4.6.4/4.5.10/4.4.14 中间的版本，同样是 使用 445 端口，被称为 Linux 上的“永恒之蓝”。 Windows系统和Linux系统这两个漏洞的产生直接导致了 445 端口的疯狂扫描和针对性 的攻击事件的暴增。通过该漏洞传播的 WannaCry 勒索以及后来的 Petya，同时借助该漏洞 传播的门罗币挖矿机和组建僵尸网络的各种 BOT 肆虐网络，极大破坏了网络环境。 基于如此高频的 445 扫描，再次提示务必做好服务器安全工作，安装相应的安全更新， 避免成为网络扫描者手到擒来的“猎

32、物”，彻底结束 NSA 武器库泄露带来的不良影响。 3 3、来自中国地区的网络扫描对数据库服务更感兴趣、来自中国地区的网络扫描对数据库服务更感兴趣 数据显示， 从IP的角度看， 来自中国的网络扫描更加青睐数据库服务器。 其中， 对MySQL、 MSSQL 的扫描次数、源 IP 个数，都位于全球第一。虽然无法准确判断扫描者在确认数据库 服务类型之后的下一步动作，但也不妨碍我们推断出“扫描者”对数据库服务及数据资产的 渴望。 （三）（三）僵尸网络持续影响全球网络僵尸网络持续影响全球网络 根据 2017 上半年采集的数据显示，全球范围内最为活跃的两大著名的僵尸网络，分别 为 Linux.Gafgyt

33、/Linux 和 Linux.Mirai。 Linux.Gafgyt 最主要的功能是 Telnet 扫描。在执行 Telnet 扫描时，木马会尝试连接 随机 IP 地址的 23 号端口。如果连接成功，木马会根据内置的用户名/密码列表，尝试猜测 登录。登录成功后，木马会发出相应命令，下载多个不同架构的 BOT 可执行文件，并尝试运 行。 Linux.Mirai 病毒是一种通过互联网搜索并控制物联网设备并发起 DDOS 攻击的一种病 毒，当扫描到一个物联网设备（比如网络摄像头、智能开关等）后就尝试使用默认密码进行 登陆，一旦登陆成功，这台物联网设备就进入“肉鸡”名单，黑客操控此设备开始攻击其他 网

34、络设备。 四、趋势展望四、趋势展望 （一）勒索（一）勒索软件蠕虫软件蠕虫化化 勒索软件蠕虫化的结果是恐怖的， 2017 年的 WannaCry 就震惊全球。 通过蠕虫的传播手 段将勒索软件迅速的分发到全球存在漏洞的机器上， 造成的破坏将是毁灭性的。 以往的传播 手段主要是通过垃圾邮件和 EK 工具网站挂马等，采用被动手段，效果有限。但通过蠕虫化 被动为主动，将起到“事半功倍”的效果。“WannaCry”已经验证了效果。不能想象勒索 软件和蠕虫在不久的将来将会结合得愈来愈紧密。 （二）（二）Li Linuxnux 病毒仍保持快速增长病毒仍保持快速增长 2017 年 1 至 6 月，瑞星“云安全”

35、系统共截获 Linux 病毒样本总量 42 万个，远远超过 了 2013 年、2014 年和 2015 年的总和。瑞星早在 2014 年底发布的Linux 系统安全报告 就已预测，在接下来几年中针对 Linux 的病毒将要有个爆发性的增长。这种增长势头可以预 见仍将持续很长一段时间。 在 2017 年上半截获的 Linux 平台的恶意软件种类可以看出， 僵尸网络依然是 Linux 平台 下最为活跃的恶意软件类型。其中 Linux.Gafgyt 和 Linux.Mirai 依然是最为流行、活跃的僵尸 网络，这也解释为了为何 Telnet/SSH 端口被大量扫描。 另外，针对 Linux 系统的勒

36、索软件数量也开始上升，虽然数量远远不及 Windows 平台， 主要还是受众人群数量少和攻击面狭窄的原因，但是一被勒索，损失将会非常惨重。相对于 个人 PC 而言，运行 Linux 的服务器、网络设备、IoT 设备，一旦受到勒索软件的入侵，将导 致数据丢失、系统停机等现象，后果更为严重，损失也更为巨大。 瑞星安全专家对目前典型的 Linux 恶意软件进行了简单说明： 1、致使大半个美国断网的、致使大半个美国断网的 Mirai 病毒病毒 2016 年 10 月份，美国互联网服务供应商 Dyn 宣布在当地时间 21 日早上 6 点遭遇了一 次“分布式拒绝服务”（DDoS）攻击，Dyn 为互联网站提

37、供基础设施服务，客户包括推特、 Paypal、Spotify 等知名公司，该攻击导致许多网站在美国东海岸无法登陆访问。这次攻击的 背后的始作俑者是一款称为“Mirai”的蠕虫病毒，Mirai 病毒是一种通过互联网搜索物联网 设备的病毒，当扫描到一个物联网设备（比如网络摄像头、智能开关等）后就尝试使用默认 密码进行登陆，一旦登陆成功，这台物联网设备就进入“肉鸡”名单，黑客操控此设备开始 攻击其他网络设备。据统计一共有超过百万台物联网设备参与了此次 DDoS 攻击。 2.勒索韩国网络托管公司的勒索韩国网络托管公司的 Erebus 病毒病毒 2017 年 6 月份， 韩国网络托管公司 Nayana

38、在 6 月 10 日遭受网络攻击， 导致旗下 153 台 Linux 服务器与 3,400 个网站感染 Erebus 勒索软件。事件发生后，韩国互联网安全局、国 家安全机构已与警方展开联合调查，Nayana 公司也表示，他们会积极配合，尽快重新获取 服务器控制权限。在努力无果后，Nayana 公司最终还是选择以支付赎金的方式换取其服务 器的控制权限，即向勒索黑客支付价值 100 万美元的比特币，来解密锁指定的文件。 3.以以 DVR 设备为目标的设备为目标的 IOT 蠕虫蠕虫 Amnesia Amnesia 是一款基于 IOT/Linux 蠕虫“Tsunami”的变种，被黑客用来组建僵尸网络。它 允许攻击者利用未修补的远程代码执行漏洞攻击其硬盘录像机( DVR )设备。 该