什 么 是 勒 索 病 毒 ？

勒索病毒是黑客通过锁屏、加密文件等方式劫持用户文件并以此敲诈用户钱财的恶意软件。黑客利用系统漏洞或通过网络钓鱼等方式，向受害电脑或服务器植入病毒，进以加密硬盘上的关键文档（如ERP数据库文件）乃至整个硬盘，然后向受害者索要数额不等的赎金后才予以解密。该病毒性质恶劣、危害极大，一旦感染将给企业用户带来无法估量的损失。
勒索病毒所产生的庞大收益令让黑客组织赚得盆满钵满。在利益驱使下，黑客组织不断采用尖端技术让勒索病毒变的越来越强大。直到2017年上半年，WannaCry（永恒之蓝）的爆发，很多中国企业用户才意识到勒索病毒的存在。WannaCry之后，Petya又再次在国外爆发，国内由于刚经历过WannaCry的洗礼，受到Petya攻击的用户并不多见。但之后的2-3个月，我们陆陆续续发现master、Sega2.0、arena开始有爆发的势头。

随着勒索攻击工具化程度越来越高，无数的勒索病毒在互联网中游荡，寻找着合适的目标。就像流感病毒入侵人体一样，感染的过程安静、缓慢，并不激烈…直到抵达临界点迅猛爆发，人体免疫系统已无力抵抗。目前，许多新式攻击媒介倾向与于缓慢低调，一般的网络防御手段在其面前如若无物。
美国联邦调查局报告称，每天有超过4,000起勒索软件攻击事件发生，而其他研究机构则表示，每天产生23万个新的恶意软件样本。

二
勒索病毒是怎么产生的？
自网络攻击产生以来，攻击范围和攻击领域不断拓展，从单个硬件设施、到单个行业领域、再到单个国家，逐渐拓展到全领域、跨行业、遍及全球，勒索病毒更是凸显了这一趋势。
目前已知最早的勒索病毒雏形诞生于1989年，该木马程序以“艾滋病信息引导盘”的形式进入系统，采用替换DOS系统文件的方式，实现开机记数。一旦系统启动次数达到90次时，该木马将隐藏磁盘的多个目录，C盘的全部文件名也会被加密，从而导致系统无法启动。此时，屏幕显示信息，声称用户的软件许可已经过期，要求用户通过指定邮箱支付赎金以解锁系统。该病毒被称为艾滋病特洛伊木马或PC Cyborg病毒。
2006年出现的Redplus勒索木马是中国大陆首个勒索软件。该木马会隐藏用户文档和包裹文件，然后弹出窗口要求用户将赎金汇入指定银行账号。据国家计算机病毒应急处理中心统计，来自全国各地的该病毒及其变种的感染报告有581例。次年，出现的新型蠕虫病毒开始使用更复杂的RSA加密方案，同时密钥大小不断增加。
2013年，随着比特币市场的疯狂兴起，勒索赎金的支付方式也产生的很大变化。早期的勒索软件采用传统的邮寄方式接收赎金，会要求受害者向指定的邮箱邮寄一定数量的赎金，或者向指定号码发送可以产生高额费用的短信。直到比特币这种虚拟货币出现，为勒索软件提供了更为隐蔽的赎金获取方式。2013年以来，勒索软件逐渐采用了比特币为代表的虚拟货币支付方式，不可溯源的赎金渠道加速了勒索软件的泛滥。

经权威机构预测，2018年之后的勒索病毒的趋势分析如下：
1漏洞利用或成为勒索病毒新的传播方式
2017年几次大规模爆发的勒索病毒，主要是以钓鱼邮件为传播渠道。而随着网民安全意识的提高，钓鱼邮件传播成功率较之往年已出现降低趋势。而“漏洞利用”由于具有较强的自传播能力，能在短时间内大范围传播，在2018年或将更受“不法黑客”青睐。
2与安全软件的对抗将持续升级
随着安全软件对勒索病毒免疫能力的持续升级，安全软件对主流的勒索病毒逐渐形成多维度的防御。勒索病毒需不断进化并与安全软件的对抗，才能够提高感染成功率。这种对抗可能体现为“传播渠道的多样化”，也可能表现为“样本的免杀对抗”。
3攻击目标日益精准化
2017下半年勒索病毒的攻击目标出现明显的精准化趋势：拥有企业核心系统权限的企业人员，将成为主要的黑客攻击目标。因为该类目标用户往往掌握更多的关键数据，加密后也会更加倾向于支付解密赎金。
4勒索病毒呈现低成本，蹭热点特征
随着勒索病毒技术细节的公开，部分勒索软件代码被放在暗网上售卖，勒索病毒的制作成本持续降低。2017年有多个系列的勒索病毒持续活跃：一开始在小范围传播的勒索病毒（例如“希特勒”、“WannaSmile”等），为实现更大范围的传播，通常会借势节日热点和社会热点等，例如万圣节、圣诞节等。随着制作成本的降低，或将出现更多蹭热点的勒索病毒。
5国产勒索病毒开始活跃
对国内用户“量身打造”的国产勒索病毒，会非常“贴心”的使用全中文的勒索提示界面，个别会要求直接通过微信、支付宝来缴纳赎金。与其它语言版本的勒索病毒相比，国产勒索病毒中招者支付赎金的可能性更高。2017年出现的主要国产勒索病毒有“云龙”、“xiaoba”等，而2018年或将出现更多的国产勒索病毒。