加强防护，近期勒索病毒有点疯狂！

愈演愈烈的勒索病毒攻击

2021年5月7日，美国最大的成品油管道运营商在本月受到重大网络攻击。公司被迫一度关闭整个能源供应网络，极大影响美国东海岸燃油等能源供应。公司在当日缴纳了500万美元赎金。

紧接着，5月14日爱尔兰卫生服务执行局（HSE）宣布遭受了重大勒索软件攻击，全国医疗系统瘫痪，这次黑客要求支付19,999,000美元（约1.29亿元）赎金，才提供解密器并删除被盗的数据。

一波未平一波又起！5月15日，全球最大保险集团法国安盛遭到了勒索软件病毒攻击，窃取了该集团亚洲业务3TB的敏感数据。黑客组织还对这家保险集团发起了数次DDoS拒绝服务攻击，导致网站无法正常为客户提供服务。

这是近期比较严重的3起勒索病毒攻击事件，时间往回拨：

• 2021年4月，美国哥伦比亚特区大都会警局受到勒索，Babuk Locker团伙宣称，他们已经从特区警局的服务器上总计下载到超过250GB数据，若对方不支付勒索赎金，则将披露敏感警务文件。不止警察局，NBA休斯顿火箭队也遭受了该团伙的攻击，造成约500G的数据泄露。

• 2021年4月，苹果公司遭到了5000万美元的勒索软件攻击，原因是台湾一家生产MacBook的供应商被黑客勒索攻击。台湾广达电脑公司“失窃”了不少苹果产品的工程和制造原理图。

• 2020年11月，全球最大电子制造公司之一—富士康位于墨西哥的华雷斯城 CTBGMX工厂设施被曝遭受“DoppelPaymer”勒索软件攻击，导致1200 台服务器被加密。

• 2020年9月，德国杜塞尔多夫大学医院遭遇勒索软件攻击，造成 IT 系统中断，进而导致门诊治疗和紧急护理无法正常进行。一名患者被迫转移到另一家医院接受救治。然而在转移途中，患者不幸身亡。此事件被认为是首例因勒索攻击导致人员死亡案例，德国警方也将案件性质调升为谋杀案。

• 2020年8月，著名数码摄像机厂商佳能(Canon)被曝遭受 Maze团伙勒索攻击，影响电子邮件、微软团队、美国网站及其他内部应用程序。其中，佳能image.canon 云照片和视频存储服务的中断，导致其免费 10GB 存储功能的用户丢失数据。

• 2020年7月，健身追踪器、智能手表和 GPS 产品制造商 Garmin遭受了WastedLocker 勒索软件的全面攻击，主要产品服务和网站均瘫痪，攻击者向Garmin索要高达1000万美元赎金，威胁要删除服务器上的所有数据。

• 2020年7月，阿根廷电信公司遭到REVil勒索软件攻击，两日内造成约1.8万台计算机被感染。勒索软件团伙要价750万美元作为赎金，并声称三天内不支付则将翻倍。

• 2020年4月，葡萄牙跨国能源公司EDP(Energias de Portugal)遭到勒索软件攻击。攻击者声称，已获取EDP公司10TB的敏感数据文件，并且索要了1580的比特币赎金(折合约1090万美元/990万欧元)。

• 2020年3月，台湾PC巨头宏基(Acer）遭到勒索病毒组织 REvil的网络攻击，并被索要支付高达5000万美元的赎金，刷新了勒索病毒有史以来的最高赎金纪录。

......

据报告显示，2020年发现了127个新的勒索病毒家族，勒索病毒攻击的数量同比增长了150%以上。2020年勒索病毒参与者的数量急剧增加，2021年勒索病毒已经不断进化，攻击手段更为复杂，已经深入到全球各大型企业。另外，自2019年以来，勒索病毒团伙已经从暗网泄露了2103家公司的数据。同时，2020年勒索病毒的攻击者至少收到了价值超过4亿美元赎金，是2019年的三倍还多，创造了新纪录。

勒索病毒已经成为当今网络安全领域最大的威胁之一！

谈到勒索病毒，不得不提“WannaCry”。它可以说是第一个进入公众视野的勒索病毒。2017年 5月 12日，WannaCry勒索病毒通过 MS17-010漏洞在全球范围爆发，感染全球150个国家和地区，短短两日内，包括政府、学校、公益、医疗机构的超20万台电脑设备被锁定桌面，显示“你的电脑已经被锁，文件已经全部被加密，除非你支付价值300美元的比特币，否则你的文件将会被永久删除”。

事实上，勒索病毒最早可追溯到 1989年，哈佛大学学生约瑟夫·L·波普编写一款电脑病毒-AIDS木马。这款木马的传输方式和加密手段包括支付赎金的方式都相对简单仅零星发生，被归纳在恶作剧攻击并未构成较大威胁，但这一病毒的出现可以说打开了勒索病毒的潘多拉魔盒，自此勒索病毒如鬼魅一般，频繁将魔爪伸向企业及个人用户。

2006年，国内出现首款勒索病毒Redplus，勒索赎金从70元至 200元不等；从 2013年的 CryptoLocker开始，黑客团伙开始利用比特币作为赎金，这款软件为黑客团伙带来近41000枚比特币收入，按照最新市值折算将近10亿美元之巨；2020年，制造 Troldesh病毒的黑客团队在 Github上发表了声明宣布要金盆洗手，公布团队75万多个解密密钥，顿时引起业界一片哗然。

报告数据显示，虽然在2021年前四个月，勒索病毒攻击态势相比去年同期稍有下降，但勒索金额却屡创新高，攻击愈发具备针对性。在勒索病毒感染的行业中，最多的是传统行业，占比达37%，其次是医疗（18%）、政府机构（14%）、教育机构（14%）等。

 

1-4月勒索病毒攻击行业分布

 

 

 1-4月勒索病毒受灾地域分布

国内遭受勒索病毒攻击中，广东，浙江，山东，湖北，河南，上海，天津较为严重，其它省份也有遭受到不同程度攻击。

勒索病毒攻击日益流行，其表现和传播手法也在不断升级。常见的攻击方式包括系统漏洞攻击、远程访问弱口令攻击、钓鱼邮件攻击、Web 服务漏洞和弱口令攻击、数据库漏洞和弱口令攻击等。攻击形式已经从过去蠕虫式传播，及广撒网式的攻击逐渐转向定向化、高效化的攻击发展，黑客们偏向于利用渗透攻击的手段进入重要实体的内部网络植入勒索病毒；这种以勒索目标价值为导向的高度定向攻击已经和APT攻击无异，APT的攻击手段皆有可能成为勒索病毒入侵的入口。

勒索病毒从零星恶作剧发展到频繁发生的主要原因包括三点：第一，勒索病毒加密手段复杂，解密成本高；第二，使用数字货币支付赎金，变现快追踪难；第三，勒索软件即服务的出现，开发者提供整套勒索软件解决方案，从勒索软件的开发、传播到赎金收取都提供完整的服务。攻击者不需要任何知识，只要支付少量的租金就可以开展勒索软件的非法勾当，大大降低了勒索软件的门槛，推动了勒索软件大规模爆发。

与此同时，随着不断有攻击者通过迫使受害者就范而获得非法收益，也刺激着勒索病毒攻击不断加剧。就在近日，美国油管公司Colonial向DarkSide勒索团伙支付了约500万美元赎金。虽然500万美元赎金对于 Colonial 这样大的公司而言是九牛一毛，但表明美国的政府技术部门对待勒索攻击无计可施！黑客的目的达到了，并且依旧逍遥法外，这必将导致出现更多勒索病毒犯罪事件。

 

关键信息基础设施收到勒索病毒威胁不断增加

虽然勒索软件攻击者一般倾向于选择将目标锁定在 "能够提供大笔付款的大公司，或者是无力承受任何攻击的小机构"，但勒索软件的受害者绝对不局限于商业领域。近年来，众多勒索病毒还将攻击目标对向卫生、教育、能源等行业，毫无人性和底线！

近年来针对关键基础设施安全的勒索攻击事件

在过去两年中，对关键基础设施的勒索病毒攻击急剧上升，并且所有迹象表明，随着勒索病毒工具和RaaS产品变得越来越多并且攻击者的技术门槛越来越低，将来的攻击频率还会更高。

 

面对勒索软件的攻击我们能做什么

1. 补丁和安全加固是最基础的安全必修课

多数勒索的攻击是依赖陈旧漏洞和系统配置缺陷得手的，这就使及时的补丁更新和安全加固能防御大多数攻击，特别是非定向攻击。在安全配置中，加固好关键配置点对于防御主流威胁是非常有效的。

2. 制定反钓鱼策略

定期培训员工提高安全意识，能识别恶意电子邮件、网址链接、文件、附件等，不使用来路不明的U盘、光盘、移动硬盘等介质，不下载使用盗版、破解软件。

3. 保持关闭/静态

及时关闭不必要的文件共享权限；在电脑及服务器等终端上关闭445、135、137、138、139、3389、5900等端口；除非绝对必要，否则将面向公众的网站设为静态；避免直接对外映射RDP服务及使用默认端口。

4. 使用强口令/密码

采用8位以上的大小写字母、数字、特殊字符混合的高复杂度组合密码。重要信息系统应当采用双因素认证登录，并制订完善的登录限制策略。

5. 从简单物理隔离到建立防御纵深

无论是类似“震网”这样的高水平定向攻击，还是类似台积电事件这样的勒索事件，都发生于传统认知中的物理隔离内网。在内外网或IT和OT间根据安全要求和对抗需求，将防火墙、网闸单向传输、入侵检测、深包检测还原与缓存等手段有机结合建立其安全屏障是必须的，同时要保障安全响应能力和安全维护能力通畅。

6. 勒索威胁应对的重心是“有效防护”，而非事后处置

应对勒索软件，需要立足于有效防护，尽力使系统不被感染，数据不被加密。勒索事件首先挑战的并不是应急处置能力，而是有效防护水平。勒索软件由于其对文件和扇区的加密以及删除操作，一旦发作，会造成数据损毁。数据恢复的方法只针对极少数的部分勒索软件有效，目前对多数主流的勒索软件是无效的。因此，不能把希望寄托在事后的解密与恢复上，必须打牢地基、扎紧篱笆，构建防御纵深，做好“防患于未然”工作。

7. 使用数据备份与灾难恢复应对勒索事件的事后处置

数据备份是信息系统安全的重要组成部分。备份的最佳做法是采取“3-2-1 规则”，即至少做三个副本，用两种不同格式保存，并将副本放在异地存储。根据数据的重要程度，建立合适的数据备份策略，定期进行数据备份。定期测试备份系统，保证数据备份成功，以便紧急情况下可以正常恢复数据，从而最大程度减少对业务的影响。

建议采用“冷备份”方式备份重要数据。使用单独的文件服务器、移动硬盘等，备份完成后断开网络连接，实现物理隔离。如果使用了云服务器（ECS），一定要及时创建快照。在发生系统故障、错误操作或勒索攻击时，可以使用快照回滚云盘，快速恢复数据，保证业务正常运行。

对重要的服务器设备采取冗余策略，即一台服务器遭受网络攻击失效后，另一台备份服务器可以迅速有效对接，确保核心业务不受影响。

 

如果感染勒索病毒如何补救？

如果勒索病毒已经加密了您的计算机并且开始计时索要赎金，我们建议您执行以下步骤：

1. 不要支付赎金。安全专家一致认为，支付赎金是非常糟糕的防御措施。超过一半的勒索病毒受害者付费后无法成功恢复他们的文件，或者是因为勒索者无法提供承诺的密钥，或者实施了加密/解密算法后，结果钥匙不起作用。只有47％的勒索病毒受害者通过支付赎金获得了他们的数据，但是大多数人最终会丢失他们的数据和资金。同时支付赎金进一步助长了犯罪分子的嚣张气焰，且会引诱更多的人从事网络黑灰产。

2. 如果在受到攻击时，您有一个未连接的备份，请尝试将其还原。不要以为单独恢复加密文件可以解决您的问题，勒索病毒可以感染您系统的每个部分，只有通过恢复整个系统，您才能确保感染被删除。

3. 如果您没有备份，或者您的备份在攻击时位于本地驱动器上，则可能运气不佳。现代勒索病毒会主动寻找本地备份文件并加密或删除它们，以确保您无法逃脱攻击。如果没有安全且未连接的备份镜像，您可能需要删除整个系统以避免感染。

 

延伸：关于关键信息基础设施的范围介绍：

根据《关键信息基础设施安全保护条例(征求意见稿)》，下列单位运行、管理的网络设施和信息系统，一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的，应当纳入关键信息基础设施保护范围：

（一）政府机关和能源、金融、交通、水利、卫生医疗、教育、社保、环境保护、公用事业等行业领域的单位；

（二）电信网、广播电视网、互联网等信息网络，以及提供云计算、大数据和其他大型公共信息网络服务的单位；

（三）国防科工、大型装备、化工、食品药品等行业领域科研生产单位；

（四）广播电台、电视台、通讯社等新闻单位；

（五）其他重点单位。

 

具体可参照下列标准：

【网站类】

符合以下条件之一的，可认定为关键信息基础设施：

1. 县级（含）以上党政机关网站。

2. 重点新闻网站。

3. 日均访问量超过100万人次的网站。

4. 一旦发生网络安全事故，可能造成以下影响之一的：

（1）影响超过100万人工作、生活；

（2）影响单个地市级行政区30%以上人口的工作、生活；

（3）造成超过100万人个人信息泄露；

（4）造成大量机构、企业敏感信息泄露；

（5）造成大量地理、人口、资源等国家基础数据泄露；

（6）严重损害政府形象、社会秩序，或危害国家安全。

 

【平台类】

符合以下条件之一的，可认定为关键信息基础设施：

1. 注册用户数超过1000万，或活跃用户（每日至少登陆一次）数超过100万。

2. 日均成交订单额或交易额超过1000万元。

3. 一旦发生网络安全事故，可能造成以下影响之一的：

（1）造成1000万元以上的直接经济损失；

（2）直接影响超过1000万人工作、生活；

（3）造成超过100万人个人信息泄露；

（4）造成大量机构、企业敏感信息泄露；

（5）造成大量地理、人口、资源等国家基础数据泄露；

（6）严重损害社会和经济秩序，或危害国家安全。

 

【生产业务类】

符合以下条件之一的，可认定为关键信息基础设施：

1. 地市级以上政府机关面向公众服务的业务系统，或与医疗、安防、消防、应急指挥、生产调度、交通指挥等相关的城市管理系统。

2. 规模超过1500个标准机架的数据中心。

3. 一旦发生安全事故，可能造成以下影响之一的：

（1）影响单个地市级行政区30%以上人口的工作、生活；

（2）影响10万人用水、用电、用气、用油、取暖或交通出行等；

（3）导致5人以上死亡或50人以上重伤；

（4）直接造成5000万元以上经济损失；

（5）造成超过100万人个人信息泄露；

（6）造成大量机构、企业敏感信息泄露；

（7）造成大量地理、人口、资源等国家基础数据泄露；

（8）严重损害社会和经济秩序，或危害国家安全。