2018勒索病毒白皮书 (政企篇 ) 奇安信终端安全实验室 2019年2月 摘 要  2018年，勒索病毒攻击整体态势以服务器定向攻击为主，辅以撒网式无差别 攻击手段 。  2018年共有 430余万台（只包括国内且不含 WannaCry 数据）计算机遭受勒 索病毒攻击； GandCrab 、GlobeImposter 、CrySis这三大家族勒索病毒的受害 者最多，合计占比高达 80.2%；勒索病毒最常使用的攻击手段是远程桌面弱 口令暴力破解攻击。  勒索病毒对政企单位的攻击以单点试探为主， 79.8%仅尝试攻击一台终端 ； 政府行业的单位最容易遭到勒索病毒攻击，占被攻击单位总数的 21.0%；金 融行业的终端最容易遭到勒索病毒攻击，占被攻击终端总数的 31.8%。  5月是政企单位感染勒索病毒的最高峰，其数值是最低谷（ 2月）的 5.3倍； 政府单位是感染勒索病毒的重灾区， 被感染 数量占被感染单位总数的 24.1%； GlobeImposter 最难防范， 34.0%的受害政企单位感染了该勒索病毒；各大勒 索病毒都爱感染政府行业。  政企单位可以通过业务系统无法访问、电脑桌面被篡改、文件后缀被篡改等 方式判断是否感染了勒索病毒。如果已经感染了勒索病毒，建议通过隔离中 招主机、排查业务系统、联系专业人员进行自救等多种方式，在等待专业人 员救助之前有效止损。  政企单位防范勒索病毒建议从七个方面着手，即 及时更新最新的补丁库 、杜 绝弱口令、 重要资料定期隔离备份 、提高网络安全基线 、保持软件使用的可 信、选择正确的 反病毒软件、建立高级威胁深度分析与对抗能力 。 3 目 录 第一章，勒索病毒整体攻击态势 ................................ ................................ ................................ ..... 1 一、 整体态势 ................................ ................................ ................................ ........................... 1 二、 活跃家族 ................................ ................................ ................................ ........................... 1 三、 传播特点 ................................ ................................ ................................ ........................... 2 第二章，政企遭遇勒索攻击分析 ................................ ................................ ................................ ..... 5 一、 攻击力度 ................................ ................................ ................................ ........................... 5 二、 感染分析 ................................ ................................ ................................ ........................... 6 第三章，勒索病毒发展趋势预测 ................................ ................................ ................................ ... 10 一、 紧跟漏洞发展步伐 ................................ ................................ ................................ .......... 10 二、 更多的传播方式 ................................ ................................ ................................ .............. 10 三、 攻击面和目标扩大化 ................................ ................................ ................................ ...... 10 四、 被攻击的设备种类不断扩大 ................................ ................................ ........................... 10 第四章，勒索病毒应急响应指南 ................................ ................................ ................................ ... 11 一、 如何判断中毒 ................................ ................................ ................................ .................. 11 二、 如何紧急自救 ................................ ................................ ................................ .................. 12 三、 如何进行恢复 ................................ ................................ ................................ .................. 12 四、 如何避免中毒 ................................ ................................ ................................ .................. 14 附录1、2018热点勒索病毒事件 ................................ ................................ ................................ ... 16 附录2、关于奇安信终端安全实验室 ................................ ................................ ............................. 18 附录3、关于奇安信网神终端安全管理系统 ................................ ................................ ................. 18 附录4、关于奇安信网神终端安全响应系 统 ................................ ................................ ................. 19 1 第一章，勒索病毒整体攻击态势 2018年，勒索病毒攻击特点也发生了变化： 2017年，勒索病毒由过去撒网式无差别攻 击逐步转向以服务器定向攻击为主，而 2018年，勒索病毒攻击则以服务器定向攻击为主， 辅以撒网式无差别攻击手段。 一、 整体态势 摘要：2018年共有430余万台计算机遭受勒索病毒攻击， 12 月攻击最盛。 根据 360互联网安全中心的数据 （包括360安全卫士和 360杀毒的查杀数据），2018年 共计 430余万台计算机遭受勒索病毒攻击（只包括国内且不含 WannaCry 数据） 。值得关注 的是，在 2018年11月和 12月，由于 GandCrab 勒索病毒增加了蠕虫式（蠕虫下载器）攻 击手段以及 Satan勒索病毒加强了服务器攻击频次，导致攻击量有较大上升。 需要指出的是，以上 趋势仅基于监控数据， 实际许多用户是黑客通过服务器攻击渗透入 侵内网后投放的勒索病毒，亦或用户终端不联网通过内网其他机器感染的勒索病毒， 这些情 形下是无法监控到数据的。 二、 活跃家族 摘要：2018年GandCrab 、GlobeImposter 、CrySis这三大 家族勒索病毒的受害者最多，合计占比高达 80.2%