WannaCry 一周年 勒索软件威胁形势分析报告 360互联网安全中心 2018年5月11日 主要观点  2017年5月WannaCry （永恒之蓝勒索蠕虫） 大规模爆发以来， 360互联网安全中心监 测到大量针对普通网民和政企机构的勒索软件攻击。 勒索 软件已成为对网民直接威胁最 大的一类木马病毒。  Crysis、Cerber、GlobeImposter 和WannaCry 是勒索软件 的四大家族，这四大 家族的受害 者数量占到所有受害者 总数的66.0%。  针对中国用户的勒索软件攻击 ，九成以上来自境外，其中四成来自美国。 统计显示： 在 针对中国电脑用户的勒索软件攻击中， 93.5%的攻击来自境外；其中，来自美国的攻击 最多，占比高达 42.2%；其次是俄罗斯， 占比为 11.3%；来自中国本土的攻击量排第三， 占比为 6.5%；荷兰、乌克兰分别排在第四和第五。  在向 360互联网安全中心求助的 勒索软件受害者中， 75.2 %的被感染 电脑使用的 是 Windows Server操作系统，受害者多为中小企业 。这再次表明了勒索软件攻击者已经将 主要攻击目标从高价值个人转向了企业服务器 。 造成这种情况的主要原因可能是企业 为 服务器支付赎金的意愿 相对更高 。  WannaCry 之所以能够穿透内网，攻击 被隔离的网络 设备，主要是因为以下六种原因： 一机双网缺乏有效管理、缺陷设备被带出办公区、协同办公网络未完全 隔离、防火墙未 关闭 445端口、办公网与生活网未隔离、外网设备分散无人管理 。  2017年以来，勒索软件的攻击主要呈现以下特点： 无C2服务器加密技术流行、攻击目 标转向政企机构、攻击目的开始多样化、勒索软件平台化运营、境外攻击者多于境内攻 击者。  未来一年， 勒索软件的质量和数量 还将持续不断攀升， 并且会越来越多的使用免杀技术 ； 从攻击特点 来看，勒索软件的自我传播能力将越来越强，静默期也会不断延长 ；从攻击 目标来看，勒索软件攻击的操作系统类型将越来越多 ，同时定向攻击能力 也将更加突出 ； 此外，勒索软件 造成的经济损失会 越来越大，受害者支付赎金的数量也会越来越 多。  在反勒索软件方面， 以下技术最有可能成为主流趋势：文档自动备份隔离保护 技术、智 能诱捕技术、行为追踪技术、智能文件格式分析技术和数据流分析技术等。 对于企业级 用户来说， 云端免疫技术、密码保护技术 等也将起到 至关重要 的作用。 摘 要  2017年全年， 国内共有约有505.7万台电脑遭到勒索软件攻击 。如果从WannaCry 大规 模爆发的5月开始计算， 2017年5月到2018年4月，全国共有约463.5万台电脑遭到 了勒索软件攻击 。2017年11月是勒索软件攻击的最高峰。  Crysis、Cerber、GlobeImposter 和WannaCry 这四大勒索软件家族的受害者最多，共占到 总量的 66.0%。其中， Crysis占比为 23.6%，Cerber占比为 15.4%，GlobeImposter 占比为 14.3%，WannaCry 占比为 12.8%。  统计显示， 2018年1-4月，在向 360互联网安全中心求助的勒索软件受害者中，制造 业是遭受攻击最多的行业，占比约为 23.1%；其次是互联网企业，占比约为 15.7%；外 贸行业排第三，占比约为 10.6%。  通过对受害者电脑的远程取证， 360互联网安全中心 对2018年1-4月间，勒索 软件攻 击者的IP信息进行了 深入分析。统计显示： 在针对中国电脑用户的勒索软件攻 击中， 93.5%的攻击来自境外；其中，来自美国的攻击最多，占比高达 42.2%；其次是俄罗斯， 占比为 11.3%；来自中国本土的攻击量排第三，占比为 6.5%；荷兰、乌克兰分别排在第 四和第五。  在向 360互联网安全中心求助的勒索软件受害者中， 广东省受害者最多，约占全国总量 的23.5%，其次是浙江省和江苏省，约占全国受害者求助总数的 7.4%，排名第四的是北 京，约占 5.6%，山东排名第五，约占 5.3%。  在向 360互联网安全中心求助的勒索软件受害者中， 75.2%的被感染的电脑使用的是 Windows Server 操作系统。具体来看， Server2008/2008 R2 占比最高，达 55.3%，其次是 Server2012/2012 R2 ，占比约为 18.9%，Win7/Win7 SP1 排第三，占比约为 15.5%。  2017年5月-2018年4月，国内至少有约有 368.5万台电脑遭到了 WannaCry 的攻击， 其中， 2017年9月是攻击最高峰， 2018年2月大幅减少后， 在随后的 3月又开始反弹。  WannaCry 之所以能够穿透内网，攻击被隔离的网络设备，主要是因为以下六种原因： 一机双网缺乏有效管理、缺陷设备被带出办公区、协同办公网络 未全隔离、防火墙未关 闭445端口、办公网与生活网未隔离、外网设备分散无人管理。  2017年以来，勒索软件的攻击主要呈现以下特点：无 C2服务器加密技术流行、攻击目 标转向政企机构、攻击目的开始多样化、勒索软件平台化运营、境外攻击者多于境内攻 击者。  未来一年， 勒索软件的质量和数量还将持续不断攀升， 并且会越来越多的使用免杀技术； 从攻击特点来看，勒索软件的自我传播能力将越来越强，静默期也会不断延长；从攻击 目标来看， 勒索软件攻击的操作系统类型将越来越多， 同时定向攻击能力也将更加突出； 此外，勒索软件造成的经济损失会越来越大，受害者支付赎金的数量也会越来越多。  在反勒索软件方面，以下技术最有可能成为主流趋势：文档自动备份隔离保护技术、智 能诱捕技术、行为追踪技术、智能文件格式分析技术和数据流分析技术等。对于企业级 用户来说，云端免疫技术、密码保护技术等也将起到至关重 要的作用。 目 录 第一章 勒索软件的大规模攻击 ................................ ................................ ................................ ..... 1 一、 勒索软件的攻击量 ................................ ................................ ................................ ............ 1 二、 勒索软件家族分布 ................................ ................................ ................................ ............ 1 三、 勒索软件受害者行业分布 ................................ ................................ ................................ . 2 四、 勒索软件攻击者地域分布 ................................ ................................ ................................ . 2 五、 勒索软件受害者地域分布 ................................ ................................ ................................ . 3 六、 勒索软件感染操作系统分布 ................................ ................................ ............................. 3 第二章 WANNACRY 攻击分析 ................................ ................................ ................................ 5 一、 勒索蠕虫的空前影响 ................................ ................................ ................................ ........ 5 二、 WANNA CRY穿透内网原 因................................ ................................ ................................ . 6 三、 其他暴露出来的问题简析 ................................ ................................ ................................ . 7 第三章 勒索软件的攻击特点 ................................ ...................