2016勒索病毒威胁形势 分析报告 （年报） 2016年12月15日 摘 要  360互联网安全中心的监测显示， 2016年1月1日至 11月29日，共截获电脑端新增 敲 诈者病毒 变种 113种，涉及样本 16.7万个，全国至少有 497多万台用户电脑遭到了 敲 诈者病毒 攻击。在9月底至 10月中旬出现 敲诈者病毒 攻击的高峰 。  Cerber、Lock y、XTBL是目前最主流的三大 敲诈者病毒 家族。网页挂马传播、邮件附 件传播、服务器入侵传播是目前最主流的三大传播方式。  遭遇敲诈者病毒 攻击的国内电脑用户遍布全国所有省份。 其中， 广东占比最高， 为 13.2%， 江苏 9.4%，山东 5.8%，排名前十省份占国内所有 被攻击总量的60.6%。  在敲诈者病毒 攻击的国内目标人群中， 18.9%为企业用户， 81.1%为普通个人用户。受 害者主动寻求帮助的人群中， 62.4%为企业用户， 37.6%为个人用户。  IT/互联网行业是最容易受到 敲诈者病毒 攻击的行业，占比为 25.7%；其次为制造业占 比18.8%，政府或事业单位占比为 14.4%。  普通职员是遭遇 敲诈者病毒 攻击次数最多的受害者，占比高达 51.1%，其次是经理、高 级经理，占比为 39.4%，企业中、高管理层，占比为 6.6%，CEO、董事长、总裁等企 业的掌舵者被 敲诈者病毒 攻击的比例也达到了 2.9%。  42.6%的受害者不知道自己是如何感染的 敲诈者病毒 ，21.8%是通过浏览陌生网页 感染 病毒，11.9%是通过下载软件 感染病毒，8.9%是主动点击查看 邮件的附件 感染病毒，5.0% 是通过 U盘传播感染， 3.5%是通过开启 3389端口，遭到黑客远程 攻击。  94.6%的受害者电脑上 办公文档被感染，88.1%的受害者认为办公文档是造成损失最大 的文件类型。  11.9%的受害者会为了恢复文件而支付赎金， 其中，58.4%是通过淘宝平台 ，33.3%是按 照病毒提示付款的， 8.3%的受害者是通过请朋友帮助操作付款的。  不愿意支付赎金的用户中， 有 39.9%的受害者 是因为不相信支付赎金后会给自己的文件 解密， 24.7 %的受害者 是因为不想继续纵容黑客进而选择拒绝支付赎金， 10.7%的受害 者是相信会有恢复工具能够修复加密的文件 。  调研显示， 16.8%的受害者恢复了文件。 其中，26.5%是通过使用解密工具， 17.6%是通 过历史网络备份数据 。  在感染敲诈者病毒 后， 48.4%的受害者通过重装系统清除了病毒， 18.3%的受害者通过 安装安全软件查杀掉病毒， 11.8%的受害者直接删除中毒文件。 但仍有 21.5%的受害者 未进行任何处理。 关键词： 敲诈者病毒 、比特币、 支付赎金 目 录 第一章 敲诈者病毒的大规模攻击 ................................ ................................ ................................ ..... 1 一、 敲诈者病毒的攻击量 ................................ ................................ ................................ ............. 1 二、 敲诈者病毒的家族 ................................ ................................ ................................ ................. 3 三、 敲诈者病毒的传播方式 ................................ ................................ ................................ ......... 4 四、 敲诈者病毒的攻击对象 ................................ ................................ ................................ ......... 5 五、 敲诈者病毒攻击的地域分布 ................................ ................................ ................................ .. 5 六、 敲诈者病毒的服务器分布 ................................ ................................ ................................ ..... 6 第二章 受害者感染途径和文件 类型 ................................ ................................ ................................ .. 7 一、 受害者的基本属性 ................................ ................................ ................................ ................. 7 二、 受害者的感染途径 ................................ ................................ ................................ ................. 9 三、 受害者的感染文件类型 ................................ ................................ ................................ ....... 10 四、 导致重大损失的文件类型 ................................ ................................ ................................ ... 10 第三章 敲诈者病毒攻击后处理情况 ................................ ................................ ................................ 11 一、 赎金的支付与支付方 式 ................................ ................................ ................................ ....... 11 二、 拒绝支付赎金的原因 ................................ ................................ ................................ ........... 12 三、 影响赎金支付的因素 ................................ ................................ ................................ ........... 12 四、 恢复感染文件的方法 ................................ ................................ ................................ ........... 14 五、 敲诈者病毒清除方法 ................................ ................................ ................................ ........... 15 第四章 敲诈者病毒的应对措施 ................................ ................................ ................................ ....... 16 一、 敲诈者病毒的危害 ................................ ................................ ................................ ............... 16 二、 敲诈者病毒的不可解 ................................ ................................ ................................ ........... 16 三、 360反勒索服务 ................