勒索病毒“野蛮生长” 火绒构建终端矩阵防御模式

从漏洞攻击到弱口令攻击，从加密文件到泄露数据，从单一扩散到成立供应商集中扩散，在网络和数字世界里，勒索这门生意通过不断的转型升级，在这几年中正“野蛮生长”。

3月份，勒索病毒REvil攻击了计算机巨头宏碁（Acer）并勒索赎金5000万美元，创下勒索赎金数额之最；而一款名为Sarbloh的新勒索软件正在通过恶意Word文档进行传播，其竟还包含了支持印度农民抗议的信息；大洋洲另一边，荷兰电子票务平台Ticketcounter190万条用户邮件信息被盗，由于勒索未遂，黑客在论坛上公开了数据库…这些，也只是勒索病毒恶行的冰山一角。

1989年，黑客还在以人工投递软盘的方式传播勒索病毒，而随着数字货币兴起，数年之间，加密+索要比特币的攻击方式成为勒索病毒的标配，并疯狂增长，同时也导致传播方式被拓展。

2013年勒索病毒进入成型期，开始大面积以邮件、网页挂马的方式借助互联网进行定向传播；而通过漏洞无定向的扩散，则更是轻易便在全球范围内掀起一场勒索恐慌。2017年5月12日，一种名为“想哭”的勒索病毒袭击全球150多个国家和地区。直至目前，通过RDP弱口令暴破等方式实现病毒精准投放，也已经不是新鲜案例了。

更意想不到的是，除了赎金，数据泄露勒索也已经成为一门生意。

勒索者通过入侵并控制目标用户电脑，要求企业支付一定的金额进行数据赎回，否则将在指定的时间公布这些机密数据。勒索运营者甚至在接受采访的时候表示：“进入勒索软件行业以来，它带来了丰厚的利润。”

无论是精准投放病毒，还是数据泄漏，显然，企业已经成为勒索病毒的主要攻击目标。而从火绒统计数据来看，也可以进一步佐证这一结论。

根据"火绒威胁情报系统"监测和和评估，从2018年初到9月中旬，勒索病毒总计对超过200万台终端发起过攻击，攻击次数高达1700万余次，勒索病毒主要通过三种途径传播：漏洞、邮件和广告推广，其中，通过漏洞发起的攻击占攻击总数的87.7%。（具体数据如下图）

时间来到2019年，根据火绒报告《2019勒索事件回顾：RDP弱口令渗透愈演愈烈》显示：在过去的一年里，勒索病毒的攻击方式从漏洞、邮件、激活工具等大比例转变为RDP弱口令渗透。据“火绒在线支持和响应中心”平台统计，在火绒2019年处理的勒索事件中，高达61%的勒索攻击选择使用RDP弱口令渗透进行传播。（具体数据如下图）

而在2020年火绒跟进响应的主要勒索病毒现场中，企业问题高居不下，且企业终端被黑客入侵植入勒索病毒的情况屡见不鲜。经过火绒分析统计，有高达79%的勒索病毒攻击事件是由黑客入侵引发，在被黑客入侵的勒索病毒事件中，又有78%的现场为黑客通过RDP（Remote Desktop Protocol，即远程桌面协议）远程登录的方式植入、执行勒索病毒。（具体数据如下图）

勒索病毒的传播途径和方式日益复杂，随着勒索病毒转型升级的不断加码，带给安全行业的挑战也日益增大，传统的防守方式已经不足以完全应对勒索病毒的威胁。火绒在自研反病毒引擎基础上，再构建一个纵深防御体系，多角度、多维度应对勒索病毒不同的攻击方式，做到“防守反击”，将威胁拒之终端外，为用户带来良好安全环境。

对于邮件、文档、网页等传播方式，火绒配置了【常规扫描查杀】、【文件实时监控】、【恶意行为监控】、【勒索诱捕】等基础查杀功能；对于漏洞这种大面积无定向传播的病毒，则在【系统加固】、【邮件监控】之外，推出【网络入侵拦截】、【横向渗透防护】等功能，有效阻止病毒从外部入侵或在内部流窜。

对于近几年常见的RDP弱口令入侵，则及时推出【暴破攻击防护】、【远程登录防护】、【终端动态认证】等功能，通过可疑动作识别、白名单设置、以及二次验证等方式，对企业用户进行多重角度的防护。

总的来说，勒索病毒目前呈现出的是：攻击方式的多样化、攻击目标的精准化、攻击开展的制度化。这也意味着勒索病毒与终端安全的攻防战势必会更加激烈，而对于勒索病毒的防御，在做好充分的可查杀之外，更重要的是在终端各个角落提前布置防线。

当然，对相关勒索事件，大家也可以直接通过以下方式，直接向我们反馈求助：

1、拨打电话400-998-3555

2、通过火绒官方论坛反馈

3、邮箱：seclab@huorong.cn

4、微信、微博、头条、知乎、B站平台搜索【火绒安全实验室】私信求助。

附：相关阅读

1、《企业遭遇勒索病毒自救方式》

2、《火绒产品公告——新增重要功能“漏洞攻击拦截”》

3、《火绒上线“横向渗透防护”功能 竖立内网安全的护城墙》

4、《火绒终端动态认证功能上线 为企业防护勒索病毒再筑防线》

5、《国内勒索病毒疫情严重 每天十多万台电脑被感染》