勒索病毒趋势分析

一、整体态势
1.1勒索发展史

最早期的硬盘勒索：

随后出现的锁屏勒索：

目前流行的文档加密勒索

震惊全球的 WannaCry 的大规模爆发开始于2017年 5 月 12 日（星期五）下午，周末正好是组织机构使用电脑的低峰期，这给安全厂商和组织机构应急处置以免蠕虫快速扩散提供了的缓冲时间，也让攻击者失去了获得更多赎金的可能。

为了避免“亏本”，获得更多的赎金，未来的勒索病毒会在获得更多“勒索筹码”之前尽可能隐蔽自己，一边延长自己的生命周期，一边选择合适的时间发作，让安全厂商合组织机构“措手不及”。

无论对制作者还是使用者而言，影响广泛、物美价廉、门槛低获利快的勒索病毒都是当前比较“靠谱”的获利方式，因此，制作者会不断采用新的技术来提升勒索病毒的质量，使用者则会通过使用更多数量的勒索病毒来广开财路。

1.2勒索病毒会越来越多的使用免杀技术

成功进驻系统并运行是敲诈勒索的前提。因此，为了获得更大的经济利益，在勒索病毒的制作、传播过程中，首先要做的就是“自我保护”，即躲避杀毒软件的查杀。以
Petrwrap为例，它在 2017 年 6 月底在欧洲引发大面积感染，俄罗斯、乌克兰、波兰、法国、意大利、英国及德国也被其感染。最近的 VirusTotal 扫描显示，61 款杀毒软件当中只有 16 款能够成功检测到该病毒。

在各界充分认识到勒索病毒引发的可怕后果的前提下，攻击者必然会在今后趁热打铁，充分利用这种担心和恐慌获取更多的赎金，不断使用更新的技术和更多的变种来突破杀毒软件的防线将成为必然。

二、攻击特点
2.1勒索病毒的传播手段将更加多样化

相比于个人受害者，组织机构更有可能支付大额赎金，而感染更多设备从而给组织机构造成更大的损失是提升赎金支付可能性的重要手段。因此，除了通过更多的漏洞、更隐蔽的通道进行原始传播，勒索病毒的自我传播能力也将会被无限的利用起来，类似 WannaCry、类 Petya、坏兔子等以感染的设备为跳板，然后利用漏洞进行横向移动，攻击局域网内的其他电脑，形成“一台中招，一片遭殃”的情况将会在今后愈演愈烈。针对各企业对于软件供应链的管理弱点，通过软件供应链通道进行原始传播在未来有很大概率被再次利用。

传播方式由老旧的钓鱼、挂马变为为定向攻击和蠕虫攻击
2.2勒索工具的变化

勒索工具的变化：从勒索病毒转向为使用专业和正规的加密工具（如BestCrypt ）进行加密。

原因是：使用正规的加密工具来加密，能降低黑客自己的开发成本，部分勒索病毒存在漏洞为解密文件提供了可能。而利用成熟的商业软件来加密使得解密难度变得更大；此外利用正规软件也更方便逃避安全软件查杀。

三、攻击目标
3.1 勒索病毒攻击的操作系统类型将越来越多

目前，绝大多数勒索病毒攻击的都是 Windows 操作系统，但针对 MacOS 的勒索病毒

MacRansom 已经出现在暗网中；针对 Linux 服务器的勒索病毒 Rrebus 也已经造成了巨大的损失；针对安卓系统的勒索病毒也在国内网络中出现。但这也许只是开始，越自认为“安全”、越小众的系统，防护能力可能越弱，一旦被攻破，支付赎金的可能性也就越大，因此，勒索病毒不会放过任何一个系统。
3.2 勒索病毒定向攻击能力将更加突出

2017 年影响面最大的两个勒索病毒，WannaCry（永恒之蓝）攻击者收到的赎金可能不足 15 万美元，类 Petya 的攻击者更是只拿到可怜的 11181 美元赎金，但针对 Linux 服务器的勒索病毒 Rrebus 看似名不见经传，却轻松从韩国 Web 托管公司 Nayana 收取
100 万美元赎金，仅此一家缴纳的赎金就是永恒之蓝从全球获得赎金的 7 倍之多。

由此可见，针对特定行业、关键业务系统的敲诈勒索更容易成功，更容易获得高额赎金，
这将让以敲诈勒索为核心目的的攻击者逐渐舍弃华而不实的广撒网式攻击，将重心转移到发动更有针对性的定向攻击。（如卫生医疗系统）
四、造成损失
4.1 经济损失与赎金支付都将持续升高

安全意识培训公司 KnowBe4
曾估测：WannaCry （永恒之蓝）的大规模爆发，在其前 4 天里，就已经造成了 10 亿美元的经济损失。而随着勒索病毒技术的进一步成熟和平台化，勒索病毒的攻击也将会更加频繁，攻击范围更加广泛，造成的经济损失也会不断攀升。

以类 Petya
勒索病毒为例，根据全球各地媒体的相关报道，仅仅是它给
4 家全球知名公司造成的经济损失就已经远超 10
亿美金，如下表所示。