引言：《2019年上半年勒索病毒疫情分析报告》包含五部分，分别为勒索病毒上半年攻防态势分析、受害者分析、攻击者分析、勒索病毒发展趋势分析和安全建议。全文将分期对外公开。

2019年上半年，勒索病毒毫无疑问地成为网络安全行业中最热门话题，成为政府、企业、个人最为关注的安全风险之一。我们将从技术和产业两个维度，对2019年上半年勒索病毒的发展趋势进行分析。

一、 勒索病毒攻防技术发展

（一）攻防技术快速演变

一方面漏洞能力提高。勒索病毒在制作传播上，也使用了更多样的漏洞。以往勒索病毒的漏洞利用往往集中在传播阶段，利用各式漏洞来加强其传播与感染能力，最典型的如WannaCry集成“永恒之蓝”漏洞利用工具，得以大范围传播。而今年勒索病毒开始在更多阶段利用漏洞发起攻击，如“锁蓝”勒索病毒就集成了cve-2018-8453 Windows内核提权漏洞，使病毒能够拿到较高系统权限，威力进一步加强。对漏洞的利用也不局限于此，新披露漏洞会很快被用来发起攻击，新漏洞的披露就意味着新一波攻击的发起。此外，还出现了利用供应链发起攻击的勒索病毒攻击事件。

另一方面，攻击目标跨平台、跨终端。勒索病毒制作团伙也在尝试更多样的攻击目标，以往主要出现在Windows平台的勒索病毒，目前在Android、MacOS、Linux上均有出现。而被攻击的目标，也不再只局限于计算机，数据库、各种嵌入式设备、专用设备也被曝出受到勒索病毒攻击影响。

（二）防护技术转向“封、固、解”

2019年上半年，勒索病毒的防御重点已经从对病毒的识别、查杀、拦截，转向对病毒传播渠道的封堵、对主机的安全加固和对被加密文件的解密。

“识别、查杀、拦截”能力得到巩固。依托多年来的技术积累，360安全卫士在勒索病毒的识别、查杀、拦截方面均有良好表现，病毒作者通过免杀来绕过杀软的查杀和防御已经非常困难。目前勒索病毒在投递之前，通常会诱使用户退出杀软或者攻击者主动关闭杀毒软件来避免病毒被查杀。

封锁拦截病毒传播渠道是应对勒索病毒的有效技术。例如STOP勒索病毒会捆绑在一些激活工具中进行传播，在获取用户信任之后，依靠用户手动放行来实施攻击。杀毒软件如果能先于攻击者，在其传播渠道上就进行拦截提示，能够取得更好的效果。

服务器安全加固技术至关重要。2019年上半年，服务器成为勒索病毒的重点攻击目标，针对服务器的攻击占整体勒索病毒攻击的25%。原因是服务器由于无人值守，长期暴露于公网之上等原因，造成其被攻击的攻击面相对较大。而服务器被攻击的常见手段包括口令爆破攻击和系统或软件服务漏洞攻击等，针对这一系列问题，360安全卫士增加了“远程桌面爆破防护”、SQL Server爆破防护、VNC爆破防护、Tomcat爆破防护等一系列防护。在漏洞保护方面，增加了有WebLogic、JBoss、Tomcat等多种服务器常见软件的漏洞防护，以及大量系统漏洞的防护能力。

对被勒索病毒加密文件的破解是受害者最关注的问题。对勒索病毒进行破解，也是体现网络安全公司能力的重要方面。常见的破解原理包括：

1. 利用泄露的私钥破解。通过各种渠道获取到病毒作者的私钥实现破解。如GandCrab勒索病毒的私钥就被警方获取并公开，安全公司因此可以制作解密工具来进行解密。

2. 利用加密流程漏洞进行破解。有的勒索病毒本身编写不规范，使用不严谨的加密算法或随机数生成算法等，造成加密密钥或关键数据能够被计算获取，继而解密。

3. 明密文碰撞解密。这类解密常用于使用流式加密生成一个固定长度的密钥串，之后加密文件的勒索病毒。通过明密文对比计算从而得到使用的加密密钥，如STOP勒索病毒就是使用类似方法得以破解。

4. 爆破解密。这类解密也是由于病毒作者对密钥处理的不规范，造成密钥空间不足，为爆破解密提供了可能。常见的如使用时间做种子产生随机数做密钥的情况。

（三）勒索病毒处置服务更趋专业化

以往的勒索病毒处置，多属于被攻击公司和安全公司应急响应的一部分，由安全运维团队兼职处理。随着勒索病毒感染事件的常态化，在勒索病毒处置方面，也出现了越来越多的专职处置团队。行业内开始出现专门处理勒索病毒的解密公司。安全公司的处置业务也由之前的查杀病毒、协助解密，逐步扩展为帮助企业恢复生产、查清原因以及后续的安全加固服务，服务更趋专业化。安全软件对勒索病毒的防护能力，也成为企业和个人选择安全软件的一个重要关注点。

二、 勒索病毒相关产业发展

（一）病毒制作传播与解密相关产业

勒索病毒经过多年发展，其制作传播链条也逐步分工细化，包括制作、销售、传播、支付、解密等多个环节组成，参与人员多，团队数量也在增加。

勒索病毒在赎金索要方面出现分化。部分团伙不在局限于比特币，门罗币等“数字货币”，开始接受一些支付工具直接转账的请求。而另外一些团伙则开始要求用户使用匿名性更高的一些“数字货币”，如“达世币”进行支付。在赎金要求方面，也有分化趋势，部分勒索病毒的赎金要求降低到了300美元左右，而有一些则要求数十万美元不等。

在勒索病毒解密方面，目前网上有记录的国内解密公司就有将近100余家，提供代缴赎金，数据解密恢复，数据库恢复等业务，因为其解密方式多是通过向黑客支付赎金来完成，也存在一些被人诟病的问题。

（二）针对勒索病毒相关的犯罪打击

各国政府对勒索病毒问题的重视程度也在加大，对勒索病毒的打击力度加强。

我国高度重视勒索病毒的打击活动。我国主管部门发起了“勒索病毒的专项治理工作”，以加强机关单位对勒索病毒的重视程度与防护能力。2018年年底，名噪一时的“扫码支付勒索病毒”，很快被侦破，不久前作者被提起公诉。2019年6月，国内一家知名“解密公司”控制人被武汉警方抓获，该公司联合黑客攻击国内多家公司的电脑，以解密为由索利，先后获利700余万元。

国外对勒索病毒犯罪的打击也取得了一些进展，如前不久FBI、欧洲刑警组织、罗马尼亚警察局、DIICOT、NCA等多家执法机构合作，拿到了GandCrab勒索病毒的私钥，帮助用户解密文件。