對(duì)于“瑞星人”來說，獅子圖案可能是最能引起共鳴的了。

不久前編輯見到瑞星副總裁唐威時(shí)候，他興奮地向我分享了一張圖片：同事無意間在街上拍到的一位身著獅子圖的少年。唐威看著圖片上的獅子和旁邊的1991，默默淘寶了一百次，找到了同款。

“真的很酷，我已經(jīng)下單了?！?/p>

唐威朋友圈

1991對(duì)瑞星來說是個(gè)有紀(jì)念意義的數(shù)字，這年幼獅出生，沒多久趕上大規(guī)模爆發(fā)的宏病毒和 CIH 病毒，靠著征戰(zhàn)殺軟市場(chǎng)登上鼎盛期，卻又因免殺鋪天蓋地而來被迫放棄個(gè)人收費(fèi)殺軟。隨后瑞星轉(zhuǎn)戰(zhàn)企業(yè)市場(chǎng)，相比起來這頭青年獅子低調(diào)了許多。

雷鋒網(wǎng)曾在去年年底對(duì)這頭鮮少露面的“獅子”進(jìn)行過采訪（甚少在媒體露面的瑞星，如今過得怎么樣？），當(dāng)時(shí)瑞星的回應(yīng)是：在鼎盛時(shí)期面對(duì)的是個(gè)人用戶，一款產(chǎn)品面世后如果反響不錯(cuò)坐著就能掙錢的狀態(tài)，確實(shí)不利于瑞星往前走，而現(xiàn)在服務(wù)企業(yè)用戶時(shí)，則是一種戰(zhàn)戰(zhàn)兢兢的狀態(tài)，活要干得精細(xì)、認(rèn)真，這種態(tài)度的轉(zhuǎn)變，也許能爆發(fā)出不一樣的力量。

這份不一樣的力量是什么？

似乎可以從瑞星主頁上大大的紅叉窺得一二。

根據(jù)瑞星不久前發(fā)布的《2018勒索病毒全面分析報(bào)告》捕獲數(shù)據(jù)，2018年1至10月中國(guó)勒索病毒樣本約有42.82萬個(gè)，勒索病毒感染次數(shù)約為344萬次。

一但電腦數(shù)據(jù)被勒索病毒加密，幾乎沒有任何辦法破解。用戶要么放棄這些資料，要么支付贖金來獲得解密鑰匙。更有甚者，有些病毒團(tuán)伙“不講信用”，拿到贖金并不提供密鑰，可謂是“亡羊補(bǔ)牢，為時(shí)已晚”。

勒索病毒不可怕，可怕的是企業(yè)缺乏安全意識(shí)和防御措施，信息安全處于極其脆弱的狀況卻不自知。而獅子瑞星提出：對(duì)抗勒索病毒防御才是解決之道。

感染情況

勒索病毒對(duì)我們來說并不陌生，由于加密手段復(fù)雜，解密成本高以及使用電子貨幣支付贖金，變現(xiàn)快追蹤難等原因，其成為企業(yè)環(huán)境的隱藏炸彈。

而Ransomware-as-a-server，即勒索服務(wù)化的出現(xiàn)（開發(fā)者提供整套勒索軟件解決方案，從勒索軟件的開發(fā)、傳播到贖金收取都提供完整的服務(wù)。攻擊者不需要任何知識(shí)，只要支付少量的租金就可以開展勒索軟件的非法勾當(dāng)。），更是大大降低了勒索軟件的門檻，推動(dòng)了勒索軟件大規(guī)模爆發(fā)。

至于具體爆發(fā)情況，綜合瑞星“云安全”系統(tǒng)、瑞星威脅情報(bào)平臺(tái)的研究數(shù)據(jù)，2018年1至10月，瑞星“云安全”系統(tǒng)共截獲勒索軟件樣本42.82萬個(gè)，感染共計(jì)344萬次，其中廣東省感染94萬次，位列全國(guó)第一，其次為北京市48萬次，浙江省20萬次及上海市18萬次。  

2018年1至10月中國(guó)勒索病毒感染狀況

通過對(duì)瑞星捕獲的勒索樣本分析發(fā)現(xiàn)，一月為勒索病毒高發(fā)期，感染共計(jì)62萬次，位列第一，其次為三月48萬次，以及6月與7月45萬次。

2018年1至10月勒索病毒各月感染數(shù)量

通過對(duì)瑞星捕獲的勒索樣本按家族分析發(fā)現(xiàn)，WannaCry家族占比39%，位列第一，其次為Cerber家族與Locky家族占比24%。時(shí)隔一年，WannaCry勒索病毒依然影響最大，由此可以看出，很多企業(yè)互聯(lián)網(wǎng)中仍然存在很多未打“永恒之藍(lán)”漏洞補(bǔ)丁的機(jī)器，導(dǎo)致其危害至今仍在持續(xù)。

  

2018年1至10月各個(gè)勒索家族感染樣本占比

趨勢(shì)分析

賽博世界的攻防對(duì)抗永遠(yuǎn)處于道高一尺魔高一丈的你來我往間，躲在暗處的黑客們?cè)缇筒己昧藷o數(shù)陷阱，等著大魚小魚落網(wǎng)。

比如針對(duì)個(gè)人用戶的攻擊方式主要是攻擊者將病毒偽裝為盜版軟件、外掛軟件、色情播放器等，誘導(dǎo)受害者下載運(yùn)行病毒，運(yùn)行后加密受害者機(jī)器。此外勒索病毒也會(huì)通過釣魚郵件和系統(tǒng)漏洞進(jìn)行傳播；

勒索病毒針對(duì)企業(yè)用戶常見的攻擊方式包括系統(tǒng)漏洞攻擊、遠(yuǎn)程訪問弱口令攻擊、釣魚郵件攻擊、web服務(wù)漏洞和弱口令攻擊、數(shù)據(jù)庫漏洞和弱口令攻擊等。其中，釣魚郵件攻擊包括通過漏洞下載運(yùn)行病毒、通過office機(jī)制下載運(yùn)行病毒、偽裝office、PDF圖標(biāo)的exe程序等。

在數(shù)次交手期間，瑞星的安全專家也發(fā)現(xiàn)了勒索病毒的發(fā)展趨勢(shì)。

其一，利用漏洞和弱口令植入勒索增多。

傳統(tǒng)的勒索病毒，一般通過垃圾郵件、釣魚郵件、水坑網(wǎng)站等方式傳播，受害者需要下載運(yùn)行勒索病毒才會(huì)中毒。而通過漏洞和弱口令掃描互聯(lián)網(wǎng)中的計(jì)算機(jī)，直接植入病毒并運(yùn)行，效率要高很多。

GandCrab、Crysis、GlobeImposter 等勒索病毒主要就是通過弱口令傳播，GandCrab內(nèi)部雖然不含漏洞攻擊的部分，但是有證據(jù)表明攻擊者已經(jīng)開始使用web漏洞植入此病毒。Satan更是兇狠，不僅使用永恒之藍(lán)漏洞攻擊，還包含了web漏洞和數(shù)據(jù)庫漏洞，包括CVE-2017-10271 WebLogic WLS組件漏洞、CVE-2017-12149 JBOOS 反序列化漏洞、tomcat弱口令等，從而增加攻擊成功的概率。

其二，攻擊者入侵后人工投毒增多

攻擊者通過弱口令或者漏洞，入侵一臺(tái)可以訪問互聯(lián)網(wǎng)的計(jì)算機(jī)后，遠(yuǎn)程操作這臺(tái)機(jī)器，攻擊局域網(wǎng)中的其它機(jī)器，這些機(jī)器雖然沒有連接互聯(lián)網(wǎng)，但是和被攻擊的機(jī)器相連，因此攻擊者可以通過這臺(tái)機(jī)器攻擊局域網(wǎng)的其它機(jī)器。

攻擊者一旦遠(yuǎn)程登陸一臺(tái)機(jī)器，就會(huì)通過工具手工關(guān)閉殺軟，植入并運(yùn)行勒索病毒，并繼續(xù)掃描攻擊局域網(wǎng)中的其它機(jī)器。

其三，勒索病毒持續(xù)更新迭代對(duì)抗查殺

GandCrab勒索（后綴GDCB、CRAB、GRAB、KRAB）、Satan勒索（后綴Satan、dbger、sicck）、Crysis勒索（后綴arena、bip）、GlobeImposter勒索（后綴reserver、Dragon444）等勒索持續(xù)更新，每隔一段時(shí)間就會(huì)出現(xiàn)一個(gè)新變種，有的修改加密算法，增加了加密速度，有的為了對(duì)抗查殺，做了免殺、反調(diào)試、反沙箱，并且后綴也會(huì)隨之改變。此外有的勒索病毒新版本開始使用隨機(jī)后綴，從而增加受害者查找所中勒索類型的難度，迫使受害者只能聯(lián)系攻擊者留下的郵箱來進(jìn)行解密。

其四，針對(duì)有價(jià)值目標(biāo)發(fā)起定向攻擊逐漸增多

相對(duì)于廣撒網(wǎng)方式，定向攻擊植入勒索病毒的事件逐漸增多。攻擊者一般會(huì)選擇更有勒索價(jià)值的目標(biāo)進(jìn)行定向攻擊，包括醫(yī)院、學(xué)校、防護(hù)不足的中小企業(yè)等，這些企業(yè)通常防護(hù)不足，數(shù)據(jù)非常重要，如學(xué)生數(shù)據(jù)、患者醫(yī)療數(shù)據(jù)、公司業(yè)務(wù)文件等，一旦此類資料被加密，受害者支付贖金的可能性就會(huì)更高。

其五，勒索病毒開發(fā)門檻進(jìn)一步降低

一方面由于各種編程語言腳本都可以被用來編寫勒索軟件，大大降低了勒索軟件的開發(fā)門檻，有不少剛接觸計(jì)算機(jī)的未成年人也開始制作勒索軟件。

從近期捕獲的勒索病毒樣本來看，有使用python編寫勒索軟件，偽裝為office文檔圖標(biāo)的。有使用Autoit腳本編寫勒索軟件，偽裝為windows更新程序的。還有使用易語言編寫勒索軟件，通過設(shè)置開機(jī)密碼，或者鎖定MBR來勒索的。知名的勒索病毒有PyCrypt勒索、hc勒索、Halloware勒索、Xiaoba勒索等。

另一方面暗網(wǎng)和黑市上存在不少勒索病毒生成器，攻擊者輸入自己的郵箱和勒索信息，一鍵生成勒索軟件等業(yè)務(wù)，使不少盜號(hào)、DDOS、詐騙等其它犯罪領(lǐng)域的攻擊者，也投入到勒索領(lǐng)域，加劇了勒索病毒的泛濫。

其六，勒索軟件在世界范圍內(nèi)造成的損失逐漸增大

很多公司為了及時(shí)恢復(fù)數(shù)據(jù)，平時(shí)會(huì)存儲(chǔ)一定量的比特幣等虛擬貨幣，以防被勒索時(shí)支付贖金。但是更多的情況是，即使支付贖金，對(duì)業(yè)務(wù)也已經(jīng)造成了非常大的損失。

永恒之藍(lán)WannaCry，攻擊世界最大的芯片代工廠“臺(tái)積電”，導(dǎo)致臺(tái)積電停工三天，損失十幾億元人民幣。Petya勒索病毒造成全球最大的集裝箱航運(yùn)公司馬士基損失數(shù)億美元、全球最大語音識(shí)別公司 Nuance 損失超過9,000萬美元，此外受到該勒索病毒攻擊的還有烏克蘭中央銀行、俄羅斯石油巨頭 Rosneft、廣告企業(yè) WPP、律師事務(wù)所 DLA Piper等。

以上數(shù)據(jù)還僅僅是冰山一角，還有很多不知名的公司和個(gè)人，由于遭受勒索病毒攻擊，造成大量的經(jīng)濟(jì)損失，重要資料丟失。

反勒索措施

當(dāng)然，對(duì)于戰(zhàn)戰(zhàn)兢兢網(wǎng)上沖浪的各位來說，似乎更加關(guān)注的是如何反勒索。

作為個(gè)人用戶，瀏覽網(wǎng)頁時(shí)提高警惕，不下載可疑文件，警惕偽裝為瀏覽器更新或者flash更新的病毒以及及時(shí)備份重要文件就可以了。

對(duì)于擺在明處的企業(yè)情況則更為復(fù)雜。

比如面對(duì)系統(tǒng)漏洞攻擊可以及時(shí)更新系統(tǒng)補(bǔ)丁，防止攻擊者通過漏洞入侵系統(tǒng)。安裝補(bǔ)丁不方便的企業(yè)，可安裝網(wǎng)絡(luò)版安全軟件，對(duì)局域網(wǎng)中的機(jī)器統(tǒng)一打補(bǔ)丁。另外，在不影響業(yè)務(wù)的前提下，將危險(xiǎn)性較高的，容易被漏洞利用的端口修改為其它端口號(hào)。如139、445端口。如果不使用，可直接關(guān)閉高危端口，降低被漏洞攻擊的風(fēng)險(xiǎn)；

面對(duì)遠(yuǎn)程訪問弱口令攻擊可以使用復(fù)雜密碼，或更改遠(yuǎn)程訪問的默認(rèn)端口號(hào)，改為其它端口號(hào)。另外，禁用系統(tǒng)默認(rèn)遠(yuǎn)程訪問，使用其它遠(yuǎn)程管理軟件；

面對(duì)釣魚郵件攻擊需要安裝殺毒軟件，保持監(jiān)控開啟，及時(shí)更新病毒庫。如果業(yè)務(wù)不需要，建議關(guān)閉office宏，powershell腳本等，還可以開啟顯示文件擴(kuò)展名，不打開可疑的郵件附件或可疑鏈接；

面對(duì)web服務(wù)漏洞和弱口令攻擊需要及時(shí)更新web服務(wù)器組件，及時(shí)安裝軟件補(bǔ)丁，另外，web服務(wù)不要使用弱口令和默認(rèn)密碼；

面對(duì)數(shù)據(jù)庫漏洞和弱口令攻擊可更改數(shù)據(jù)庫軟件默認(rèn)端口并限制遠(yuǎn)程訪問數(shù)據(jù)庫。除此之外，數(shù)據(jù)庫管理密碼不要使用弱口令，及時(shí)更新數(shù)據(jù)庫管理軟件補(bǔ)丁。

這些種種對(duì)瑞星來說，化成了一把劍和一堵墻。

劍是“瑞星之劍”，墻是“瑞星防毒墻”。

瑞星之劍采用了智能誘餌、基于機(jī)器學(xué)習(xí)的文件格式判定規(guī)則、智能勒索代碼行為監(jiān)測(cè)等技術(shù)，可以對(duì)未知與已知勒索病毒進(jìn)行防御，也可進(jìn)一步阻止勒索病毒破壞文件。

而瑞星防毒墻可以在網(wǎng)關(guān)處對(duì)病毒進(jìn)行初次攔截，配合瑞星病毒庫上億條記錄，可將絕大多數(shù)病毒徹底剿滅在企業(yè)網(wǎng)絡(luò)之外，幫助企業(yè)將病毒威脅降至最低。

至于應(yīng)用虛擬化技術(shù)的企業(yè)，瑞星則打包提供了一套系統(tǒng)安全軟件，由管理中心、升級(jí)中心、日志中心、掃描服務(wù)器、安全虛擬設(shè)備、安全終端Linux殺毒和安全防護(hù)終端等子系統(tǒng)組成，各個(gè)子系統(tǒng)均包括若干不同的模塊，除承擔(dān)各自的任務(wù)外，還與其它子系統(tǒng)通訊，協(xié)同工作，共同完成企業(yè)內(nèi)部的安全防護(hù)。

事實(shí)上，一手持劍一手持盾的瑞星獅子還挺精神的，只不過原來的它爪牙張揚(yáng)，現(xiàn)在的它沉默低調(diào)。

可能，不變的是這只獅子想守護(hù)安全的心。

雷鋒網(wǎng)宅客頻道（微信公眾號(hào)：letshome），專注先鋒科技，講述黑客背后的故事，歡迎關(guān)注雷鋒網(wǎng)宅客頻道。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。