这份报告由北京江民新科技术有限公司赤豹安全实验室编写，综合了江民大数据威胁情报平台、江民终端反病毒监测网、国内外研究数据以及权威媒体公开报道。通过对勒索软件的长期监测与跟踪分析，研究了全球2018年全年勒索软件感染的现状与趋势。报告内容包括了勒索软件的起源、特征、现状、技术趋势和防御方案等多个方面。勒索软件，也称为勒索病毒，是一种恶意软件，主要通过加密用户文件或者限制用户对计算机系统的访问来实施勒索。勒索软件是一种常见的恶意软件，它会通过骚扰、威胁甚至绑架用户文件等手段，使用户的数据资产或计算资源无法正常访问，然后以此为条件向用户勒索金钱。主要通过利用漏洞、RDP弱密码破解、发送钓鱼邮件、植入恶意网页等方式进行传播。该病毒使用各种加密技术对文件进行加密，然后向文件的拥有者勒索赎金。如果被感染者不支付赎金，就无法获取加密的私钥，也无法恢复文件。这个病毒实际上只是传统安全技术的一次小小创新，以往加密技术一直被用来防御，而现在却被用来进攻，从防御到进攻，突然间发现原来加密技术也可以有这样的应用。在数字化世界中，勒索活动近年来却呈现蓬勃发展的趋势。勒索软件的概念最早可以追溯到1989年。当时，人们通过手工投递的软盘将锁定PC的恶意代码发送给受害者。然而，自2014年以来，随着比特币等加密数字货币在全球范围内的广泛应用，这类活动出现了显著增长，引起了人们的广泛关注。为什么勒索病毒越来越猖獗？利用勒索病毒的成本非常低，一方面。在黑市上，只需几千元就能够购买一种未知病毒。通过成功的勒索一次，就可获利几万元，甚至是几十万元。这种利润有时可相当于投入的成本的十几倍甚至上百倍，实在让人难以置信。在另一方面，保护免受勒索软件的侵害非常具有挑战性。这种加密方式简便粗暴，对文件直接实施加密，不管你是藏匿还是什么，只要加密成功，就等着收取赎金，普通的安全措施对于这种无情的攻击方式几乎无济于事。第三个问题是虚拟货币的监管不足。在现实生活中，解决绑架案最为困难的部分是如何收取赎金，但由于虚拟货币监管不到位，正好解决了这一支付难题。因此，由于门槛低、启动成本不高、回报率高且风险较低，这些因素共同促使勒索软件的传播日益猖獗！1. 勒索软件发展历程： 早期阶段： 最早的勒索软件诞生于1989年，名为“艾滋病信息木马”。这种木马会在开机时计数，一旦开机达到90次，它会替换系统文件，隐藏磁盘中的多个目录，并对C盘中的所有文件名进行加密，从而导致系统无法正常启动。目前，屏幕上显示的信息称用户的软件许可已失效，要求支付189美元以解锁系统。Redplus是2006年在国内首次出现的勒索木马软件。木马病毒会隐藏用户的文档，然后弹出窗口要求支付赎金，金额在70元至200元之间不等。根据我国的计算机病毒应急响应中心数据显示，全国范围内已有580多起该病毒及其变种感染报告。用户的文件实际上并没有丢失，只是被移到了一个具有隐藏属性的文件夹里。2、新的发展阶段是从2013年的CryptoLocker勒索软件开始的，这一阶段比特币成为了黑客们的赎金选择。CryptoLocker能够感染绝大部分Windows操作系统，在大多数情况下通过电子邮件附件传播。一旦执行该附件，它会对特定类型的文件进行加密，随后弹出付款窗口。黑客开始要求受感染机构使用比特币支付赎金。这款恶意软件给黑客组织带来了将近41000枚比特币的收入，以比特币目前的市价计算，这些比特币的价值接近10亿美元。3、勒索软件平台化和开源化趋势：2015年，一种名为Tox的勒索软件开发包推出，使任何人都能通过注册服务创建勒索软件。该管理面板能显示感染数量、支付赎金人数和总收益，Tox的创始人会提取赎金的20%。2015年下半年，土耳其的安全专家发布了一个名为Hidden Tear的开源勒索软件。虽然大小仅为12KB，但这款软件虽小却功能齐全，其传播模块、破坏模块等设计都非常出色。尽管土耳其黑客一再强调该软件是为了增进人们对勒索软件工作原理的理解，但将其开源化仍引发众多争议。阅读此勒索软件源代码后，笔者恍然大悟编程的思维和方法确实独具一格，破坏性思维与建设性思维完全异曲同工。4、近年来，结合窃取大众隐私信息的趋势愈演愈烈。一些快捷酒店住宿系统和私营医院HIS系统频繁遭到入侵和脱库事件侵扰。脱库是指黑客入侵系统后窃取信息。在过去，黑客通常将信息悄悄盗取后在黑市上出售，但现在他们更倾向于对医院和酒店进行勒索，要求赎回隐私信息后再出售。去年底，一家美国好莱坞医疗中心遭到黑客入侵，要求支付340万美元的赎金。尽管医院经过一番讨价还价后最终支付了1.7万美元，恢复了运营，但该中心的病历记录很快就出现在黑市上。最近的勒索病毒不仅如此，还在提高“用户体验”，通过心理暗示来影响用户。例如，一些最新的勒索软件采用不可取消的UI设计，赎金会随着时间推移而上涨，甚至还会倒计时以加强紧迫感。2018年的勒索软件感染情况\n根据江民病毒监测中心对勒索软件感染情况的数据统计，2017年1月至8月以及2018年7月至10月被确定为勒索软件感染高发期。2017年，勒索软件感染事件共计263.2万次，而2018年则减少至119.5万次，降幅达54.6%。近一个多月以来，每周都有企业的Windows服务器遭受勒索病毒攻击，针对服务器的勒索病毒攻击呈现上升的趋势。今年以来，有迹象显示两大针对服务器攻击的勒索病毒家族（GlobeImposter和Crysis家族）正在迅速传播。GlobeImposter、Crysis和BTCWare这三种勒索软件，近期是针对服务器攻击的主要类型，占比超过90%。这三种勒索软件都属于全球性爆发型勒索软件，其中GlobeImposter曾多次攻击国内医疗和公共服务机构，国内外的安全机构也多次发布过该软件家族的警告。3个主要的勒索事件概述3.1 在过去两年里，发生了一些重要的勒索事件。其中，2017年1月份，撒旦（Satan）恶意勒索程序首次露面。Satan病毒的制作者在他们的网站上让用户可以制作他们个性化的Satan变种，并且提供CHM以及带有宏脚本的Word文档下载器的脚本用于传播。撒旦勒索软件主要针对服务器上的数据库文件进行加密，具有高度针对性。加密完成后，会要求支付0.3比特币作为赎金，并威胁如果三天内不支付就不会提供解密。2、2017年5月12日，一种名为“想哭”的勒索软件攻击波及全球150多个国家和地区，受影响领域涵盖政府部门、医疗服务、公共交通、邮政、通信和汽车制造业。黑客利用美国国家安全局泄露的“永恒之蓝”漏洞进行攻击。勒索病毒横行，已成为一场全球性互联网灾难，给广大电脑用户带来了巨大的经济损失。根据最新统计数据显示，超过150个国家和地区的10万台以上电脑遭到了勒索病毒的攻击和感染。3、2017年6月27日晚间，Petya勒索病毒在欧洲多国大面积爆发，尤其波及乌克兰。政府机构、银行、企业等遭遇了大规模攻击，即包括乌克兰副总理的电脑也受到了攻击。勒索软件制造者要求受害者支付300美元的比特币，才会提供解密密钥。4、2017年10月24日，俄羅斯、烏克蘭等國遭遇BadRabbit勒索軟件攻擊，導致烏克蘭敖德薩國際機場、首都基輔地鐵支付系統以及俄羅斯三家媒體受到影響，德國、土耳其等國後來也發現了這一病毒。5、10月20日，有报道称发现了一种国产勒索病毒，名为小霸。病毒将加密后的文件以.xiaoba接上数字结尾，不同文件类型的数字结尾也不同，可使用微信支付或支付宝支付赎金，目前尚未发现该勒索病毒有大规模传播。距离缴纳赎金的时间只剩下200秒了，否则加密文件将会被全部删除。6、2018年1月，GandCrab勒索软件家族首次亮相，被誉为勒索软件家族中最年轻且最流行的一个。在短短几个月内，该勒索软件家族出现了多个变体，感染方式也在不断改变，采用的技术也在更新。该勒索软件主要通过电子邮件传播，使用RSA＋AES加密方式进行文件加密，使文件无法恢复。7、2018年2月，多家互联网安全公司拦截了Mind Lost勒索病毒。这种勒索软件采用C＃语言开发，其主要功能是使用AES加密算法加密用户本地文件，然后引导受害者前往指定网页支付赎金以解密文件。与其他勒索软件不同的是，Mind Lost并不要求受害者支付比特币等数字货币，而是直接要求使用信用卡或借记卡支付赎金，以获取并出售银行卡信息，从而谋取不法利益。对于计算机中样本账户的Users目录下的文件，遇到后缀为".txt"、".jpg"、".png"、".pdf"、".mp4"、".mp3"、".c"、".py"的文件，将直接加密，要解密则需支付200美元的赎金。加密完成后弹出的提示图片如下：8、GlobeImposter勒索软件家族GlobeImposter勒索软件家族自2017年5月起开始出现，曾在2017年11月和2018年3月两次发生较大规模的病毒爆发。在2017年11月之前，GlobeImposter勒索软件通常被称为GlobeImposter1.0。这时加密后的样本常以“.CHAK”为后缀。到2018年3月，出现了GlobeImposter2.0，其加密后的样本通常带有“.TRUE”和“.doc”后缀。GlobeImposter还引入了许多新技术，用于免疫等操作。点击下一页>。广告内容 {边距: 20像素 0; 背景: #f2f2f2; 宽度: 604像素; 高度: 200像素; 填充: 20像素; 位置: 相对定位;}。广告内容 .图片内容 {左浮动; 位置: 相对定位; 宽度: 160像素; 高度: 160像素; 填充: 20像素; 背景: #FFF;}。广告内容 .图片内容 图片 {位置: 绝对定位; 顶部: 50%; 左侧: 50%; 最大宽度: 90%; 最大高度: 90%; 变换: 平移(-50%,-50%); -webkit-transform: translate(-50%,-50%);}.adva-cont h3 a{字体: 宋体,标题：黑体\n字体装饰：无\n字体大小：20像素\n颜色：黑色\n展示方式： -webkit-box属性\n排列方向：垂直\n文本行数：2行\n文本溢出：隐藏\n.adva-cont .adva-text{\n 定位方式：绝对定位\n 顶部距离：50%\n 位置变换：垂直居中\n 内边距：20像素 20像素 20像素 230像素\ \n.adva-text p{\n 顶部外边距：30像素\ \n.adva-text p a{\n 高度：79像素\n 字体装饰：无\n 字体大小：14像素\n 颜色：#666\n 展示方式： -webkit-box属性\n 排列方向：垂直\n 文本行数：4行\n 文本溢出：隐藏\ \n#keywordsHidden{\n 显示：隐藏\