近日，360企業安全旗下360終端安全實驗室發布《2018勒索病毒白皮書（政企篇）》，白皮書從“勒索病毒整體攻擊態勢”、“政企遭遇勒索攻擊分析”、“勒索病毒發展趨勢預測”及“勒索病毒應急響應指南”等四個章節對2018年勒索病毒進行了分析，還匯總了2018年度的熱點勒索病毒事件。

數據顯示，2018年，全國共有430余萬臺計算機遭受勒索病毒攻擊；攻擊以服務器定向攻擊為主，輔以撒網式無差別攻擊手段；較常使用的攻擊手段是遠程桌面弱口令暴力破解。2018年，政府單位較容易遭到勒索病毒攻擊，占被攻擊單位總數的21.0%；金融終端較容易遭到勒索病毒攻擊，占被攻擊終端總數的31.8%。在感染勒索病毒的政企單位中，政府單位數量較多，占被感染單位總數的24.1%；感染GlobeImposter的較多，占被感染單位總數的34.0%。

章 勒索病毒整體攻擊態勢

2018年，勒索病毒攻擊特點發生了變化：2017年，勒索病毒由過去撒網式無差別攻擊逐步轉向以服務器定向攻擊為主，而2018年，勒索病毒攻擊則以服務器定向攻擊為主，輔以撒網式無差別攻擊手段。

一 整體態勢

摘要：

2018年共有430余萬臺計算機遭受勒索病毒攻擊，12月攻擊較盛。

根據360互聯網安全中心的數據（包括360安全衛士和360殺毒的查殺數據），2018年共計430余萬臺計算機遭受勒索病毒攻擊（只包括國內且不含WannaCry數據）。值得關注的是，在2018年11月和12月，由于GandCrab勒索病毒增加了蠕蟲式（蠕蟲下載器）攻擊手段以及Satan勒索病毒加強了服務器攻擊頻次，導致攻擊量有較大上升。

需要指出的是，以上趨勢僅基于監控數據，實際許多用戶是黑客通過服務器攻擊滲透入侵內網后投放的勒索病毒，亦或用戶終端不聯網通過內網其他機器感染的勒索病毒，這些情形下是無法監控到數據的。

二 活躍家族

摘要：

2018年GandCrab、GlobeImposter、CrySis這三大家族勒索病毒的受害者較多，合計占比高達80.2%。

根據360反勒索服務統計的數據，2018年GandCrab、GlobeImposter、CrySis這三大家族勒索病毒的受害者較多，合計占比約80.2%。本年度的活躍家族除了少數病毒，都有針對政企用戶進行的攻擊，因此企業用戶仍然是勒索病毒較熱衷的攻擊對象。360終端安全實驗室統計的用戶反饋數據，大體和這個數據類似，后文將有詳細分析。

三 傳播特點

摘要：

2018年度勒索病毒較常使用的攻擊手段是遠程桌面弱口令暴力破解攻擊。

勒索病毒采用的傳播手段和其他病毒類似，不過2018年度較為常用的攻擊手段卻是遠程桌面弱口令暴力破解攻擊，大量政企、個人用戶反饋的勒索病毒都是基于此攻擊方式。

下面根據病毒傳播影響范圍、危害大小列出較常用的幾種攻擊方式。

1.弱口令攻擊

有多種系統或軟件的弱口令遭受攻擊，這里勒索病毒較常用的是遠程桌面登錄弱口令。除此外，勒索病毒弱口令攻擊還包括針對數據庫系統、Tomcat管理賬戶、VNC等弱口令的攻擊。

2.U盤蠕蟲

U盤蠕蟲過去主要用于傳播遠控和挖礦病毒，但在2018年11月突然出現傳播GandCrab勒索病毒的現象。360終端安全實驗室曾對該類蠕蟲做了詳細分析，具體可參見：這種傳播方式的出現，導致2018年11月GandCrab勒索病毒突然成規模的爆發，令許多用戶遭受攻擊。

3.系統、軟件漏洞

由于許多用戶安全意識不足，導致許多NDay漏洞被黑客利用進行攻擊。2018年，有多個勒索軟件家族通過Windows系統漏洞或Web應用漏洞入侵Windows服務器。其中較具代表性的當屬Satan勒索病毒，Satan勒索病毒較早于2018年3月在國內傳播，其利用多個Web應用漏洞入侵服務器，如下表所示。

4.其他攻擊方式

除此之外，其他攻擊方式的影響要小不少，這些方式主要包括：

（1）軟件供應鏈攻擊：以unnamed1989勒索病毒（“微信支付勒索病毒”）為代表，該勒索病毒主要是因為開發者下載了帶有惡意代碼的易語言第三方模塊，導致調用該模塊所開發出來的軟件均被感染了惡意代碼。根據統計，在此次事件中被感染的軟件超過50余種。此外RushQL Oracle數據庫勒索病毒也屬于軟件供應鏈攻擊。

（2）無文件攻擊方式：比如GandCrab勒索病毒就采用了“無文件攻擊”進行傳播，其技術原理主要通過Powershell將GandCrab編碼加密后以內存載荷方式加載運行，實現全程無惡意代碼落地，從而躲避安全軟件的檢測。

（3）郵件附件傳播：這種方式通過郵件附件傳播病毒下載器，誘使用戶點擊運行下載器下載勒索病毒后中毒。此方式在2016-2017年是勒索病毒較常見的傳播方式，但在2018年已經很少被采用。