3602018勒索病毒白皮书政企篇网络安全2019221页

2018勒索病毒白皮书(政企篇)360终端安全实验室2019年2月2摘要2018年，勒索病毒攻击整体态势以服务器定向攻击为主，辅以撒网式无差别攻击手段。2018年共有430余万台（只包括国内且不含WannaCry数据）计算机遭受勒索病毒攻击；GandCrab、GlobeImposter、CrySis这三大家族勒索病毒的受害者最多，合计占比高达80.2%；勒索病毒最常使用的攻击手段是远程桌面弱口令暴力破解攻击。勒索病毒对政企单位的攻击以单点试探为主，79.8%仅尝试攻击一台终端；政府行业的单位最容易遭到勒索病毒攻击，占被攻击单位总数的21.0%；金融行业的终端最容易遭到勒索病毒攻击，占被攻击终端总数的31.8%。5月是政企单位感染勒索病毒的最高峰，其数值是最低谷（2月）的5.3倍；政府单位是感染勒索病毒的重灾区，被感染数量占被感染单位总数的24.1%；GlobeImposter最难防范，34.0%的受害政企单位感染了该勒索病毒；各大勒索病毒都爱感染政府行业。政企单位可以通过业务系统无法访问、电脑桌面被篡改、文件后缀被篡改等方式判断是否感染了勒索病毒。如果已经感染了勒索病毒，建议通过隔离中招主机、排查业务系统、联系专业人员进行自救等多种方式，在等待专业人员救助之前有效止损。政企单位防范勒索病毒建议从七个方面着手，即及时更新最新的补丁库、杜绝弱口令、重要资料定期隔离备份、提高网络安全基线、保持软件使用的可信、选择正确的反病毒软件、建立高级威胁深度分析与对抗能力。3目录第一章，勒索病毒整体攻击态势..........................................................................................................1一、整体态势.................................................................................................................................1二、活跃家族.................................................................................................................................1三、传播特点.................................................................................................................................2第二章，政企遭遇勒索攻击分析..........................................................................................................5一、攻击力度.................................................................................................................................5二、感染分析.................................................................................................................................6第三章，勒索病毒发展趋势预测..........................................................................................................9一、紧跟漏洞发展步伐.................................................................................................................9二、更多的传播方式.....................................................................................................................9三、攻击面和目标扩大化.............................................................................................................9四、被攻击的设备种类不断扩大..................................................................................................9第四章，勒索病毒应急响应指南........................................................................................................10一、如何判断中毒.......................................................................................................................10二、如何紧急自救.......................................................................................................................11三、如何进行恢复.......................................................................................................................11四、如何避免中毒.......................................................................................................................13附录1、2018热点勒索病毒事件........................................................................................................15附录2、关于360终端安全实验室.....................................................................................................17附录3、关于360天擎新一代终端安全管理系统.............................................................................17附录4、关于360天擎终端安全响应系统.........................................................................................181第一章，勒索病毒整体攻击态势2018年，勒索病毒攻击特点也发生了变化：2017年，勒索病毒由过去撒网式无差别攻击逐步转向以服务器定向攻击为主，而2018年，勒索病毒攻击则以服务器定向攻击为主，辅以撒网式无差别攻击手段。一、整体态势摘要：2018年共有430余万台计算机遭受勒索病毒攻击，12月攻击最盛。根据360互联网安全中心的数据（包括360安全卫士和360杀毒的查杀数据），2018年共计430余万台计算机遭受勒索病毒攻击（只包括国内且不含WannaCry数据）。值得关注的是，在2018年11月和12月，由于GandCrab勒索病毒增加了蠕虫式（蠕虫下载器）攻击手段以及Satan勒索病毒加强了服务器攻击频次，导致攻击量有较大上升。需要指出的是，以上趋势仅基于监控数据，实际许多用户是黑客通过服务器攻击渗透入侵内网后投放的勒索病毒，亦或用户终端不联网通过内网其他机器感染的勒索病毒，这些情形下是无法监控到数据的。二、活跃家族摘要：2018年GandCrab、GlobeImposter、CrySis这三大家族勒索病毒的受害者最多，合计占比高达80.2%。根据360反勒索服务统计的数据，2018年GandCrab、GlobeImposter、CrySis这三大家族勒索病毒的受害者最多，合计占比约80.2%。本年度的活跃家族除了少数病毒，都有针对政企用户进行的攻击，因此企业用户仍然是勒索病毒最热衷的攻击对象。360终端安全实验室统计的用户反馈数据，大体和这个数据类似，2后文将有详细分析。以下是360反勒索服务统计数据得到的分析图：三、传播特点摘要：2018年度勒索病毒最常使用的攻击手段是远程桌面弱口令暴力破解攻击。勒索病毒采用的传播手段和其他病毒类似，不过2018年度最为常用的攻击手段却是远程桌面弱口令暴力破解攻击，大量政企、个人用户反馈的勒索病毒都是基于此攻击方式。下面根据病毒传播影响范围、危害大小列出最常用的几种攻击方式。1.弱口令攻击有多种系统或软件的弱口令遭受攻击，这里勒索病毒最常用的是远程桌面登录弱口令。除此外，勒索病毒弱口令攻击还包括针对数据库系统、Tomcat管理账户、VNC等弱口令的攻击。2.U盘蠕虫U盘蠕虫过去主要用于传播远控和挖矿病毒，但在2018年11月突然出现传播GandCrab勒索病毒的现象。360终端安全实验室曾对该类蠕虫做了详细分析，具体可参见：=MzI2MDc2MDA4OA==&mid=2247485868&idx=1&sn=96ccb8bd5f34d2187173abc49bdad18e这种传播方式的出现，导致2018年11月GandCrab勒索病毒突然成规模的3爆发，令许多用户遭受攻击。3.系统、软件漏洞由于许多用户安全意识不足，导致许多NDay漏洞被黑客利用进行攻击。2018年，有多个勒索软件家族通过Windows系统漏洞或Web应用漏洞入侵Windows服务器。其中最具代表性的当属Satan勒索病毒，Satan勒索病毒最早于2018年3月在国内传播，其利用多个Web应用漏洞入侵服务器，如下表所示。简述\漏洞编号JBoss反序列化漏洞CVE-2017-12149JBoss默认配置漏洞CVE-2010-0738JBoss默认配置漏洞CVE-2015-7501WebLogic反序列化漏洞CVE-2017-10271Put任意上传文件漏洞“永恒之蓝”相关漏洞CVE-2017-0146Struts远程代码执行漏洞S2-052（仅扫描）CVE-2017-9805WebLogic任意文件上传漏洞CVE-2018-2894SpringDataCommons远程代码执行漏洞CVE-2018-12734.其他攻击方式相比前面几种攻击方式，其他攻击方式的影响要小不少，这些方式主要包括：（1）软件供应链攻击：以unnamed1989勒索病毒（“微信支付勒索病毒”）为代表，该勒索病毒主要是因为开发者下载了带有恶意代码的易语言第三方模块，导致调用该模块所开发出来的软件均被感染了恶意代码。根据统计，在此次事件中被感染的软件超过50余种。此外Rush