勒索病毒重点狩猎企业服务器，攻击更加肆无忌惮 腾讯安全发布2020上半年勒索病毒报告 一、勒索病毒危害半年概览 上半年全球大型企业遭受勒索病毒打击的事件依然高频发生，勒索病毒对政企机构的精准攻击形势依然严峻。最活跃的勒索病毒家族发起针对性极强的大型狩猎活动，对企业开出天价解密赎金；新型勒索病毒层出不穷，技术上不断进化；从单纯的赎金换密钥，升级到不给赎金就公开机密数据，勒索病毒黑产已变得更加肆无忌惮。 勒索病毒产业 针对政企 的精 打击 不断 新的加密技 化的 业 ，产生严 。 全大数据 ， 上半年依 ¡活跃，¢勒索病毒£的¥§currency1'年“«fi fl 从勒索病毒攻击的¡·， ¶ ¶ ”» 上最严 ， ¿ ´«遭受到不¯攻击。 图2 从勒索病毒的¨业·， 企业 ¸ 政机构遭受攻击最严 ， 金 ´遭到勒索病毒攻击。 图3 二、上半年勒索病毒攻击的主要特点 1. 攻击行动精确打击，潜伏、制造严重破坏，迫使受害者就范 活跃勒索病毒 ， 高价 大型政企机构 打击对 。 Æ最大化， 数§，攻击ª 不 加密企业 的Ø机。攻击ªºº 攻 企业Ø 产 ，æÆ 产currency1 攻 更 产， 大øß 件加密，从 使企业 业务系大面积瘫痪的§缴纳赎金。 全专家对勒索病毒的技术¡析发现，勒索 针对特定 精准打击的特 极 明 fi 年6月，本田集 遭受SNAKE勒索 打击，全球 众 业务受，案例中就发现攻击 病毒代码中硬编码 本田集 相关的系名 公 IP 域名信传统行业42%教育18%互联网5%医疗15%政府机构15%金融2%能源1%其它2%勒索病毒攻击的受害企业行业分布息。这意味着勒索攻击¨动是精心策划 蓄谋已久。 图4 图5 图6 腾讯安全高级威胁追溯系统查询到该病毒样本仅针对本田公司 2. 从勒索赎金换密钥到不付赎金就公开企业机密 应对日 严 的勒索病毒攻击，企业部署数据备方案明 增 ，当遭遇勒索病毒加密系，æ首选自¨恢复， 拒绝缴纳赎金。攻击ª避免勒索失败，采取 新的勒索策“fi攻击ª先窃取政企机构敏数据， 再对企业 产进¨加密。如果企业拒绝缴纳赎金解密，就 暗 “耻辱墙”页面公开企业部¡敏数据进步实施勒索，如果企业依然拒绝缴纳赎金，勒索 就æ直接公开所窃取的企业敏数据。 这种“业务创新“是 年 勒索病毒 先实施， 已 众 勒索 S ， ，A ，N ， I ， P 。数据 ¡对大型企业 ¢，£ 的不«¥上的§失，currency1æ严 企业形 ，失'公众信'，“«æ£ 极大的面。面对这种 ¡数据fifl的勒索攻击，备系已无 ， 企业 选· ¶赎金。 图7 图8 3. 僵尸网络成为勒索病毒传播的中坚力量 全 到 ”Æ » ¿的勒索病毒家族，例如 勒索 Æ´ 金， 病毒¯P » 的 ¨ 就«着密不 ¡的关系。 ¸ 勒索病毒 依 E » 对大型企业进¨精 打击， ¸ 开出的勒索赎金数 ， ” 家政机构 面对 ¸ 的打击选· 缴纳赎金。 新开发出的勒索家族 ß ，´æ选·¯» 进¨ ，依 » 大的¥ 数 ，得到 Æ名¯取到¯更 ¨ ª的 机æ。 年 ， 全已到 起 » 发起的勒索病毒¨ ¨。例如P » ¯N 勒索家族的 ¨ ；P » ¨ 新型A 勒索病毒；P » ¨ 勒索ª 件； » Ø的Æ º´ ¨ 勒索病毒。» 已 勒索病毒 的中 æø， 勒索病毒事件 中的 高。 fl P » ¯N 勒索病毒的关系 fl A 勒索病毒¯P » 的关系 4. 勒索病毒技术升级：加密性能提升，企业损失扩大 勒索病毒¥ 的 变，技术上 发 ，勒索病毒 ª 加密的ø上进¨ß化，从 的单 件加密，升级到针对 ” 盘¡进¨ 加密；从单的86执¨病毒版本到增加64 执¨版本；部¡勒索病毒开始采 IO P1完 端口2对 件进1IOCP是一种网络通信模型，是一种真正意义上的异步通信模型。 2完成端口是系统维护的一个队列，操作系统把重叠IO操作完成的事件通知放到该队列里，由于是暴露 “操作完成”的事件通知，所以命名为“完成端口”（Completion Ports）。 ¨异步加密读写，使得加密更高 消耗´currency1低，受 ª更加难觉；部¡勒索病毒 加密更 件，Æ 高 漏洞进¨ 核提权。例如S 就直接使 VE- 8-8453进¨EOPÆ ，´发现«勒索病毒使 压缩打包的方º进¨提权s 6- 3 ，勒索 Æ 。勒索病毒´开始 大加密 ，不加密 件，对 件名´进¨加密。 fl 勒索病毒Æ 漏洞提权的代码