360CERT：2017年度安全报告-勒索软件威胁

2017年度安全报告——勒索软件威胁完整版下载：https://cert.360.cn/static/files/2017%E5%B9%B4%E5%BA%A6%E5%AE%89%E5%85%A8%E6%8A%A5%E5%91%8A--%E5%8B%92%E7%B4%A2%E8%BD%AF%E4%BB%B6%E5%A8%81%E8%83%81.pdf

摘要勒索软件是近年来影响最大，也最受关注的网络安全威胁形式之一。攻击者通过电子邮件、网络渗透、蠕虫病毒等多种形式，向受害者的电脑终端或服务器发起攻击，加密系统文件并勒索赎金。

另一方面，近年勒索软件的赎金形式都以比特币或其它虚拟货币为主，主要利用虚拟货币交易的高匿名性、流动性特点，从而隐藏背后制作者的身份，同时也更方便向全球受害者索要赎金。

2017年以来，360互联网安全中心监测到大量针对普通网民和政企机构的勒索软件攻击。勒索软件已成为对网民直接威胁最大的一类木马病毒。

2017年数据统计从2017年的勒索软件呈现的态势可以看出越来越多的软件、系统、平台受到勒索软件的威胁。通过以下角度回顾2017年勒索软件趋势：

注：以下统计数据来自于 360 互联网安全中心

1. 勒索软件攻击的次数频繁

2017年1-11月，360互联网安全中心共截获电脑端新增勒索软件变种183种，新增控制域名238个。全国至少有472.5多万台用户电脑遭到了勒索软件攻击，平均每天约有1.4万台国内电脑遭到勒索软件攻击。

注意，为避免数据干扰，此部分攻击态势分析数据不包含WannaCry勒索蠕虫的相关数据。

2.勒索软件的家族分布

统计显示，在向360互联网安全中心求助的勒索软件受害者中，Cerber、Crysis、WannaCry这三大勒索软件家族的受害者最多，共占到总量的58.4%。其中，Cerber占比为21.0%，Crysis 占比为19.9%，WannaCry占比为17.5%，具体分布如下图所示。

3. 勒索软件攻击的地域

360互联网安全中心监测显示，遭遇勒索软件攻击的国内电脑用户遍布全国所有省份。其中，广东占比最高，为14.9%，其次是浙江8.2%，江苏7.7%。排名前十省份占国内所有被攻击总量的64.1%。

2017年勒索软件攻击地域分布如下图所示。

4. 勒索软件攻击的行业

不同行业政企机构遭受勒索软件攻击的情况分析显示，能源行业是遭受攻击最多的行业，占比为42.1%，其次为医疗行业为22.8%，金融行业为17.8%，具体分布如下图所示。需要说明的是，遭到攻击多不代表被感染的设备多。攻击量是通过企业级终端安全软件的监测获得的。

2017年重大勒索事件2016 年 8 月有一个名叫“Shadow Brokers”的黑客组织，号称入侵了“方程式”组织并窃取了大量机密文件，并将部分文件公开到了互联网上，“方程式（Equation Group）”据称是 NSA（美国国家安全局）下属的黑客组织，有着极高的技术手段。这部分被公开的文件包括不少隐蔽的地下黑客工具。

2017年4月14日晚，“Shadow Brokers”在推特上放出了他们当时保留的部分文件。随后几个月里勒索事件频发，通过分析发现其中几起勒索事件的传播手段正是利用“Shadow Brokers”公开的黑客工具。以下是2017年影响较为严重的三起勒索事件:

总结与未来趋势WannaCry是2017年度影响范围最大的新型勒索软件，通过利用漏洞，迅速传播至全球。在WannaCry爆发后不久，新变种的Petya、Bad Rabbit卷土重来，并综合了更多网络传播方式，破坏性也更强。

从今年的几起重大勒索事件看出，勒索事件的整体模式并无太大变化，但能够大范围传播的重要因素是利用了NSA（美国国家安全局）泄露出的黑客工具，通过利用其中0/N day漏洞，造成感染量呈几何级增长并向全球蔓延，最终给众多用户造成严重威胁。

另一方面，勒索软件最早诞生于1989年，近三十年间一直存在。近年来才变得愈发猖獗，其中一个关键因素是2009年后以比特币为首的大量高匿名性货币的流行。

同时我们也发现勒索软件在向路由器、工业控制设备、智能家居等IoT设备方向蔓延，涉及的系统也开始多元化，勒索的对象也开始产生针对性。以下将会是勒索软件发展的趋势：

勒索软件攻击事件常态化

在未来一段时间内，这种攻击手段在短时间内是不会消失的，因为勒索软件能够给攻击者带来巨额的利润。

漏洞传播将成为趋势

漏洞利用勒索这种方式暴力、有效、影响范围广，能让攻击者短时间内达到目的。

IoT物联网新兴设备受到的威胁增加

物联网在当下已经越来越普及，这部分设备受到攻击的风险也会越来越大。

针对性攻击将越来越多

针对国家、企业的攻击比个人的更有价值，带来的后果也更是难以预料的。