2020上半年勒索病毒报告.pdf

勒索病毒重点狩猎企业服务器，攻击更加肆无忌惮 腾讯安全发布2020上半年勒索病毒报告 一、勒索病毒危害半年概览 上半年全球大型企业遭受勒索病毒打击的事件依然高频发生，勒索病毒对政企机构的精准攻击形势依然严峻。最活跃的勒索病毒家族发起针对性极强的大型狩猎活动，对企业开出天价解密赎金；新型勒索病毒层出不穷，技术上不断进化；从单纯的赎金换密钥，升级到不给赎金就公开机密数据，勒索病毒黑产已变得更加肆无忌惮。 勒索病毒产业 针对政企 的精 打击 不断 新的加密技 化的 业 ，产生严 。 全大数据 ， 上半年依 活跃，勒索病毒的currency1年“fi fl 从勒索病毒攻击的， ” 上最严 ， 遭受到不攻击。 图2 从勒索病毒的业， 企业 政机构遭受攻击最严 ， 金 遭到勒索病毒攻击。 图3 二、上半年勒索病毒攻击的主要特点 1. 攻击行动精确打击，潜伏、制造严重破坏，迫使受害者就范 活跃勒索病毒 ， 高价 大型政企机构 打击对 。 最大化， 数，攻击 不 加密企业 的机。攻击 攻 企业 产 ， 产currency1 攻 更 产， 大 件加密，从 使企业 业务系大面积瘫痪的缴纳赎金。 全专家对勒索病毒的技术析发现，勒索 针对特定 精准打击的特 极 明 fi 年6月，本田集 遭受SNAKE勒索 打击，全球 众 业务受，案例中就发现攻击 病毒代码中硬编码 本田集 相关的系名 公 IP 域名信传统行业42%教育18%互联网5%医疗15%政府机构15%金融2%能源1%其它2%勒索病毒攻击的受害企业行业分布息。这意味着勒索攻击动是精心策划 蓄谋已久。 图4 图5 图6 腾讯安全高级威胁追溯系统查询到该病毒样本仅针对本田公司 2. 从勒索赎金换密钥到不付赎金就公开企业机密 应对日 严 的勒索病毒攻击，企业部署数据备方案明 增 ，当遭遇勒索病毒加密系，首选自恢复， 拒绝缴纳赎金。攻击避免勒索失败，采取 新的勒索策“fi攻击先窃取政企机构敏数据， 再对企业 产进加密。如果企业拒绝缴纳赎金解密，就 暗 “耻辱墙”页面公开企业部敏数据进步实施勒索，如果企业依然拒绝缴纳赎金，勒索 就直接公开所窃取的企业敏数据。 这种“业务创新“是 年 勒索病毒 先实施， 已 众 勒索 S ， ，A ，N ， I ， P 。数据 对大型企业 ， 的不上的失，currency1严 企业形 ，失公众信，“ 极大的面。面对这种 数据fifl的勒索攻击，备系已无 ， 企业 选 赎金。 图7 图8 3. 僵尸网络成为勒索病毒传播的中坚力量 全 到 ” 的勒索病毒家族，例如 勒索 金， 病毒P 的 就着密不 的关系。 勒索病毒 依 E 对大型企业进精 打击， 开出的勒索赎金数 ， ” 家政机构 面对 的打击选 缴纳赎金。 新开发出的勒索家族 ，选 进 ，依 大的 数 ，得到 名取到更 的 机。 年 ， 全已到 起 发起的勒索病毒 。例如P N 勒索家族的 ；P 新型A 勒索病毒；P 勒索 件； 的 勒索病毒。 已 勒索病毒 的中 ， 勒索病毒事件 中的 高。 fl P N 勒索病毒的关系 fl A 勒索病毒P 的关系 4. 勒索病毒技术升级：加密性能提升，企业损失扩大 勒索病毒 的 变，技术上 发 ，勒索病毒 加密的上进化，从 的单 件加密，升级到针对 ” 盘进 加密；从单的86执病毒版本到增加64 执版本；部勒索病毒开始采 IO P1完 端口2对 件进1IOCP是一种网络通信模型，是一种真正意义上的异步通信模型。 2完成端口是系统维护的一个队列，操作系统把重叠IO操作完成的事件通知放到该队列里，由于是暴露 “操作完成”的事件通知，所以命名为“完成端口”（Completion Ports）。 异步加密读写，使得加密更高 消耗currency1低，受 更加难觉；部勒索病毒 加密更 件， 高 漏洞进 核提权。例如S 就直接使 VE- 8-8453进EOP ，发现勒索病毒使 压缩打包的方进提权s 6- 3 ，勒索 。勒索病毒开始 大加密 ，不加密 件，对 件名进加密。 fl 勒索病毒 漏洞提权的代码