距離去年5月12日勒索病毒爆發(fā)一周年了,。一年前,，一個叫“WannaCry”的勒索病毒突然大規(guī)模爆發(fā),，席卷全球150多個國家,，造成高達80億美元的經(jīng)濟損失,。一年后,，這個大型勒索病毒事件帶來的負面影響仍然難以消除：其背后的“永恒之藍”漏洞利用頻頻復(fù)現(xiàn),；大型企事業(yè)單位屢次遭遇勒索病毒攻擊,；勒索變種層出不窮，并開始從發(fā)達城市向偏遠地區(qū)擴散,。

勒索病毒已發(fā)展成為威脅網(wǎng)絡(luò)安全的重大毒瘤,，嚴重威脅著企業(yè)和個人用戶的文檔和數(shù)據(jù)安全。過去一年,，騰訊安全通過精研勒索病毒防御技術(shù)和對黑產(chǎn)的深入調(diào)查探訪了解到,，勒索病毒攻擊方式不斷升級，并呈現(xiàn)出組織團伙化,、產(chǎn)業(yè)鏈條化特征,。

WannaCry仍在活躍 勒索病毒攻擊呈現(xiàn)新趨勢

騰訊御見威脅情報中心監(jiān)控顯示，在過去的一年,，經(jīng)過安全廠商的圍剿堵截,，WannaCry勒索病毒攻擊在短時間內(nèi)急速下降后已趨平穩(wěn)，但并未徹底消失,。直到今天,，由于病毒變種不斷出現(xiàn),，WannaCry依然在持續(xù)傳播。

與以往勒索病毒主攻北上廣深地區(qū)不同,，近期受WannaCry影響最為嚴重的地區(qū)為廣西和浙江,，其次是江蘇和湖北。經(jīng)歷WannaCry爆發(fā)初期,，國內(nèi)安全產(chǎn)商不斷精研安全能力,，全民防御意識有所提升，導(dǎo)致WannaCry變種在后續(xù)的攻擊中逐漸將目標轉(zhuǎn)向防御能力相對偏弱的地區(qū),。

（圖：近期WannaCry勒索病毒在國內(nèi)的攻擊地域分布）

從WannaCry近期攻擊行業(yè)分布上看,，學(xué)校、傳統(tǒng)工業(yè),、政府機構(gòu)為主要目標群體,，其中學(xué)校被攻擊的比例更是占到35%?；蛴捎诖祟悪C構(gòu)長期依賴互聯(lián)網(wǎng)提供的基礎(chǔ)設(shè)施服務(wù),，但相對缺少專業(yè)安全運維服務(wù)，導(dǎo)致整體安全防御能力薄弱,，極易被病毒入侵,。

（圖：近期WannaCry勒索病毒攻擊行業(yè)分布）

不單單是WannaCry，進入2018年以來,，越來越多的勒索病毒開始將攻擊目標轉(zhuǎn)向企業(yè)服務(wù)器,。由于企業(yè)用戶數(shù)據(jù)價值一般情況下遠高于個人用戶，一旦數(shù)據(jù)被加密會更傾向于繳納贖金,。于是,，勒索病毒的攻擊方式從最初的廣撒網(wǎng)逐漸轉(zhuǎn)變?yōu)橄蚋邇r值目標發(fā)起定向攻擊。

勒索病毒產(chǎn)業(yè)鏈條化?解密公司竟成勒索中間代理

伴隨勒索病毒攻擊方式進一步升級,，勒索病毒在經(jīng)歷單打獨斗的發(fā)展時期后,，已呈現(xiàn)出組織團伙化、產(chǎn)業(yè)鏈條化的特征,。

騰訊御見威脅情報中心分析發(fā)現(xiàn),，一次完整的勒索病毒攻擊流程涉及勒索病毒作者、勒索者,、傳播渠道商,、代理、受害者5個角色,，從業(yè)人員之間的分工十分明確,。勒索病毒作者負責勒索病毒編寫制作，對抗安全軟件,；勒索者定制專屬病毒,，并聯(lián)系傳播渠道商進行投放,；代理向受害者假稱自己能夠解密各勒索病毒加密的文件，實則與勒索者合作,，共同賺取受害者的贖金,。

（圖：勒索病毒黑產(chǎn)流程圖）

更讓人意想不到的是，網(wǎng)絡(luò)上可搜索到的可支持勒索病毒解密的公司,，竟然也是參與勒索病毒黑色產(chǎn)業(yè)鏈的中間代理,。

在網(wǎng)絡(luò)上搜索勒索病毒解密相關(guān)信息時可以發(fā)現(xiàn)，網(wǎng)絡(luò)上出現(xiàn)了許多提供“勒索病毒解密服務(wù)”的公司,，排名靠前的大部分顯示為搜索引擎廣告,。這類企業(yè)聲稱支持各種勒索病毒家族的解密，其中包括流行的Locky,、Cerber,、Crysis、GlobeImposter,、GandCrab家族等,。

（圖：網(wǎng)絡(luò)上搜索的勒索病毒解密服務(wù)）

據(jù)騰訊安全技術(shù)專家介紹，除非勒索病毒存在邏輯漏洞,，或者這些企業(yè)擁有解密密鑰,，否則以正常的算力方法去解密的可能性微乎及微。然而,，深圳某公司在服務(wù)器中招之后聯(lián)系解密公司求助,，解密公司居然憑借極少的信息就給出了內(nèi)網(wǎng)IP以及對應(yīng)的解密密鑰，不禁讓人懷疑其與該病毒的勒索者有所關(guān)聯(lián),。技術(shù)人員假意表達想做中間代理而聯(lián)系勒索者,，很快便得到了相應(yīng)回復(fù),。

探訪結(jié)果證明,，這類解密公司實際上就是勒索者的代理，利用國內(nèi)用戶不方便購買勒索者要求的數(shù)字貨幣贖金,，以相對便宜的價格吸引受害者達成交易,。根據(jù)某解密公司官網(wǎng)上公開的記錄，一家解密公司靠做勒索中間代理一個月收入高達300萬人民幣,。

對抗勒索病毒重在防御 騰訊“御”系列打造企業(yè)網(wǎng)絡(luò)安全閉環(huán)

為防御勒索病毒攻擊威脅,，騰訊安全根據(jù)目前企業(yè)易遭受的安全威脅類型，推出“御”系列產(chǎn)品解決方案,，整合騰訊安全安全技術(shù)能力及大數(shù)據(jù)資源,，針對事前、事中,、事后提供包括感知,、檢測,、攔截、溯源在內(nèi)的全套威脅應(yīng)對機制,，幫助企業(yè)有效抵御網(wǎng)絡(luò)攻擊,。

4月16日，國內(nèi)某醫(yī)院的服務(wù)器遭受到了最新變種勒索病毒GlobeImposter的攻擊,，醫(yī)院的服務(wù)器系統(tǒng)遭到入侵,，導(dǎo)致部分文件和應(yīng)用被病毒加密破壞。接到求助后,，騰訊企業(yè)安全火速響應(yīng),，通過針對感染情況的緊急分析和技術(shù)流操作，迅速鎖定病源,，保障了內(nèi)網(wǎng)應(yīng)用的安全運行,。騰訊企業(yè)安全“御點”終端安全管理系統(tǒng)，將百億量級云查殺病毒庫,、引擎庫以及騰訊TAV殺毒引擎,、系統(tǒng)修復(fù)引擎應(yīng)用到醫(yī)療企業(yè)內(nèi)部，有效防御醫(yī)療企業(yè)內(nèi)網(wǎng)終端的病毒木馬攻擊,。

騰訊御界防APT郵件網(wǎng)關(guān)系統(tǒng)依托哈勃分析系統(tǒng)的核心技術(shù),，結(jié)合大數(shù)據(jù)與深度學(xué)習(xí)，能夠迅速識別APT攻擊郵件,、釣魚郵件,、病毒木馬附件等；騰訊御見智能態(tài)勢感知平臺,，通過對企業(yè)全面的基礎(chǔ)網(wǎng)絡(luò)信息進行集中采集,、存儲和持續(xù)深層分析，能夠為企業(yè)用戶構(gòu)建自適應(yīng)安全體系,，彈性應(yīng)對來自外部和內(nèi)部的各種威脅,，實現(xiàn)企業(yè)全網(wǎng)安全態(tài)勢可知、可見,、可控的閉環(huán),。

對于普通個人用戶，騰訊電腦管家整合推出的“文檔守護者”功能,，幫助用戶構(gòu)建一站式文檔保護方案,，可實現(xiàn)對包括“WannaCry”在內(nèi)的430種勒索病毒樣本的免疫，還能提供對未知的勒索病毒的攔截能力,，并自動備份全盤文檔,，全面保證用戶文檔安全。

對抗勒索病毒仍然長路漫漫,，在互聯(lián)網(wǎng)全面介入各個產(chǎn)業(yè)的當下,，安全不再是單獨個人和安全產(chǎn)商的事,，提高全民網(wǎng)絡(luò)安全意識，加強社會多方力量協(xié)作,，疊加多元優(yōu)勢,，形成合力，才能構(gòu)筑堅不可摧的網(wǎng)絡(luò)安全新防線,。