4個月攻擊100多萬臺電腦 誰來扼住勒索病毒的咽喉？

距離WannaCry勒索病毒大規(guī)模爆發(fā)已經(jīng)過去了整整一年，但WannaCry之后，勒索病毒這個惡意軟件大家族中的小分支不斷滋長蔓延，新型變種不斷涌現(xiàn)，從2017年5月至2018年4月，近500萬臺電腦遭受攻擊，勒索病毒儼然成為威脅互聯(lián)網(wǎng)安全的一大毒瘤。

面對勒索病毒的囂張氣焰，國內(nèi)最大的安全廠商360率先推出防御勒索病毒的產(chǎn)品矩陣，依靠一系列針對性的防御技術(shù)，以及針對近百種勒索病毒的深度分析與恢復(fù)技術(shù)，全方位阻絕了各類勒索病毒及其變種的入侵。

2018年前4個月國內(nèi)勒索病毒傳播量已達124萬

時間回溯到一年前，2017年的5月12日，360互聯(lián)網(wǎng)安全中心檢測到一款新型的勒索病毒正在利用“永恒之藍”漏洞武器傳播，且傳播力度非常猛烈。當(dāng)天下午2點左右，360互聯(lián)網(wǎng)安全中心發(fā)布預(yù)警，呼吁民眾及時安裝系統(tǒng)補丁和安全軟件。當(dāng)晚，WannaCry大規(guī)模爆發(fā)。

一時間，全球至少150個國家、30萬名用戶中招，金融，能源，醫(yī)療等眾多行業(yè)受到波及，造成損失達80億美元。在國內(nèi)，校園網(wǎng)成為重災(zāi)區(qū)，大量實驗室數(shù)據(jù)和畢業(yè)設(shè)計被鎖定加密。另有部分大型企業(yè)的應(yīng)用系統(tǒng)和數(shù)據(jù)庫文件被加密后，無法正常工作，影響巨大。

WannaCry大規(guī)模爆發(fā)后，360公司率先獲取到WannaCry樣本，并推出一系列的解決方案，成功遏止了WannaCry進一步蔓延的勢頭。

WannaCry之后，勒索病毒全面進入人們的視野。數(shù)據(jù)統(tǒng)計顯示：2017年全年勒索病毒傳播量超過500萬，而2018年截止到4月底，勒索病毒的傳播量就已達到124萬。而從WannaCry爆發(fā)的2017年5月至2018年4月底，一年的時間內(nèi)，勒索病毒傳播量也接近500萬。

圖1：勒索病毒一年來的攔截趨勢

360率先揭秘勒索病毒發(fā)展最新趨勢

360互聯(lián)網(wǎng)安全中心對勒索病毒的最新發(fā)展趨勢進行了研判。他們認為：WannaCry爆發(fā)過后的勒索病毒傳播趨勢是相對穩(wěn)定的，隨著傳統(tǒng)的Crysis和Cerber等勒索病毒逐漸式微，GlobeImposter和BTCWare等新型勒索病毒家族開始占據(jù)越來越重要的位置。

從傳播方式看，勒索病毒沿用了大多數(shù)的惡意軟件套路，傳播渠道無外乎傳統(tǒng)的郵件、聊天軟件、網(wǎng)頁掛馬、漏洞蠕蟲式傳播，其傳播地區(qū)也主要集中在網(wǎng)絡(luò)發(fā)達或是人口密集地區(qū)。

從2017年下半年開始，勒索病毒的攻擊方式主要轉(zhuǎn)變?yōu)閷ζ髽I(yè)服務(wù)器的入侵和投毒，這讓廣東、江蘇、浙江、北京、山東等經(jīng)濟發(fā)達省市成為重災(zāi)區(qū)。受到攻擊的行業(yè)以能源、醫(yī)療、金融、互聯(lián)網(wǎng)居多。

360“狙擊”模式——史上最強反勒索矩陣

作為國內(nèi)最大的互聯(lián)網(wǎng)安全公司，360公司一直密切關(guān)注勒索病毒的動向，并針對勒索病毒傳播的特點和造成危害的方式，提出針對性的解決方案。從2016年5月開始，360率先推出了解密工具，可破解百余種勒索病毒加密的文件，并持續(xù)更新，這也意味著WannaCry爆發(fā)一年前，360就推出了針對勒索病毒的有效防御工具。

圖2: 360解密大師

此后，反勒索·文檔保護、文檔衛(wèi)士、勒索病毒熱補、遠程登錄防護、服務(wù)器防護、全球最全最有效的勒索病毒搜索引擎等功能的加入，不斷完善360反勒索病毒的防御矩陣。

圖3:360遠程登錄保護

針對入侵服務(wù)器投毒的新型勒索病毒攻擊模式，360安全衛(wèi)士增加了服務(wù)器遠程登錄的保護機制，一旦發(fā)現(xiàn)可疑的遠程登錄行為便會進行攔截，以提高此類攻擊的門檻。

搶占先機制敵在勒索病毒爆發(fā)前發(fā)布預(yù)警

2017年4月14日，“影子經(jīng)紀(jì)人(Shadow Brokers)”披露了多款利用Windows系統(tǒng)中SMB服務(wù)漏洞進行攻擊的工具。4月17日，360就對其中重要的“永恒之藍(EternalBlue)”漏洞利用工具進行了詳盡的技術(shù)分析。不久后，360監(jiān)控到網(wǎng)絡(luò)上出現(xiàn)了利用該工具進行漏洞傳播的勒索病毒。

類似的情況還有很多，除WannaCry外，其他勒索病毒也常常借助已知漏洞發(fā)動攻擊。在漏洞防護方面，360則始終保持著自身的高度敏感性：被勒索病毒利用的漏洞CVE-2017-11826、CVE-2018-0802、CVE-2017-8759、CVE-2017-10271、CVE-2017-11882、CVE-2018-4878均在被勒索病毒利用前，360優(yōu)先發(fā)布技術(shù)預(yù)警。

除了對漏洞的高度敏感，360還針對勒索病毒提出了一系列針對性的防御技術(shù)，包括高度自動化的海量數(shù)據(jù)云主動防御，監(jiān)測文檔加密行為的格式識別防御，利用深度學(xué)習(xí)的通殺免疫防護，針對高級漏洞利用攻擊的入侵鏈阻斷防護，以及針對近百種勒索病毒的深度分析與恢復(fù)技術(shù)，全方位“狙擊”勒索病毒及變種。

大安全時代來臨，沒有攻不破的網(wǎng)絡(luò)。勒索病毒變種迅速的特征決定了正邪之間的較量不會畢其功于一役。因此，360建議個人用戶提升安全防范意識，養(yǎng)成及時安裝系統(tǒng)補丁和防護軟件的好習(xí)慣。對于企業(yè)用戶來說，則應(yīng)加強IT運維人員的培訓(xùn)，制定完備的網(wǎng)絡(luò)安全規(guī)范，避免勒索病毒造成不必要的損失。

生成海報

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負任何法律責(zé)任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。