2017勒索软件威胁形势分析报告

• 2017年1-11月，360互联网安全中心共截获电脑端新增勒索软件变种183种，新增控制域名238个。全国至少有472.5多万台用户电脑遭到了勒索软件攻击，平均每天约有1.4万台国内电脑遭到勒索软件攻击。

• 在向360互联网安全中心求助的勒索软件受害者中，Cerber、Crysis、WannaCry这三大勒索软件家族的受害者最多，共占到总量的58.4%。其中，Cerber占比为21.0%，Crysis 占比为19.9%，WannaCry占比为17.5%。

• 2017年，勒索软件的传播方式主要有以下五种：服务器入侵传播、利用漏洞自动传播、邮件附件传播、通过软件供应链进行传播和利用挂马网页传播。

• 遭遇勒索软件攻击的国内电脑用户遍布全国所有省份。其中，广东占比最高，为14.9%，其次是浙江8.2%，江苏7.7%。排名前十省份占国内所有被攻击总量的64.1%。

• 抽样调研显示，在遭到勒索软件攻击的政企机构中，能源行业是遭受勒索软件攻击最多的行业，占比为42.1%，其次是医疗行业为22.8%，金融行业为17.8%。

• 2017年，勒索软件的攻击主要呈现以下特点：无C2服务器加密技术流行、攻击目标转向政企机构、攻击目的开始多样化、勒索软件平台化运营、境外攻击者多于境内攻击者。

• 2017年，约15%的勒索软件攻击是针对中小企业服务器发起的定向攻击，尤以Crysis、xtbl、wallet、arena、Cobra等家族为代表。

• 2017年1月至11月，360反勒索服务共接到了2325位遭遇勒索软件攻击的受害者求助。调研数据显示，男性是最容易受到勒索软件攻击的对象，占比高达90.5%，而女性占比仅为9.5%。

• 在向360互联网安全中心求助的所有勒索软件受害者中，IT/互联网行业的受害者最多，占比为27.0%；其次是制造业，占比为18.6%；教育行业占比为14.8%。

• 从求助的受害者工作职位来看，普通职员超过受害者总数的一半以上，占51.8%，其次是经理、高级经理，占33.0%，企业中、中高管理层，占13.4%，CEO、董事长、总裁等占比为1.8%。

• 从求助的受害者文件感染类型可以看出，87.6%是受害者电脑上的办公文档被感染，其次，77.4%的图片文件被感染，54.0%的视频文件被感染，48.7%的音频文件被感染，8.2%的数据库文件被感染。

• 在求助的受害者中，已有5.8%的受害者为了恢复文件而支付赎金，另外94.2%的受害者选择了拒绝为恢复文件而支付赎金。

• 2017年5月，影响全球的勒索软件永恒之蓝勒索蠕虫（WannaCry）大规模爆发。它利用了据称是窃取自美国国家安全局的黑客工具EternalBlue（永恒之蓝）实现了全球范围内的快速传播，在短时间内造成了巨大损失。

• 不同行业遭受永恒之蓝勒索蠕虫攻击的情况也有所不同，工程建设行业是遭受攻击最多的行业，占比为20.5%，其次制造业为17.3%，能源行业为15.3%。

• 本次报告还总结了勒索软件攻击与应急响应的十大典型案例，其中五个为永恒之蓝攻击与响应典型案例，另五个为服务器入侵攻击与响应典型案例。

• 2018年勒索软件攻击趋势预测：从整体态势来看，勒索软件的质量和数量将不断攀升，并且会越来越多的使用免杀技术；从攻击特点来看，勒索软件的自我传播能力将越来越强，静默期也会不断延长；从攻击目标来看，勒索软件攻击的操作系统类型将越来越多，同时定向攻击能力也将更加突出；此外，勒索软件造成的经济损失会越来越大，受害者支付赎金的数量也会越来越多，但由于各种原因，通过支付赎金恢复文件的成功率将大幅下降。

• 在反勒索软件方面，以下技术最有可能成为主流趋势：文档自动备份隔离保护技术、智能诱捕技术、行为追踪技术、智能文件格式分析技术和数据流分析技术等。对于企业级用户来说，云端免疫技术、密码保护技术等也将起到至关重要的作用。

研究背景

勒索软件是近两年来影响最大，也最受关注的网络安全威胁形式之一。攻击者通过电子邮件、网络渗透、蠕虫病毒等多种形式，向受害者的电脑终端或服务器发起攻击，加密系统文件并勒索赎金。

2016年，包括IBM、Symantec、360等国内外多家知名安全机构已经开始高度关注勒索软件攻击。2016年12月，360互联网安全中心发布了《2016 敲诈者病毒威胁形势分析报告（年报）》。报告指出，2016年，全国至少有497万多台用户电脑遭到了勒索软件攻击，成为对网民直接威胁最大的一类木马病毒。

2017年，勒索软件继续呈现出全球性蔓延态势，攻击手法和病毒变种也进一步多样化。特别是2017年5月全球爆发的永恒之蓝勒索蠕虫（WannaCry，也有译作“想哭”病毒）和随后在乌克兰等地流行的Petya病毒，使人们对于勒索软件的关注达到了空前的高度。在全球范围内，政府、教育、医院、能源、通信、制造业等众多关键信息基础设施领域都遭受到了前所未有的重大损失。

与WannaCry无差别的显性攻击相比，针对中小企业网络服务器的精准攻击则是隐性的，不为多数公众所知，但却也已成为2017年勒索软件攻击的另一个重要特点。统计显示，在2017年的国内勒索软件的攻击目标中，至少有15%是明确针对政企机构的，其中由以中小企业为主要目标。相比于一般的个人电脑终端或办公终端，服务器数据的珍贵程度和不可恢复性更强（针对服务器的渗透式勒索攻击一般不会留下死角或备份），因此被勒索者支付赎金的意愿也相对更强。

为进一步深入研究勒索软件的攻击特点和技术手段，帮助个人电脑用户和广大政企机构做好网络安全防范措施，360互联网安全中心对2017年的勒索软件攻击形势展开了全面的研究，分别从攻击规模、攻击特点、受害者特征、典型案例、趋势预测等几个方面进行深入分析。

目录

研究背景 1

第一章 勒索软件的大规模攻击 2

一、 勒索软件的攻击量 2

二、 勒索软件的家族分布 3

三、 勒索软件的传播方式 4

四、 勒索软件攻击的地域 5

五、 勒索软件服务器分布 6

六、 勒索软件攻击的行业 6

七、 勒索软件的攻击特点 7

第二章 勒索软件受害者特征分析 10

一、 受害者的求助情况 10

二、 受害者的基本特征 10

三、 受害者的感染情况 12

四、 赎金支付与支付方式 14

五、 影响赎金支付的因素 15

六、 恢复感染文件的方法 16

第三章 WannaCry勒索软件的大规模攻击 19

一、 勒索蠕虫的空前影响 19

二、 WannaCry攻击态势分布 19

三、 三位一体的新型病毒 20

四、 自杀开关的成败得失 21

五、 WannaCry整体攻击流程 23

六、 WannaCry穿透内网原因 23

七、 其他暴露出来的问题简析 25

第四章 勒索软件攻击与响应典型案例 28

一、 永恒之蓝攻击与响应典型案例 28

二、 混入升级通道的类Petya勒索病毒 31

三、 服务器入侵攻击与响应典型案例 32

第五章 2018年勒索软件趋势预测 38

一、 整体态势 38

二、 攻击特点 38

三、 攻击目标 39

四、 造成损失 39

第六章 勒索软件防御技术新趋势 41

一、 个人终端防御技术 41

二、 企业级终端防御技术 42

第七章 给用户的安全建议 43

一、 个人用户安全建议 43

二、 企业用户安全建议 43

附录1 2017年勒索软件重大攻击事件 45

一、 MongoDB数据库被窃取 45

二、 知名搜索引擎Elasticsearch被勒索敲诈 45

三、 港珠澳桥资料遭黑客加密勒索 45

四、 WannaCry 在全球大规模爆发 45

五、 欧洲大规模爆发类Petya病毒 46

六、 多国正在遭遇彼佳勒索病毒袭击 46

七、 韩国网络托管公司Nayana再遭勒索 46

八、 Spora窃取凭据并记录您输入的内容 47

九、 勒索病毒坏兔子来袭俄乌等国中招 47

十、 通用汽车制造中心遭勒索软件攻击 47

附录2  WannaCry攻击技术详解 48

附录3  从DNS和sinkhole视角看WannaCry蠕虫 64

附录4  360安全卫士反勒索服务 71

附录5  360天擎敲诈先赔服务 72

附录6  360勒索软件协同防御解决方案 73

报告下载：

PDF下载：传送门

WORD下载：传送门