5月10号，腾讯安全正式对外发布《2021上半年勒索病毒趋势报告及防护方案建议》（以下简称“报告”）。《报告》显示，尽管2021年上半年相比去年同时期，勒索病毒的攻击态势稍有下降，但勒索事件仍然频发，仅2021年第一季度，就发生了多起国际知名企业被勒索的案件，并且赎金持续刷新纪录。

　　2020/2021勒索病毒1-4月攻击态势对比图

　　值得关注的是，目前尚未出现对付勒索病毒的“银弹”，应对勒索病毒的核心原则仍然是以事前防范为主。腾讯安全也对全球勒索病毒深入分析及研判，挖掘其中涉及的安全漏洞、入侵手法和攻击工具，为个人及企业用户提供网络安全防护。

　　勒索病毒不断活跃 全球损失高达数十亿美元

　　2017年5月12日，WannaCry勒索病毒在全球范围爆发，形成一场影响全球的蠕虫病毒风暴。此后四年间，勒索病毒频繁将魔爪伸向企业及个人用户。

　　从《报告》显示数据可以看出，在2021年上半年，GlobeImposter家族和具有系列变种的Crysis家族等老牌勒索病毒依然活跃，而Phobos、Sodinokibi、Buran、Medusalocker、Avaddon、lockbit、Ryuk、NEMTY等新型勒索病毒家族也有着广泛流行的趋势。其中大部分勒索病毒都有着变种多、针对性高、感染量上升快等特点，像Sodinokibi、Medusalocker等病毒甚至呈现针对国内系统定制化的操作。毫无疑问，不断数字化转型升级的国内企业已经成为诸多勒索病毒攻击的重点目标。

　　从区域上来看，国内遭受勒索病毒攻击中，广东、浙江、山东、湖北、河南、上海、天津较为严重，其它省份也有遭受到不同程度攻击。而数据价值较高的传统行业、医疗、政府机构遭受攻击较为严重，占比依次为37%、18%、14%，总计占比高达69%。例如在2020年的8月和11月，多家传统企业就先后遭到勒索病毒的攻击，勒索团伙均要求企业支付高额赎金，否则将把盗窃数据在暗网出售。

　　但目前不少企业机构均升级了网络安全措施，有效防止了勒索软件损失的扩大化，也从一定程度上，反映了“支付赎金”的应对策略正在失效。

　　针对企业用户定向攻击 未来勒索病毒将更加多样化、高频化

　　从最初的零星恶作剧，到现在频发的恶意攻击，勒索病毒为何能够如“野草”般生命力顽强，肆意生长？

　　首先，勒索病毒加密手段复杂，解密成本高；其次，使用电子货币支付赎金，变现快、追踪难；最后，勒索软件服务化的出现，让攻击者不需要任何知识，只要支付少量的租金就可以开展勒索软件的非法勾当，大大降低了勒索软件的门槛，推动了勒索软件大规模爆发。

　　勒索病毒作案实施过程图

　　根据市面较为高发的勒索病毒特征，《报告》将勒索病毒的传播手段分为6个方向：弱口令攻击、U盘蠕虫、软件供应链攻击、系统/软件漏洞、“无文件”攻击技术、RaaS。勒索病毒团伙在利用这些传播手段入侵目标系统后，会利用工具将失陷网络的机密数据上传到服务器，然后实施勒索。

　　随着全球数字化的不断加速，越来越多企业将业务迁移到云端。由于企业用户数据价值较高，但很多企业对于云上网络安全态势并没有足够的准备。因此在未来一段时间，针对企业用户进行定向攻击，将是勒索病毒的重要目标之一，而且随着技术的普及、勒索病毒产业链的成熟，病毒也将变得更加多样化、高频化。同时，《报告》还指出，目前Mac OS和Android等平台也已陆续出现勒索病毒，随着Windows的防范措施完善，未来不法黑客也可能转向攻击其他平台。

　　升级网络安全措施，做好事前防范是关键

　　面对层出不穷的勒索病毒，无论是企业还是个人用户，都应该重视网络安全措施，做好事前防范。在《报告》中提出了“三不三要”思路：

　　1.不上钩：标题吸引人的未知邮件不要点开

　　2.不打开：不随便打开电子邮件附件

　　3.不点击：不随意点击电子邮件中附带网址

　　4.要备份：重要资料要备份

　　5.要确认：开启电子邮件前确认发件人可信

　　6.要更新：系统补丁/安全软件病毒库保持实时更新

　　腾讯安全解决方案体系结构图

　　此外，《报告》还提出了具体的防范建议：

　　1. 建议企业用户全网安装部署终端安全管理软件，推荐使用腾讯零信任无边界访问控制系统（iOA）；

　　2. 针对一些大中型企业，建议采用腾讯高级威胁检测系统（NTA）监测内网风险。同时，企业用户还可通过订阅腾讯安全威胁情报产品，让全网所有安全设备同步具备和腾讯安全产品一致的威胁发现、防御和清除能力；

　　3. 针对个人用户，《报告》推荐使用腾讯电脑管家并启用文档守护者，目前该功能已集成针对主流勒索病毒的解密方案，并提供完善的数据备份方案，为数千万用户提供文档保护恢复服务。（左小溪）