勒索病毒是黑客经过锁屏、加密等办法绑架用户设备或文件，并以此敲诈用户金钱的歹意软件。黑客运用体系缝隙或经过网络垂钓等办法，向受害电脑或服务器植入病毒，加密硬盘上的文档乃至整个硬盘，然后向受害者索要数额不等的赎金后才予以解密，假如用户未在指定时刻交纳黑客要求的金额，被锁文件将无法康复。

　　2008年曾经，勒索病毒一般不加密用户数据，只锁住用户设备，阻挠用户拜访，需供给赎金才干解锁。期间以LockScreen 宗族占主导地位。因为它不加密用户数据，所以只需铲除病毒就不会给用户形成任何丢掉。因为这种病毒带来的损害都能被很好的处理，所以该类型的勒索软件仅仅稍纵即逝，很快便消失了。

　　2013年，以加密用户数据为办法勒索赎金的勒索软件逐步呈现，因为这类勒索软件选用了一些高强度的对称和非对称的加密算法对用户文件加密，在无法获取私钥的状况下要对文件进行解密，以现在的核算水平简直是不可能完结的作业。正是因为这一点，该类型的勒索软件能够带来很大赢利，各种宗族如漫山遍野般呈现，比较闻名的有CTB-Locker、TeslaCrypt、Cerber等。

　　2017年，勒索病毒现已不只仅满足于只加密单台设备，而是经过缝隙或弱口令等办法进犯网络中的其它机器， WannaCry就归于此类勒索软件，短时刻内形成全球许多核算机被加密，其影响连续至今。另一个典型代表Satan勒索病毒，该病毒不只运用了永久之蓝缝隙传达，还内置了多种web缝隙的进犯功用，比较传统的勒索病毒传达速度更快。尽管现已被解密，可是此病毒运用的传达办法却十分危险。

　　瑞星安全专家经过对勒索病毒的传达速度、感染量、加密办法以及开发门槛选取了10个具有代表性的宗族病毒进行剖析，协助用户更好的了解勒索病毒。

　　WannaCry勒索病毒，最早呈现在2017年5月，经过永久之蓝缝隙传达，短时刻内对整个互联网形成十分大的影响。受害者文件被加上.WNCRY后缀，并弹出勒索窗口，要求付出赎金，才能够解密文件。因为网络中仍存在不少未打补丁的机器，此病毒至今依然有十分大的影响。

　　Bad Rabbit勒索病毒，首要经过水坑网站传达，进犯者攻陷网站，将勒索病毒植入，假装为adobe公司的flash程序图标，诱导阅读网站的用户下载运转。用户一旦下载运转，勒索病毒就会加密受害者核算机中的文件，加密核算机的MBR，而且会运用弱口令进犯局域网中的其它机器。

　　GlobeImposter勒索病毒是一种比较活泼的勒索病毒，病毒会加密本地磁盘与同享文件夹的一切文件，导致体系、数据库文件被加密损坏，因为Globelmposter选用RSA算法加密，因而想要解密文件需求作者的RSA私钥，文件加密后简直无法解密，被加密文件后缀曾用过Techno、DOC、CHAK、FREEMAN、TRUE、RESERVER、ALCO、Dragon444等。

　　Gandcrab是首个以达世币（DASH）作为赎金的勒索病毒，此病毒自呈现以来继续更新对立查杀。被加密文件后缀一般被追加上.CRAB .GDCB .KRAB 等后缀。从头版别勒索声明上看没有直接指明赎金类型及金额，而是要求受害用户运用Tor网络或许Jabber即时通讯软件取得下一步举动指令，极大地添加了追寻难度。

　　跟着版其他不断更新，Gandcrab的传达办法多种多样，包含网站挂马、假装字体更新程序、邮件、缝隙、木马程序等。此病毒至今已呈现多个版别，该宗族遍及选用较为杂乱的RSA+AES混合加密算法，文件加密后简直无法解密，最近的几个版别为了进步加密速度，对文件加密的算法开端运用Salsa20算法，秘钥被非对称加密算法加密，若没有病毒作者的私钥，正常办法一般无法解密，给受害者形成了极大的丢掉。

　　Crysis勒索病毒宗族是比较活泼的勒索宗族之一。进犯者运用弱口令暴力破解受害者机器，许多公司都是同一个暗码，就会导致许多机器中毒。此病毒运转后，加密受害者机器中的文件，删去体系自带的卷影备份，被加密文件后缀格局一般为“编号+邮箱+后缀”，例如：

　　病毒运用AES加密文件，运用RSA加密密钥，在没有进犯者的RSA私钥的状况下，无法解密文件，因而损害较大。

　　Cerber宗族是2016年年头呈现的一种勒索软件。从年头的1.0版别一向更新到4.0版。传达办法首要是垃圾邮件和EK挂马，索要赎金为1-2个比特币。到现在为止加密往后的文件没有揭露办法进行解密。

　　Locky宗族是2016年盛行的勒索软件之一，和Cerber 的传达办法相似，首要选用垃圾邮件和EK，勒索赎金0.5-1个比特币。

　　撒旦Satan勒索病毒运转之后加密受害者核算机文件并勒索赎金，被加密文件后缀为.satan。自诞生以来继续对立查杀，新版别除了运用永久之蓝缝隙进犯之外，还添加了其它缝隙进犯。病毒内置了许多的IP列表，中毒后会继续进犯别人。此病毒损害巨大，也给不打补丁的用户敲响了警钟。走运的是此病毒运用对称加密算法加密，密钥硬编码在病毒程序和被加密文件中，因而能够解密。瑞星最早开发出了针对此病毒的解密东西。

　　Hc宗族勒索病毒运用python编写，之后运用pyinstaller打包。进犯者运用弱口令扫描互联网中机器植入病毒。此病毒的呈现使勒索病毒的开发门槛进一步下降，可是危险指数并没有下降。一般运用RDP弱口令侵略受害机器植入病毒。前期版别运用对称加密算法，密钥硬编码在病毒文件中，新版别开端运用指令行传递密钥。

　　LockCrypt病毒运转后会加密受害者体系中的文件，并修正文件的称号格局为:[$FileID]=ID [$UserID].lock。其间$FileID为原始文件名加密base64编码得到，$UserID 为随机数生成。重启后会弹出勒索信息，要求受害者付出赎金，才可解密文件。

　　2018年1至10月，瑞星“云安全”体系共截获勒索软件样本42.82万个，感染合计344万次，其间广东省感染94万次，位列全国榜首，其次为北京市48万次，浙江省20万次及上海市18万次。

　　经过对瑞星捕获的勒索样本剖析发现，一月为勒索病毒高发期，感染合计62万次，位列榜首，其次为三月48万次，以及6月与7月45万次。

　　经过对瑞星捕获的勒索样本按宗族剖析发现，WannaCry宗族占比39%，位列榜首，其次为Cerber宗族与Locky宗族占比24%。时隔一年，WannaCry勒索病毒依然影响最大，由此能够看出，许多企业互联网中依然存在许多未打“永久之蓝”缝隙补丁的机器，导致其损害至今仍在继续。

　　2017年5月，一款名为WannaCry的勒索病毒席卷全球，包含我国、美国、俄罗斯及欧洲在内的100多个国家，我国部分高校内网、大型企业内网和政府安排专网遭受进犯较为严峻。勒索软件运用的是微软SMB长途代码履行缝隙CVE-2017-0144，微软已在2017年3月份发布了该缝隙补丁。2017年4月黑客安排影子经纪人（The Shadow Brokers）发布的方程式安排（Equation Group）运用的“EternalBlue”中包含了该缝隙运用程序，而该勒索软件的进犯者在学习了“EternalBlue”后发起了这次全球性大规划勒索进犯。

　　2017年6月，一个名为“Petya（中文音译彼佳）”的新勒索病毒再度暴虐全球，包含乌克兰首都国际机场、乌克兰国家储蓄银行、邮局、地铁、船只公司、俄罗斯的石油和天然气巨子 Rosneft、丹麦的航运巨子马士基公司、美国制药公司默克公司、美国律师事务所DLA Piper、乌克兰一些商业银行以及部分私家公司、零售企业和政府体系，乃至是核能工厂都遭到了进犯。影响的国家有英国、乌克兰、俄罗斯、印度、荷兰、西班牙、丹麦等。与WannaCry比较，该病毒会加密NTFS分区，掩盖MBR，阻挠机器正常发动，影响愈加严峻。

　　2017年6月份，韩国网络保管公司Nayana在6月10日遭受网络进犯，导致旗下153台Linux 服务器与3,400个网站感染Erebus勒索软件。事情发生后，韩国互联网安全局、国家安全安排已与警方翻开联合查询，Nayana公司也标明，他们会活跃合作，赶快从头获取服务器操控权限。在尽力无果后，Nayana公司终究仍是挑选以付出赎金的办法换取其服务器的操控权限，向勒索黑客付出价值100万美元的比特币，来解密指定的文件。

　　2017年10月，新式勒索病毒BadRabbit在东欧迸发，乌克兰、俄罗斯等企业及基础设施受灾严峻。该病毒会假装成flash_player，诱导用户下载，当用户下载后，病毒会加密特定格局文件，修正MBR，并索要比特币。BadRabbit能够经过弱口令和缝隙在局域网分散，成为勒索病毒蠕虫化的典型代表。

　　2018年3月，湖北某医院内网遭到勒索病毒张狂进犯，导致该医院许多的自助挂号、缴费、陈述查询打印等设备无法正常作业。因为这些终端为自助设备，只供给特定的功用，安全性没有得到注重，体系中没有装置防病毒产品，体系补丁没有及时更新，一起该医院中各个科室的网段没有很好的阻隔，导致勒索病毒会集迸发。

　　2018年7月，勒索病毒GlobeImposter许多变种开端在国内进行传达，各个变种加密文件后修正的文件后缀名也各不相同，其首要是经过垃圾邮件进行传达。GlobeImposter是现在盛行的一类勒索病毒，它会加密磁盘文件并篡改后缀名为.Techno、.DOC、.CHAK、.FREEMAN、.TRUE等办法。因为其选用高强度非对称加密办法，受害者在没有私钥的状况下无法康复文件，如需康复重要材料只能被逼付出赎金。

　　勒索软件都选用老练的暗码学算法，运用高强度的对称和非对称加密算法对文件进行加密。除非在完结上有缝隙或密钥泄密，不然在没有私钥的状况下简直没有可能解密。当受害者数据十分重要又没有备份的状况下，除了付出赎金没有什么其他办法去康复数据，正是因为这点勒索者能连绵不断的获取高额收益，推动了勒索软件的迸发添加。

　　互联网上也撒播有一些被勒索软件加密后的修正软件，但这些都是运用了勒索软件完结上的缝隙或私钥走漏才干够完结的。如Petya和Cryptxxx宗族康复东西运用了开发者软件完结上的缝隙，TeslaCrypt和CoinVault宗族数据康复东西是运用了key的走漏来完结的。

　　简直一切勒索软件付出赎金的办法都是选用比特币来进行的。比特币因为他的一些特色:匿名、变现快、追寻困难，再加上比特币名望大，群众比较熟知，付出起来困难不是很大而被进犯者许多运用。能够说比特币很好的协助了勒索软件处理赎金的问题，进一步推动了勒索软件的昌盛展开。

　　勒索软件服务化，开发者供给整套勒索软件处理计划，从勒索软件的开发、传达到赎金收取都供给完好的服务。进犯者不需求任何常识，只需付出少数的租金就能够展开勒索软件的不合法阴谋，这大大下降了勒索软件的门槛，推动了勒索软件大规划迸发。

　　经过用户阅读网页下载勒索病毒，进犯者将病毒假装为盗版软件、外挂软件、色情播放器等，诱导受害者下载运转病毒，运转后加密受害者机器。此外勒索病毒也会经过垂钓邮件和体系缝隙进行传达。针对个人用户的进犯流程如下图所示：

　　勒苏病毒针对企业用户常见的进犯办法包含体系缝隙进犯、长途拜访弱口令进犯、垂钓邮件进犯、web服务缝隙和弱口令进犯、数据库缝隙和弱口令进犯等。其间，垂钓邮件进犯包含经过缝隙下载运转病毒、经过office机制下载运转病毒、假装office、PDF图标的exe程序等。

　　体系缝隙是指操作体系在逻辑设计上的缺点或过错，不法者经过网络植入木马、病毒等办法来进犯或操控整个电脑，盗取电脑中的重要材料和信息，乃至损坏体系。同个人用户相同，企业用户也会遭到体系缝隙进犯，因为企业局域网中机器许多，更新补丁费时吃力，有时还需求中止事务，因而企业用户不太及时更新补丁，给体系形成严峻的要挟，进犯者能够经过缝隙植入病毒，并敏捷传达。席卷全球的Wannacry勒索病毒便是运用了永久之蓝缝隙在网络中敏捷传达。

　　进犯者运用体系缝隙首要有以下两种办法，一种是经过体系缝隙扫描互联网中的机器，发送缝隙进犯数据包，侵略机器植入后门，然后上传运转勒索病毒。

　　别的一种是经过垂钓邮件、弱口令等其他办法，侵略衔接了互联网的一台机器，然后再运用缝隙局域网横向传达。大部分企业的网络无法做到肯定的阻隔， 一台衔接了外网的机器被侵略，内网中存在缝隙的机器也将遭到影响。

　　网上有许多的缝隙进犯东西，尤其是兵器级其他NSA方程式安排东西的走漏，给网络安全形成了巨大的影响，被广泛用于传达勒索病毒、挖矿病毒、木马等。有进犯者将这些东西，封装为图形化一键自动进犯东西，进一步下降了进犯的门槛。

　　因为企业机器许多需求长途保护，所以许多机器都敞开了长途拜访功用。假如暗码过于简略，就会给进犯者待机而动。许多用户存在侥幸心理，总觉得网络上的机器这么多，自己被进犯的概率很低，可是事实上，在全国际范围内，不计其数的进犯者不断的运用东西扫描网络中存在弱口令的机器。有的机器因为存在弱口令，被不同的进犯者进犯，植入了多种病毒。这个病毒还没删去，又中了新病毒，导致机器卡顿，文件被加密。

　　经过弱口令进犯和缝隙进犯相似，只不过经过弱口令进犯运用的是暴力破解，测验字典中的账号暗码来扫描互联网中的设备。

　　企业用户也会遭到垂钓邮件进犯，相对个人用户，因为企业用户运用邮件频率较高，事务需求不得不翻开许多邮件，而一旦翻开的附件中含有病毒，就会导致企业整个网络遭受进犯。垂钓邮件进犯逻辑图：

　　垂钓邮件附件带着进犯者精心结构的，含有缝隙的office文档、PDF文档或许含有阅读器缝隙的网址。假如没有装置对应作业软件补丁、阅读器补丁，翻开之后就会触发缝隙，下载并运转勒索病毒。

　　此外，网上存在许多Exploit Kit（缝隙进犯包），缝隙进犯包里边集成了各种阅读器、Flash和PDF等软件缝隙代码。进犯者一键自动化生成垂钓邮件，简直是勒索即服务。受害者点击链接或许翻开文档就能够触发缝隙，下载运转勒索软件。常见比较闻名的EK有Angler、Nuclear、Neutrino和RIG等。其间一款缝隙进犯包的操作界面如下：

　　除了缝隙之外，office的一些机制也能够被用来传达勒索病毒，office宏脚本、DDE、OLE等都曾被运用传达勒索病毒。有的进犯者为了避免被查杀，发送邮件时对附件中office文档进行加密，一起在邮件正文中顺便暗码。

　　邮件附件带着的勒索程序会假装为office文档图标，实际上是exe程序，假如体系默许不显示文件扩展名，那就很简单中招。

　　许多企业服务器运转了web服务器软件，开源web结构，CMS办理体系等，这些程序也常常会呈现缝隙。假如不及时修补，进犯者能够运用缝隙上传运转勒索病毒。此外假如web服务运用弱口令也会被暴力破解，有些企业乃至一向选用默许暗码从没有修正过。常见进犯逻辑如下图所示：

　　Apache Struts2是国际上最盛行的JavaWeb服务器结构之一， 2017 年Struts2被曝存在严重安全缝隙S2-045，进犯者可在受影响服务器上履行体系指令，进一步可彻底操控该服务器，然后上传并运转勒索病毒。

　　数据库办理软件也存在缝隙，许多企业多年没有更新过数据库软件，乃至从服务器树立以来就没有更新过数据库办理软件，有的是因为忽略，也有的是因为兼容问题，忧虑数据丢掉。假如不及时更新，会被进犯者运用缝隙上传运转勒索病毒。常见进犯逻辑如下图：

　　传统的勒索病毒，一般经过垃圾邮件、垂钓邮件、水坑网站等办法传达，受害者需求下载运转勒索病毒才会中毒。而经过缝隙和弱口令扫描互联网中的核算机，直接植入病毒并运转，功率要高许多。GandCrab、Crysis、GlobeImposter 等勒索病毒首要便是经过弱口令传达，GandCrab内部尽管不含缝隙进犯的部分，可是有依据标明进犯者现已开端运用web缝隙植入此病毒，而Satan更是凶恶，不只运用永久之蓝缝隙进犯，还包含了web缝隙和数据库缝隙，包含CVE-2017-10271 WebLogic WLS组件缝隙、CVE-2017-12149 JBOOS 反序列化缝隙、tomcat弱口令等，然后添加进犯成功的概率。因而防护勒索病毒也从传统的不下载可疑文件、不翻开可疑附件，过渡到及时装置体系和web服务的补丁，不运用弱口令暗码。

　　进犯者经过弱口令或许缝隙，侵略一台能够拜访互联网的核算机后，长途操作这台机器，进犯局域网中的其它机器，这些机器尽管没有衔接互联网，可是和被进犯的机器相连，因而进犯者能够经过这台机器进犯局域网的其它机器。所以内外网阻隔十分重要，不然再巩固的堡垒，一旦从内部遭遭到进犯，就会丢掉惨重。

　　进犯者一旦长途登陆一台机器，就会经过东西手艺封闭杀软，植入并运转勒索病毒，并继续扫描进犯局域网中的其它机器。此外因为局域网中许多机器运用弱口令和相同暗码，给进犯者供给了便当，因而及时更新补丁十分重要。

　　GandCrab勒索（后缀GDCB、CRAB、GRAB、KRAB）、Satan勒索（后缀Satan、dbger、sicck）、Crysis勒索（后缀arena、bip）、GlobeImposter勒索（后缀reserver、Dragon444）等勒索继续更新，每隔一段时刻就会呈现一个新变种，有的修正加密算法，添加了加密速度，有的为了对立查杀，做了免杀、反调试、反沙箱，而且后缀也会随之改动。此外有的勒索病毒新版别开端运用随机后缀，然后添加受害者查找所中勒索类型的难度，迫使受害者只能联络进犯者留下的邮箱来进行解密。

　　相关于广撒网办法，定向进犯植入勒索病毒的事情逐步增多。进犯者一般会挑选更有勒索价值的方针进行定向进犯，包含医院、校园、防护缺乏的中小企业等，这些企业一般防护缺乏，数据十分重要，如学生数据、患者医疗数据、公司事务文件等，一旦此类材料被加密，受害者付出赎金的可能性就会更高，所以进犯者会有针对性的定向进犯此类企业。

　　一方面因为各种编程言语脚本都能够被用来编写勒索软件，大大下降了勒索软件的开发门槛，有不少刚触摸核算机的未成年人也开端制造勒索软件。从近期捕获的勒索病毒样本来看，有运用python编写勒索软件，假装为office文档图标的。有运用Autoit脚本编写勒索软件，假装为windows更新程序的。还有运用易言语编写勒索软件，经过设置开机暗码，或许确定MBR来勒索的。闻名的勒索病毒有PyCrypt勒索、hc勒索、Halloware勒索、Xiaoba勒索等。

　　另一方面暗网和黑市上存在不少勒索病毒生成器，进犯者输入自己的邮箱和勒索信息，一键生成勒索软件等事务，使不少盗号、DDOS、诈骗等其它违法范畴的进犯者，也投入到勒索范畴，加重了勒索病毒的很多。

　　许多公司为了及时康复数据，平常就会存储一定量的比特币等虚拟钱银，以防被勒索时付出赎金。可是更多的状况是，即便付出赎金，对事务也现已形成了十分大的丢掉。永久之蓝WannaCry，进犯国际最大的芯片代工厂“台积电”，导致台积电罢工三天，丢掉十几亿元人民币。Petya勒索病毒形成全球最大的集装箱航运公司马士基丢掉数亿美元、全球最大语音辨认公司 Nuance 丢掉超越9,000万美元，此外遭到该勒索病毒进犯的还有乌克兰中央银行、俄罗斯石油巨子 Rosneft、广告企业 WPP、律师事务所 DLA Piper等。以上数据还仅仅是冰山一角，还有许多不闻名的公司和个人，因为遭受勒索病毒进犯，形成许多的经济丢掉，重要材料丢掉。

　　（3）在不影响事务的前提下，将危险性较高的，简单被缝隙运用的端口修正为其它端口号。如139、445端口。假如不运用，可直接封闭高危端口，下降被缝隙进犯的危险。

　　经过以上剖析，个人用户和企业用户都需求进步安全防备认识，采纳必要的防护办法，抵挡勒索软件等网络安全要挟。

　　瑞星杀毒软件是根据瑞星“云安全”（Cloud Security）计划和“自动防护”技能开发的新一代信息安全产品，该产品选用了全新的软件架构和最新引擎，全面优化病毒特征库，极大进步了运转功率并下降了资源占用。软件新添加了诈骗垂钓保护、歹意拜访保护、注册表监控、内核加固等功用。

　　瑞星之剑是一款针对不知道与已知勒索病毒的防护东西，可进一步阻挠勒索病毒损坏文件。选用了智能钓饵、根据机器学习的文件格局断定规矩、智能勒索代码行为监测等技能，可有用阻挠已知勒索病毒，有用防护不知道勒索病毒损坏文件。

　　关于规划较大、设备类型许多、保护作业深重的企业，引荐运用网络版杀毒软件一致查杀，一致打补丁。

　　瑞星ESM（瑞星下一代网络版杀毒软件）集病毒防护、网络防护、桌面办理、终端准入、舆情监控于一体，全网络环境适用，能够完结物理机、虚拟机、Windows、Linux一体化办理，为企业用户供给了一整套终端安全处理计划。

　　该软件完结了多种防护形式自在设定，ATM机、银行自助终端机、地铁闸机、售检票体系、医院挂号机等终端设备按需设置，可对全网终端缝隙进行扫描，自在设定修正战略，终端可一起设定多个补丁中心，多个补丁服务器支撑树形级联。

　　瑞星防毒墙是集病毒扫描、侵略检测和网络监督功用于一身的网络安全产品。它可在网关处对病毒进行初度阻拦，合作瑞星病毒库上亿条记载，可将绝大多数病毒彻底歼灭在企业网络之外，协助企业将病毒要挟降至最低。

　　越来越多的企业，开端大范围运用虚拟化技能，提高物理硬件资源运用率。但随之而来的问题是，传统的安全计划无法习惯虚拟环境，存在资源占用过高、资源存储过于会集、设备老化、安全终端防护空隙等问题。因而虚拟化设备布置虚拟化专用版安全软件，就显得尤为重要了。

　　瑞星虚拟化体系安全软件是瑞星公司推出的国内首家企业级云安全防护处理计划，支撑对虚拟化环境与非虚拟化环境的一致管控，包含VMware vSphere、VMware NSX、HUAWEI FusionSphere、浪潮InCloud Sphere、Windows体系与Linux体系等，能够有用保证企业内部虚拟体系和实体网络环境不受病毒侵扰。

　　瑞星虚拟化体系安全软件的完好防护体系由办理中心、晋级中心、日志中心、扫描服务器、安全虚拟设备、安全终端Linux杀毒和安全防护终端等子体系组成，各个子体系均包含若干不同的模块，除承当各自的使命外，还与其它子体系通讯，协同作业，共同完结企业内部的安全防护。

　　不管网络防护等级有多高，备份是必不可少的。企业用户因为事务杂乱，数据库类型许多，无法手动实时备份，主张运用专业的备份康复体系实时备份。

　　瑞星备份康复体系可作为本地机房针对各种常见服务器毛病的应急体系。一台装置了瑞星备份康复体系的设备可经过和其他备用服务器树立“会集应急渠道”完结200-300台X86服务器毛病应急体系应急切换，几分钟彻底代替原机运用，完结体系及数据同步。