對于“瑞星人”來說，獅子圖案可能是最能引起共鳴的了。

不久前編輯見到瑞星副總裁唐威時候，他興奮地向我分享了一張圖片：同事無意間在街上拍到的一位身著獅子圖的少年。唐威看著圖片上的獅子和旁邊的1991，默默淘寶了一百次，找到了同款。

“真的很酷，我已經(jīng)下單了?！?/p>

唐威朋友圈

1991對瑞星來說是個有紀念意義的數(shù)字，這年幼獅出生，沒多久趕上大規(guī)模爆發(fā)的宏病毒和 CIH 病毒，靠著征戰(zhàn)殺軟市場登上鼎盛期，卻又因免殺鋪天蓋地而來被迫放棄個人收費殺軟。隨后瑞星轉戰(zhàn)企業(yè)市場，相比起來這頭青年獅子低調(diào)了許多。

雷鋒網(wǎng)曾在去年年底對這頭鮮少露面的“獅子”進行過采訪（甚少在媒體露面的瑞星，如今過得怎么樣？），當時瑞星的回應是：在鼎盛時期面對的是個人用戶，一款產(chǎn)品面世后如果反響不錯坐著就能掙錢的狀態(tài)，確實不利于瑞星往前走，而現(xiàn)在服務企業(yè)用戶時，則是一種戰(zhàn)戰(zhàn)兢兢的狀態(tài)，活要干得精細、認真，這種態(tài)度的轉變，也許能爆發(fā)出不一樣的力量。

這份不一樣的力量是什么？

似乎可以從瑞星主頁上大大的紅叉窺得一二。

根據(jù)瑞星不久前發(fā)布的《2018勒索病毒全面分析報告》捕獲數(shù)據(jù)，2018年1至10月中國勒索病毒樣本約有42.82萬個，勒索病毒感染次數(shù)約為344萬次。

一但電腦數(shù)據(jù)被勒索病毒加密，幾乎沒有任何辦法破解。用戶要么放棄這些資料，要么支付贖金來獲得解密鑰匙。更有甚者，有些病毒團伙“不講信用”，拿到贖金并不提供密鑰，可謂是“亡羊補牢，為時已晚”。

勒索病毒不可怕，可怕的是企業(yè)缺乏安全意識和防御措施，信息安全處于極其脆弱的狀況卻不自知。而獅子瑞星提出：對抗勒索病毒防御才是解決之道。

感染情況

勒索病毒對我們來說并不陌生，由于加密手段復雜，解密成本高以及使用電子貨幣支付贖金，變現(xiàn)快追蹤難等原因，其成為企業(yè)環(huán)境的隱藏炸彈。

而Ransomware-as-a-server，即勒索服務化的出現(xiàn)（開發(fā)者提供整套勒索軟件解決方案，從勒索軟件的開發(fā)、傳播到贖金收取都提供完整的服務。攻擊者不需要任何知識，只要支付少量的租金就可以開展勒索軟件的非法勾當。），更是大大降低了勒索軟件的門檻，推動了勒索軟件大規(guī)模爆發(fā)。

至于具體爆發(fā)情況，綜合瑞星“云安全”系統(tǒng)、瑞星威脅情報平臺的研究數(shù)據(jù)，2018年1至10月，瑞星“云安全”系統(tǒng)共截獲勒索軟件樣本42.82萬個，感染共計344萬次，其中廣東省感染94萬次，位列全國第一，其次為北京市48萬次，浙江省20萬次及上海市18萬次。  

2018年1至10月中國勒索病毒感染狀況

通過對瑞星捕獲的勒索樣本分析發(fā)現(xiàn)，一月為勒索病毒高發(fā)期，感染共計62萬次，位列第一，其次為三月48萬次，以及6月與7月45萬次。

2018年1至10月勒索病毒各月感染數(shù)量

通過對瑞星捕獲的勒索樣本按家族分析發(fā)現(xiàn)，WannaCry家族占比39%，位列第一，其次為Cerber家族與Locky家族占比24%。時隔一年，WannaCry勒索病毒依然影響最大，由此可以看出，很多企業(yè)互聯(lián)網(wǎng)中仍然存在很多未打“永恒之藍”漏洞補丁的機器，導致其危害至今仍在持續(xù)。

  

2018年1至10月各個勒索家族感染樣本占比

趨勢分析

賽博世界的攻防對抗永遠處于道高一尺魔高一丈的你來我往間，躲在暗處的黑客們早就布好了無數(shù)陷阱，等著大魚小魚落網(wǎng)。

比如針對個人用戶的攻擊方式主要是攻擊者將病毒偽裝為盜版軟件、外掛軟件、色情播放器等，誘導受害者下載運行病毒，運行后加密受害者機器。此外勒索病毒也會通過釣魚郵件和系統(tǒng)漏洞進行傳播；

勒索病毒針對企業(yè)用戶常見的攻擊方式包括系統(tǒng)漏洞攻擊、遠程訪問弱口令攻擊、釣魚郵件攻擊、web服務漏洞和弱口令攻擊、數(shù)據(jù)庫漏洞和弱口令攻擊等。其中，釣魚郵件攻擊包括通過漏洞下載運行病毒、通過office機制下載運行病毒、偽裝office、PDF圖標的exe程序等。

在數(shù)次交手期間，瑞星的安全專家也發(fā)現(xiàn)了勒索病毒的發(fā)展趨勢。

其一，利用漏洞和弱口令植入勒索增多。

傳統(tǒng)的勒索病毒，一般通過垃圾郵件、釣魚郵件、水坑網(wǎng)站等方式傳播，受害者需要下載運行勒索病毒才會中毒。而通過漏洞和弱口令掃描互聯(lián)網(wǎng)中的計算機，直接植入病毒并運行，效率要高很多。

GandCrab、Crysis、GlobeImposter 等勒索病毒主要就是通過弱口令傳播，GandCrab內(nèi)部雖然不含漏洞攻擊的部分，但是有證據(jù)表明攻擊者已經(jīng)開始使用web漏洞植入此病毒。Satan更是兇狠，不僅使用永恒之藍漏洞攻擊，還包含了web漏洞和數(shù)據(jù)庫漏洞，包括CVE-2017-10271 WebLogic WLS組件漏洞、CVE-2017-12149 JBOOS 反序列化漏洞、tomcat弱口令等，從而增加攻擊成功的概率。

其二，攻擊者入侵后人工投毒增多

攻擊者通過弱口令或者漏洞，入侵一臺可以訪問互聯(lián)網(wǎng)的計算機后，遠程操作這臺機器，攻擊局域網(wǎng)中的其它機器，這些機器雖然沒有連接互聯(lián)網(wǎng)，但是和被攻擊的機器相連，因此攻擊者可以通過這臺機器攻擊局域網(wǎng)的其它機器。

攻擊者一旦遠程登陸一臺機器，就會通過工具手工關閉殺軟，植入并運行勒索病毒，并繼續(xù)掃描攻擊局域網(wǎng)中的其它機器。

其三，勒索病毒持續(xù)更新迭代對抗查殺

GandCrab勒索（后綴GDCB、CRAB、GRAB、KRAB）、Satan勒索（后綴Satan、dbger、sicck）、Crysis勒索（后綴arena、bip）、GlobeImposter勒索（后綴reserver、Dragon444）等勒索持續(xù)更新，每隔一段時間就會出現(xiàn)一個新變種，有的修改加密算法，增加了加密速度，有的為了對抗查殺，做了免殺、反調(diào)試、反沙箱，并且后綴也會隨之改變。此外有的勒索病毒新版本開始使用隨機后綴，從而增加受害者查找所中勒索類型的難度，迫使受害者只能聯(lián)系攻擊者留下的郵箱來進行解密。

其四，針對有價值目標發(fā)起定向攻擊逐漸增多

相對于廣撒網(wǎng)方式，定向攻擊植入勒索病毒的事件逐漸增多。攻擊者一般會選擇更有勒索價值的目標進行定向攻擊，包括醫(yī)院、學校、防護不足的中小企業(yè)等，這些企業(yè)通常防護不足，數(shù)據(jù)非常重要，如學生數(shù)據(jù)、患者醫(yī)療數(shù)據(jù)、公司業(yè)務文件等，一旦此類資料被加密，受害者支付贖金的可能性就會更高。

其五，勒索病毒開發(fā)門檻進一步降低

一方面由于各種編程語言腳本都可以被用來編寫勒索軟件，大大降低了勒索軟件的開發(fā)門檻，有不少剛接觸計算機的未成年人也開始制作勒索軟件。

從近期捕獲的勒索病毒樣本來看，有使用python編寫勒索軟件，偽裝為office文檔圖標的。有使用Autoit腳本編寫勒索軟件，偽裝為windows更新程序的。還有使用易語言編寫勒索軟件，通過設置開機密碼，或者鎖定MBR來勒索的。知名的勒索病毒有PyCrypt勒索、hc勒索、Halloware勒索、Xiaoba勒索等。

另一方面暗網(wǎng)和黑市上存在不少勒索病毒生成器，攻擊者輸入自己的郵箱和勒索信息，一鍵生成勒索軟件等業(yè)務，使不少盜號、DDOS、詐騙等其它犯罪領域的攻擊者，也投入到勒索領域，加劇了勒索病毒的泛濫。

其六，勒索軟件在世界范圍內(nèi)造成的損失逐漸增大

很多公司為了及時恢復數(shù)據(jù)，平時會存儲一定量的比特幣等虛擬貨幣，以防被勒索時支付贖金。但是更多的情況是，即使支付贖金，對業(yè)務也已經(jīng)造成了非常大的損失。

永恒之藍WannaCry，攻擊世界最大的芯片代工廠“臺積電”，導致臺積電停工三天，損失十幾億元人民幣。Petya勒索病毒造成全球最大的集裝箱航運公司馬士基損失數(shù)億美元、全球最大語音識別公司 Nuance 損失超過9,000萬美元，此外受到該勒索病毒攻擊的還有烏克蘭中央銀行、俄羅斯石油巨頭 Rosneft、廣告企業(yè) WPP、律師事務所 DLA Piper等。

以上數(shù)據(jù)還僅僅是冰山一角，還有很多不知名的公司和個人，由于遭受勒索病毒攻擊，造成大量的經(jīng)濟損失，重要資料丟失。

反勒索措施

當然，對于戰(zhàn)戰(zhàn)兢兢網(wǎng)上沖浪的各位來說，似乎更加關注的是如何反勒索。

作為個人用戶，瀏覽網(wǎng)頁時提高警惕，不下載可疑文件，警惕偽裝為瀏覽器更新或者flash更新的病毒以及及時備份重要文件就可以了。

對于擺在明處的企業(yè)情況則更為復雜。

比如面對系統(tǒng)漏洞攻擊可以及時更新系統(tǒng)補丁，防止攻擊者通過漏洞入侵系統(tǒng)。安裝補丁不方便的企業(yè)，可安裝網(wǎng)絡版安全軟件，對局域網(wǎng)中的機器統(tǒng)一打補丁。另外，在不影響業(yè)務的前提下，將危險性較高的，容易被漏洞利用的端口修改為其它端口號。如139、445端口。如果不使用，可直接關閉高危端口，降低被漏洞攻擊的風險；

面對遠程訪問弱口令攻擊可以使用復雜密碼，或更改遠程訪問的默認端口號，改為其它端口號。另外，禁用系統(tǒng)默認遠程訪問，使用其它遠程管理軟件；

面對釣魚郵件攻擊需要安裝殺毒軟件，保持監(jiān)控開啟，及時更新病毒庫。如果業(yè)務不需要，建議關閉office宏，powershell腳本等，還可以開啟顯示文件擴展名，不打開可疑的郵件附件或可疑鏈接；

面對web服務漏洞和弱口令攻擊需要及時更新web服務器組件，及時安裝軟件補丁，另外，web服務不要使用弱口令和默認密碼；

面對數(shù)據(jù)庫漏洞和弱口令攻擊可更改數(shù)據(jù)庫軟件默認端口并限制遠程訪問數(shù)據(jù)庫。除此之外，數(shù)據(jù)庫管理密碼不要使用弱口令，及時更新數(shù)據(jù)庫管理軟件補丁。

這些種種對瑞星來說，化成了一把劍和一堵墻。

劍是“瑞星之劍”，墻是“瑞星防毒墻”。

瑞星之劍采用了智能誘餌、基于機器學習的文件格式判定規(guī)則、智能勒索代碼行為監(jiān)測等技術，可以對未知與已知勒索病毒進行防御，也可進一步阻止勒索病毒破壞文件。

而瑞星防毒墻可以在網(wǎng)關處對病毒進行初次攔截，配合瑞星病毒庫上億條記錄，可將絕大多數(shù)病毒徹底剿滅在企業(yè)網(wǎng)絡之外，幫助企業(yè)將病毒威脅降至最低。

至于應用虛擬化技術的企業(yè)，瑞星則打包提供了一套系統(tǒng)安全軟件，由管理中心、升級中心、日志中心、掃描服務器、安全虛擬設備、安全終端Linux殺毒和安全防護終端等子系統(tǒng)組成，各個子系統(tǒng)均包括若干不同的模塊，除承擔各自的任務外，還與其它子系統(tǒng)通訊，協(xié)同工作，共同完成企業(yè)內(nèi)部的安全防護。

事實上，一手持劍一手持盾的瑞星獅子還挺精神的，只不過原來的它爪牙張揚，現(xiàn)在的它沉默低調(diào)。

可能，不變的是這只獅子想守護安全的心。

雷鋒網(wǎng)宅客頻道（微信公眾號：letshome），專注先鋒科技，講述黑客背后的故事，歡迎關注雷鋒網(wǎng)宅客頻道。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權禁止轉載。詳情見轉載須知。