前言

2020年勒索病毒攻击比以往都来的更猛了一点，各种不同的勒索病毒黑客组织都似乎加大了这方面的投入，而且又有一些新的黑客组织加入进来，导致现在勒索病毒攻击越来越频繁了，最近几款流行的勒索病毒都非常活跃，经常有人通过各种渠道向我咨询勒索病毒相关的问题，勒索病毒攻击已经越来越严重了，目前大部分流行的勒索病毒都是无法解密的，勒索病毒以防为主，提高安全意识，虽然外界已经宣传了很多，但仍然有很多企业还是没有引起足够的重视，导致被勒索病毒攻击之后，悔之晚矣，根据COVEWARE公司的报告，2020年Q1季度，企业平均赎金支付增加至111,605美元，比2019年第四季度增长了33％，勒索软件分销商越来越多地将目标对准大型企业，并成功地强制勒索付款以安全恢复数据，大型企业赎金支付在数量上占少数，但支付规模极大地拉高了平均赎金支付，赎金的中位数保持相对稳定，为44,021美元，仅略高于2019年第四季度的中位数41,179美元，中位数的稳定性反映了一个事实，即大多数赎金支付相对于平均值而言是中等的，如下所示：

2020年第一季度，最流行的几款勒索病毒，Sodinokibi占于榜首，如下所示：

勒索病毒主要的攻击传播方式仍然以RDP和钓鱼邮件为主，如下所示：

更多详细的报告，可以参考：

https://www.coveware.com/blog/q1-2020-ransomware-marketplace-report

Sodinokibi勒索病毒

Sodinokibi勒索病毒(也称REvil)，2019年5月24日首次在意大利被发现，在意大利被发现使用RDP攻击的方式进行传播感染，这款病毒被称为GandCrab勒索病毒的接班人，在短短几个月的时间内，已经在全球大范围传播，这款勒索病毒与GandCrab勒索软件存在很多关联， Sodinokibi勒索病毒是一种勒索即服务(RAAS)的模式进行分发和营销的，并采用了一些免杀技术避免安全软件检测到，主要通过Oracle WebLogic漏洞、Flash UAF漏洞、网络钓鱼邮件、RDP端口、漏洞利用工具包以及攻击一些托管服务提供商MSP等方式发起攻击，这款勒索病毒最新的版本为2.2，增加了自启动注册表项等，同时还发现一批最新的采用PowerShell脚本进行无文件攻击的变种样本，加密后的文件后，如下所示：

生成的勒索提示信息文件，如下所示：

最新的Sodinokibi勒索病毒变种样本的交易方式已经全部转换为使用门罗币进行交易，如下所示：

Phobos勒索病毒

Phobos勒索病毒是2019年8月出现的一款新型的勒索病毒，这款勒索病毒与此前发现的CrySiS(Dharma)勒索病毒在一些行为表现上非常相似，然而两者的代码结构完全不同，属于两个不同的勒索病毒家族，这款勒索病毒主要通过RDP方式入侵，然后再受害者主机上运行勒索病毒加密文件，近期监控到这款勒索病毒最新的变种样本，这批变种样本主要以devos、devoe、devil、dever、dewar、actin、acton、actor、acuff、acute等加密后缀为主，这款勒索病毒加密后的文件，如下所示：

弹出的勒索提示信息，如下所示：

目前这款勒索病毒的加密后缀，流行的已经有几十个不同变种，相关的加密后缀列表，如下所示：

CrySiS勒索病毒

CrySiS勒索病毒，又称Dharma，首次出现是在2016年，2017年5月此勒索病毒万能密钥被公布之后，之前的样本可以解密，导致此勒索病毒曾消失了一段时间，不过随后又马上出现了它的一款最新的变种样本，加密后缀为java，通过RDP暴力破解的方式进入受害者服务器进行加密勒索，加密后的文件，如下所示：

弹出的勒索提示信息，如下所示：

Ryuk勒索病毒

Ryuk勒索病毒最早于2018年8月被首次发现，它是由俄罗斯黑客团伙GrimSpider幕后操作运营，GrimSpider是一个网络犯罪集团，使用Ryuk勒索软件对大型企业及组织进行针对性攻击，C.R.A.M. TG Soft(反恶意软件研究中心)发现Ryuk勒索软件主要是通过网络攻击手段利用其他恶意软件如Emotet或TrickBot等银行木马进行传播，Emotet和TrickBot银行木马主要用于盗取受害者银行网站登录凭据，同时充当下载器功能，提供下载其它勒索病毒服务，为啥Emotet和TrickBot银行木马会传播Ryuk勒索病毒，因为TrickBot银行木马传播渠道的运营者是俄罗斯黑客团伙WIZARD SPIDER，GRIM SPIDER是俄罗斯黑客团伙WIZARD SPIDER的部门之一，这款勒索病主要在国外比较流行，针对一些大型企业进行定向攻击勒索，最新的变种加密后的文件，如下所示：

生成的勒索提示信息文件，如下所示：

勒索病毒的几大发展趋势

1.各种新型勒索病毒不断涌现，未来可能会有更多成熟的或新的黑客组织加入进来，同时国外一些主流的勒索病毒运营团队去年年底就已经开始在国内寻找勒索病毒分销运营商，今年已经出现一些国内勒索病毒的运营商，他们通过暗网与国外运营商进行合作，进行勒索病毒的分发传播，谋取暴利

2.已知主流的几款勒索病毒都已开始通过公布受害者数据逼迫受害者支付赎金，今年会不会有更多的勒索病毒运营团伙采用这种运营方式来强迫受害者交付赎金

3.企业数据安全已经成为未来网络安全行业最重要的关注方向，今年针对企业的勒索病毒攻击可能会更多，同时各种新型的窃密木马会随着勒索病毒一起下发，窃取企业数据，通过“勒索+窃取”两种方式对企业的重要数据进行攻击，有报道指出在全球数据泄露的安全事件中，大部分是通过恶意软件进行网络攻击造成的

4.勒索病毒运营团队会把更多的目光转向针对云服务器提供商或运营商，对云上的数据进行加密勒索，针对Windows服务器和 Linux平台上的勒索病毒今年可能会增多，目前发现的大部分Linux平台勒索病毒大多数使用GO语言进行开发

5.勒索病毒黑客组织运营团伙可能会关闭其公开的RAAS平台服务，转化为私有化服务，以筛选具备一定专业知识的客户进行传播，提高勒索攻击的成功率，防止一些不专业的人误操作，造成相关数据被泄露，同时各个流行的勒索病毒黑客组织已经开始在全球招募更多成熟的高端恶意软件开发人员进行勒索病毒的开发

6.各个不同的勒索病毒组织之间竞争会越来越激烈，这也会促使这些勒索病毒黑客组织不断更新，推出更多的新型的勒索病毒，同时也会加大在勒索病毒方面的运营手段

勒索病毒攻击已经越来越频繁了，现在不仅仅是企业，个人用户也已经成为了勒索病毒黑客组织攻击的目标，必竟其他行业里大多数人对勒索病毒并不了解，比如一些知名博主，圈内大咖，公司高管等一些"上层"有钱人士未来会不会成为一些勒索病毒黑客组织攻击的目标?现在的勒索病毒使用的技术已经越来越成熟，新的勒索病毒不断被发现，旧的勒索病毒不断变种，攻击手法越来越多，不管是企业，还是个人一定要提高警惕，以防被勒索病毒趁虚而入，上面介绍的这几款流行的勒索病毒暂时都无法解密，需要提高安全意识，勒索病毒，以防为主