距離WannaCry勒索病毒大規(guī)模爆發(fā)已經(jīng)過(guò)去了整整一年，但WannaCry之后，勒索病毒這個(gè)惡意軟件大家族中的小分支不斷滋長(zhǎng)蔓延，新型變種不斷涌現(xiàn)，從2017年5月至2018年4月，近500萬(wàn)臺(tái)電腦遭受攻擊，勒索病毒儼然成為威脅互聯(lián)網(wǎng)安全的一大毒瘤。

面對(duì)勒索病毒的囂張氣焰，國(guó)內(nèi)最大的安全廠商360率先推出防御勒索病毒的產(chǎn)品矩陣，依靠一系列針對(duì)性的防御技術(shù)，以及針對(duì)近百種勒索病毒的深度分析與恢復(fù)技術(shù)，全方位阻絕了各類勒索病毒及其變種的入侵。

2018年前4個(gè)月國(guó)內(nèi)勒索病毒傳播量已達(dá)124萬(wàn)

時(shí)間回溯到一年前，2017年的5月12日，360互聯(lián)網(wǎng)安全中心檢測(cè)到一款新型的勒索病毒正在利用“永恒之藍(lán)”漏洞武器傳播，且傳播力度非常猛烈。當(dāng)天下午2點(diǎn)左右，360互聯(lián)網(wǎng)安全中心發(fā)布預(yù)警，呼吁民眾及時(shí)安裝系統(tǒng)補(bǔ)丁和安全軟件。當(dāng)晚，WannaCry大規(guī)模爆發(fā)。

一時(shí)間，全球至少150個(gè)國(guó)家、30萬(wàn)名用戶中招，金融，能源，醫(yī)療等眾多行業(yè)受到波及，造成損失達(dá)80億美元。在國(guó)內(nèi)，校園網(wǎng)成為重災(zāi)區(qū)，大量實(shí)驗(yàn)室數(shù)據(jù)和畢業(yè)設(shè)計(jì)被鎖定加密。另有部分大型企業(yè)的應(yīng)用系統(tǒng)和數(shù)據(jù)庫(kù)文件被加密后，無(wú)法正常工作，影響巨大。

WannaCry大規(guī)模爆發(fā)后，360公司率先獲取到WannaCry樣本，并推出一系列的解決方案，成功遏止了WannaCry進(jìn)一步蔓延的勢(shì)頭。

WannaCry之后，勒索病毒全面進(jìn)入人們的視野。數(shù)據(jù)統(tǒng)計(jì)顯示：2017年全年勒索病毒傳播量超過(guò)500萬(wàn)，而2018年截止到4月底，勒索病毒的傳播量就已達(dá)到124萬(wàn)。而從WannaCry爆發(fā)的2017年5月至2018年4月底，一年的時(shí)間內(nèi)，勒索病毒傳播量也接近500萬(wàn)。

圖1：勒索病毒一年來(lái)的攔截趨勢(shì)

360率先揭秘勒索病毒發(fā)展最新趨勢(shì)

360互聯(lián)網(wǎng)安全中心對(duì)勒索病毒的最新發(fā)展趨勢(shì)進(jìn)行了研判。他們認(rèn)為：WannaCry爆發(fā)過(guò)后的勒索病毒傳播趨勢(shì)是相對(duì)穩(wěn)定的，隨著傳統(tǒng)的Crysis和Cerber等勒索病毒逐漸式微，GlobeImposter和BTCWare等新型勒索病毒家族開(kāi)始占據(jù)越來(lái)越重要的位置。

從傳播方式看，勒索病毒沿用了大多數(shù)的惡意軟件套路，傳播渠道無(wú)外乎傳統(tǒng)的郵件、聊天軟件、網(wǎng)頁(yè)掛馬、漏洞蠕蟲式傳播，其傳播地區(qū)也主要集中在網(wǎng)絡(luò)發(fā)達(dá)或是人口密集地區(qū)。

從2017年下半年開(kāi)始，勒索病毒的攻擊方式主要轉(zhuǎn)變?yōu)閷?duì)企業(yè)服務(wù)器的入侵和投毒，這讓廣東、江蘇、浙江、北京、山東等經(jīng)濟(jì)發(fā)達(dá)省市成為重災(zāi)區(qū)。受到攻擊的行業(yè)以能源、醫(yī)療、金融、互聯(lián)網(wǎng)居多。

360“狙擊”模式——史上最強(qiáng)反勒索矩陣

作為國(guó)內(nèi)最大的互聯(lián)網(wǎng)安全公司，360公司一直密切關(guān)注勒索病毒的動(dòng)向，并針對(duì)勒索病毒傳播的特點(diǎn)和造成危害的方式，提出針對(duì)性的解決方案。從2016年5月開(kāi)始，360率先推出了解密工具，可破解百余種勒索病毒加密的文件，并持續(xù)更新，這也意味著WannaCry爆發(fā)一年前，360就推出了針對(duì)勒索病毒的有效防御工具。

圖2: 360解密大師

此后，反勒索·文檔保護(hù)、文檔衛(wèi)士、勒索病毒熱補(bǔ)、遠(yuǎn)程登錄防護(hù)、服務(wù)器防護(hù)、全球最全最有效的勒索病毒搜索引擎等功能的加入，不斷完善360反勒索病毒的防御矩陣。

圖3:360遠(yuǎn)程登錄保護(hù)

針對(duì)入侵服務(wù)器投毒的新型勒索病毒攻擊模式，360安全衛(wèi)士增加了服務(wù)器遠(yuǎn)程登錄的保護(hù)機(jī)制，一旦發(fā)現(xiàn)可疑的遠(yuǎn)程登錄行為便會(huì)進(jìn)行攔截，以提高此類攻擊的門檻。

搶占先機(jī)制敵 在勒索病毒爆發(fā)前發(fā)布預(yù)警

2017年4月14日，“影子經(jīng)紀(jì)人（Shadow Brokers）”披露了多款利用Windows系統(tǒng)中SMB服務(wù)漏洞進(jìn)行攻擊的工具。4月17日，360就對(duì)其中重要的“永恒之藍(lán)（EternalBlue）”漏洞利用工具進(jìn)行了詳盡的技術(shù)分析。不久后，360監(jiān)控到網(wǎng)絡(luò)上出現(xiàn)了利用該工具進(jìn)行漏洞傳播的勒索病毒。

類似的情況還有很多，除WannaCry外，其他勒索病毒也常常借助已知漏洞發(fā)動(dòng)攻擊。在漏洞防護(hù)方面，360則始終保持著自身的高度敏感性：被勒索病毒利用的漏洞CVE-2017-11826、CVE-2018-0802、CVE-2017-8759、CVE-2017-10271、CVE-2017-11882、CVE-2018-4878均在被勒索病毒利用前，360優(yōu)先發(fā)布技術(shù)預(yù)警。

除了對(duì)漏洞的高度敏感，360還針對(duì)勒索病毒提出了一系列針對(duì)性的防御技術(shù)，包括高度自動(dòng)化的海量數(shù)據(jù)云主動(dòng)防御，監(jiān)測(cè)文檔加密行為的格式識(shí)別防御，利用深度學(xué)習(xí)的通殺免疫防護(hù)，針對(duì)高級(jí)漏洞利用攻擊的入侵鏈阻斷防護(hù)，以及針對(duì)近百種勒索病毒的深度分析與恢復(fù)技術(shù)，全方位“狙擊”勒索病毒及變種。

大安全時(shí)代來(lái)臨，沒(méi)有攻不破的網(wǎng)絡(luò)。勒索病毒變種迅速的特征決定了正邪之間的較量不會(huì)畢其功于一役。因此，360建議個(gè)人用戶提升安全防范意識(shí)，養(yǎng)成及時(shí)安裝系統(tǒng)補(bǔ)丁和防護(hù)軟件的好習(xí)慣。對(duì)于企業(yè)用戶來(lái)說(shuō)，則應(yīng)加強(qiáng)IT運(yùn)維人員的培訓(xùn)，制定完備的網(wǎng)絡(luò)安全規(guī)范，避免勒索病毒造成不必要的損失。