360安全：2018年勒索病毒疫情分析报告(32页).pdf

1、 2018 年 勒索病毒疫情分析报告 2019 年 2 月 摘 要 全年受到攻击的计算机数量超过 430.0 万台（排除 WannaCry 及海外数据） 。2 月的攻击 量最低，11 月和 12 月则有较为明显的升高，总体上全年攻击量波动较为平稳。 2018 年全年，360 反勒索服务平台一共接收并处理了超过 2000 位遭受勒索病毒软件攻 击的受害者求助，同时，通过人工通道协助超过 200 名用户完成文件解密。 2018 年活跃的勒索病毒家族以 GandCrab、GlobeImposter、Crysis 为主。仅针对这三个 家族的反勒索申诉案例就占到了所有案例的 80.2%。 勒索病毒所攻击

2、的地区以信息产业发达和人口密集地区为主， 全年受到攻击最多的省份 前三为：广东、江苏、浙江。 被勒索病毒感染的系统中 Windows 7 系统占比最高，占到总量的 51.1%.而在个人系统 与服务器系统的对比中， 虽然个人系统被感染数量占绝对多数， 但服务器系统的感染量 也已到了不可忽视的地步。 据统计，在 2018 年中，受到勒索病毒攻击最大的行业前三分别为： 教育、餐饮&零售、 制造业，占比分别为 15.4%、14.4%、12.6% 根据反勒索服务的反馈数据统计， 受感染计算机的使用者多为 80 后和 90 后， 分别占到 总数的 51.0%和 32.5%。男性受害者占到了 93.1%，女

3、性受害者则仅为 6.9%。 2018 年，勒索病毒逐步放弃了对 C&C 服务器的使用。而根据入侵服务器的来源 IP 归 属地分析，来自美国的入侵最多，达到 22.5%。其后是俄罗斯，占到了 20.6%。 黑客入侵服务器的时段相对比较平均， 但23时至次日3时这一时间段略多于其他时段， 主要是由于该时段大多服务器处于无人值守状态，入侵成功率高。而全年中，5 月、6 月、9 月出现过三次入侵小高峰。 由于勒索病毒的主要目标转变为对服务器系统的攻击， 其传播方式也转变为以弱口令攻 击为主，此外还存在 U 盘蠕虫、软件供应链攻击、漏洞攻击等方式帮助勒索病毒进行 传播。 勒索病毒的技术在 2018 年有

4、了明显的变化和发展，其主要体现在更紧密的与漏洞利用 相结合、使用了更广泛的传播手段、出现了更多样的勒索形式。 预计在 2019 年，勒索病毒的攻击目标将进一步扩大化，各种版本的操作系统，服务和 应用都将成为勒索病毒攻击的目标。未来包括工控设备、各类嵌入式设备、IOT 设备在 内的各种智能设备面临勒索病毒攻击的风险也都将大大增加。 同时， 勒索病毒的攻击目 标也将更具多样化，针对特定个人、企业、行业的勒索病毒将更加广泛。 目 录 第一章 勒索病毒全年攻击形势 . 1 一、 勒索病毒总体攻击态势 . 1 二、 反勒索服务处理情况 . 2 三、 勒索病毒家族分布 . 3 四、 传播方式 . 4 第二

5、章 勒索病毒受害者分析 . 5 一、 受害者所在地域分布 . 5 二、 受攻击系统分布 . 6 三、 受害者所属行业分布 . 7 四、 受害者年龄层分布 . 8 五、 受害者性别分布 . 8 第三章 勒索病毒攻击者分析 . 10 一、 攻击者来源地域分布 . 10 (一) C&C 服务器分布 . 10 (二) 入侵 IP 分布 . 10 二、 黑客登录受害计算机时间分布 . 11 三、 攻击手段 . 12 （一） 弱口令攻击 . 12 （二） U 盘蠕虫 . 12 （三） 软件供应链攻击 . 13 （四） 系统/软件漏洞攻击 . 13 （五） “无文件”攻击 . 16 （六） RaaS . 1

6、6 第四章 未来趋势分析 . 17 一、 勒索病毒技术发展 . 17 (一) 紧跟漏洞发展趋势 . 17 (二) 更广泛的传播手段 . 17 (三) 更多样化的勒索形式 . 18 二、 攻击面、攻击目标与“黑灰色产业”发展 . 18 第五章 安全建议 . 20 一、 针对个人用户的安全建议 . 20 (一) 养成良好的安全习惯 . 20 (二) 减少危险的上网操作 . 20 (三) 采取及时的补救措施 . 20 二、 针对企业用户的安全建议 . 20 附录 1 2018 年勒索病毒大事件 . 22 一、 GANDCRAB被两度破解 . 22 二、 勒索病毒导致某省级儿童医院系统瘫痪 . 22