勒索病毒已發展成為威脅網絡安全的重大毒瘤，嚴重威脅著企業和個人用戶的文檔和數據安全。過去一年，騰訊安全通過精研勒索病毒防御技術和對黑產的深入調查探訪了解到，勒索病毒攻擊方式不斷升級，并呈現出組織團伙化、產業鏈條化特征。

WannaCry仍在活躍 勒索病毒攻擊呈現新趨勢

騰訊御見威脅情報中心監控顯示，在過去的一年，經過安全廠商的圍剿堵截，WannaCry勒索病毒攻擊在短時間內急速下降后已趨平穩，但并未徹底消失。直到今天，由于病毒變種不斷出現，WannaCry依然在持續傳播。

與以往勒索病毒主攻北上廣深地區不同，近期受WannaCry影響最為嚴重的地區為廣西和浙江，其次是江蘇和湖北。經歷WannaCry爆發初期，國內安全產商不斷精研安全能力，全民防御意識有所提升，導致WannaCry變種在后續的攻擊中逐漸將目標轉向防御能力相對偏弱的地區。

（圖：近期WannaCry勒索病毒在國內的攻擊地域分布）

從WannaCry近期攻擊行業分布上看，學校、傳統工業、政府機構為主要目標群體，其中學校被攻擊的比例更是占到35%。或由于此類機構長期依賴互聯網提供的基礎設施服務，但相對缺少專業安全運維服務，導致整體安全防御能力薄弱，極易被病毒入侵。

（圖：近期WannaCry勒索病毒攻擊行業分布）

不單單是WannaCry，進入2018年以來，越來越多的勒索病毒開始將攻擊目標轉向企業服務器。由于企業用戶數據價值一般情況下遠高于個人用戶，一旦數據被加密會更傾向于繳納贖金。于是，勒索病毒的攻擊方式從最初的廣撒網逐漸轉變為向高價值目標發起定向攻擊。

勒索病毒產業鏈條化 解密公司竟成勒索中間代理

伴隨勒索病毒攻擊方式進一步升級，勒索病毒在經歷單打獨斗的發展時期后，已呈現出組織團伙化、產業鏈條化的特征。

騰訊御見威脅情報中心分析發現，一次完整的勒索病毒攻擊流程涉及勒索病毒作者、勒索者、傳播渠道商、代理、受害者5個角色，從業人員之間的分工十分明確。勒索病毒作者負責勒索病毒編寫制作，對抗安全軟件；勒索者定制專屬病毒，并聯系傳播渠道商進行投放；代理向受害者假稱自己能夠解密各勒索病毒加密的文件，實則與勒索者合作，共同賺取受害者的贖金。

（圖：勒索病毒黑產流程圖）

更讓人意想不到的是，網絡上可搜索到的可支持勒索病毒解密的公司，竟然也是參與勒索病毒黑色產業鏈的中間代理。

在網絡上搜索勒索病毒解密相關信息時可以發現，網絡上出現了許多提供“勒索病毒解密服務”的公司，排名靠前的大部分顯示為搜索引擎廣告。這類企業聲稱支持各種勒索病毒家族的解密，其中包括流行的Locky、Cerber、Crysis、GlobeImposter、GandCrab家族等。

（圖：網絡上搜索的勒索病毒解密服務）

據騰訊安全技術專家介紹，除非勒索病毒存在邏輯漏洞，或者這些企業擁有解密密鑰，否則以正常的算力方法去解密的可能性微乎及微。然而，深圳某公司在服務器中招之后聯系解密公司求助，解密公司居然憑借極少的信息就給出了內網IP以及對應的解密密鑰，不禁讓人懷疑其與該病毒的勒索者有所關聯。技術人員假意表達想做中間代理而聯系勒索者，很快便得到了相應回復。

探訪結果證明，這類解密公司實際上就是勒索者的代理，利用國內用戶不方便購買勒索者要求的數字貨幣贖金，以相對便宜的價格吸引受害者達成交易。根據某解密公司官網上公開的記錄，一家解密公司靠做勒索中間代理一個月收入高達300萬人民幣。

對抗勒索病毒重在防御 騰訊“御”系列打造企業網絡安全閉環

為防御勒索病毒攻擊威脅，騰訊安全根據目前企業易遭受的安全威脅類型，推出“御”系列產品解決方案，整合騰訊安全安全技術能力及大數據資源，針對事前、事中、事后提供包括感知、檢測、攔截、溯源在內的全套威脅應對機制，幫助企業有效抵御網絡攻擊。

4月16日，國內某醫院的服務器遭受到了最新變種勒索病毒GlobeImposter的攻擊，醫院的服務器系統遭到入侵，導致部分文件和應用被病毒加密破壞。接到求助后，騰訊企業安全火速響應，通過針對感染情況的緊急分析和技術流操作，迅速鎖定病源，保障了內網應用的安全運行。騰訊企業安全“御點”終端安全管理系統，將百億量級云查殺病毒庫、引擎庫以及騰訊TAV殺毒引擎、系統修復引擎應用到醫療企業內部，有效防御醫療企業內網終端的病毒木馬攻擊。

騰訊御界防APT郵件網關系統依托哈勃分析系統的核心技術，結合大數據與深度學習，能夠迅速識別APT攻擊郵件、釣魚郵件、病毒木馬附件等；騰訊御見智能態勢感知平臺，通過對企業全面的基礎網絡信息進行集中采集、存儲和持續深層分析，能夠為企業用戶構建自適應安全體系，彈性應對來自外部和內部的各種威脅，實現企業全網安全態勢可知、可見、可控的閉環。

對于普通個人用戶，騰訊電腦管家整合推出的“文檔守護者”功能，幫助用戶構建一站式文檔保護方案，可實現對包括“WannaCry”在內的430種勒索病毒樣本的免疫，還能提供對未知的勒索病毒的攔截能力，并自動備份全盤文檔，全面保證用戶文檔安全。

對抗勒索病毒仍然長路漫漫，在互聯網全面介入各個產業的當下，安全不再是單獨個人和安全產商的事，提高全民網絡安全意識，加強社會多方力量協作，疊加多元優勢，形成合力，才能構筑堅不可摧的網絡安全新防線。