中關村在線新聞資訊】9月15日消息：“勒索病毒”這個名字現在已經讓人又恨又怕，但是它還是又殺回來了。不過這一次的“勒索病毒”和上一次不一樣，應該也不是同一群人做的。

據悉，近日一種新的病毒在網上流傳，它會將你的電腦變成“您的計算機已被禁用”的狀態，鎖住你的電腦。

但為了敲詐，該病毒會在鎖屏界面向受害者索取50比特幣的系統解鎖費用，否則就揚言所有信息，并讓這臺計算機無法再工作。

勒索病毒

事實上這并非該病毒首次作案了，在去年就出現過，但是當時有安全人員找到了免費解鎖系統的漏洞，讓這病毒沒有敲詐到多少錢。這一次目前還沒有找到解決的方法。

對此安全專家表示，這段時間請不要登陸可疑的網站，下載可疑的文件，同時安裝一個具有主動防御功能的安全軟件。

最近幾天，大大小小的企業都陸續公布了自家的放假通知，這也就意味著2019年即將結束。

在今年的最后一個月，卡巴斯基實驗室回顧了勒索病毒在過去三年的發展趨勢，并再次提醒大家，這種網絡威脅絕不容忽視。

總的來說，在每半年時間里，就有約90萬到120萬用戶受到勒索病毒攻擊。

2019年，我們見證了大量新型勒索病毒的誕生。盡管它們形形色色，但有一點是相同的——加密用戶數據，要求支付贖金！

攻擊者大致可分為兩類：一是勒索病毒的開發者；二是勒索病毒即服務（Ransomware-as-a-Service，RaaS）的購買者。

就受害者而言，政府機構，尤其是市政部門，成為了2019年勒索病毒的最主要受害者。

根據卡巴斯基實驗室的統計，在2019年至少有174個市政部門受到了勒索病毒的攻擊，被勒索贖金從5000美元到500萬美元不等。

三大勒索病毒

Ryuk

Ryuk于2018年下半年首次出現，并在整個2019年都處于積極傳播和持續更新的狀態，而攻擊目標則主要是大型組織和政府機構。

Ryuk背后的攻擊者采用的是多階段傳播策略：初始階段涉及到通過Emotet僵尸網絡感染大量計算機，這通常是通過攜帶惡意宏的垃圾電子郵件附件來實現的，宏執行后將自動下載Emotet。

在第二階段，Emotet將收到來自C2服務器的命令，以下載并安裝Trickbot。

如果攻擊者發現他們進入的是一個大型組織的系統（如市政部門），則會進行第三階段，即安裝Ryuk。

Purga

Purga，也被稱為Globe、Amnesia或Scarab，于2016年年中首次被發現，且至今仍處于持續更新中。除市政部門外，Purga也被用于攻擊其他政府機構、大型公司，甚至是普通用戶。

Purga背后的攻擊者使用了多種感染媒介，其中主要是垃圾電子郵件和RDP暴力攻擊。

最常見的攻擊場景如下：

• 1、攻擊者掃描網絡，以查找開放的RDP端口；
• 2、攻擊者嘗試暴力破解憑證，以登錄目標計算機；
• 3、成功登錄后，攻擊者會嘗試利用各種漏洞提升權限；
• 4、攻擊者啟動勒索病毒。

在每加密一個文件之后，Purga都會重命名文件，最常用的命名方案有兩個：

1.[原始文件名].[原始擴展名].[新擴展名]

2. [加密文件名].[新擴展名]

Stop

Stop，也被稱為Djvu STOP，于2018年底首次被發現。

卡巴斯基實驗室統計數據顯示，Stop在2019年攻擊了全球2萬多名用戶，在最常見的勒索病毒榜單中排名第七。

Stop主要借助盜版軟件進行傳播，在加密文件時首先會使用隨機生成的Salsa20密鑰，然后使用公共RSA密鑰。

結論和建議

2019年，是市政部門遭受勒索病毒攻擊最頻繁的一年，這種趨勢在2020年很可能仍將持續下去，原因有三：

• 首先，市政部門的網絡安全預算通常更側重于保險和應急響應，而不是主動防御措施；
• 其次，市政部門通常由多個職能機構組成，一旦攻破其中一個系統，可能就足以讓所有的業務陷入癱瘓；
• 最后，存儲在市政系統中的數據對于整個城市的公共服務正常運行至關重要，因此支付贖金的可能性相對要大。

卡巴斯基實驗室提醒，想要防止勒索病毒的感染其實并不困難：

• 首先，定期進行系統和軟件更新，并及時安裝廠商發布的補丁；
• 其次，通過VPN保護對公司網絡的遠程訪問，并為域帳戶使用安全密碼；
• 再次，備份重要數據并對員工進行網絡安全培訓；
• 最后，選擇一家可靠的網絡安全公司，借助專業力量保護重要數據免受勒索病毒的侵害。