声明

本文是学习2018勒索病毒白皮书政企篇. 而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们

政企遭遇勒索攻击分析

由于感染政企客户更有可能获得赎金，再加上勒索病毒本身也以服务器定向攻击为主，所以，2018年政企客户被勒索病毒攻击的势头尤其凶猛，各行各业都遭到了无差别攻击。

攻击力度

本节数据来自奇安信企业安全公有云安全监测数据（只包括国内且不含WannaCry数据），以每日被攻击终端为基本研究单位，本地已经可以查杀的勒索病毒不在统计之列。

摘要：勒索病毒对政企单位的攻击以单点试探为主，79.8%仅尝试攻击一台终端。

在政企单位所遭遇的勒索病毒攻击事件中，单日单次攻击事件仅针对一台终端的比例占到攻击事件总量的79.8%，仅有0.6%的攻击事件针对的终端总数超过50台。

摘要：政府行业的单位最容易遭到勒索病毒攻击，占被攻击单位总数的21.0%。

在遭遇勒索病毒攻击的政企单位中，政府单位的数量最多，占到被攻击单位总数的21.0%；其次是卫生、能源单位，占比分别为12.1%、8.8%。

摘要：金融行业的终端最容易遭到勒索病毒攻击，占被攻击终端总数的31.8%。

在遭遇勒索病毒攻击的政企终端中，金融行业终端最多，占到总攻击终端数量的31.8%；其次是政府、能源终端，占比分别为10.4%、9.0%。

感染分析

本节数据来自奇安信终端安全实验室接到的政企单位感染勒索病毒后的应急响应请求。总体政企用户感染范围达到历史新高，可以说是前所未有的影响。

摘要：5月是政企单位感染勒索病毒的最高峰，其数值是最低谷时的5.3倍。

2018年，政企单位感染勒索病毒的最高峰出现在5月，最低谷出现在2月，最高峰月份感染勒索病毒的单位数量是最低谷时的5.3倍。

摘要：政府单位是感染勒索病毒的重灾区，数量是被感染政企单位总数的24.1%。

在被勒索病毒感染的政企单位中，政府单位的占比最高，占到被感染政企单位总数的24.1%；其次是卫生、公检法单位，占比分别是14.9%、7.2%。

摘要：GlobeImposter最难防范，34.0%受害政企单位感染了该勒索病毒。

在感染勒索病毒的政企单位中，34.0%感染了GlobeImposter，22.0%感染了GandCrab，17.6%感染了Crysis，10.1%感染了Satan，仍然有7.5%单位感染WannaCry。

摘要：四大勒索病毒都爱感染政府行业，WannaCry的感染则相对平均。

GlobeImposter感染最多的是政府单位，占感染政企单位总数的29.6%；其次是卫生行业，占比为16.7%；GandCrab感染最多的是政府单位，占感染政企单位总数的28.6%；其次是公检法行业，占比为11.4%；Crysis感染最多的是政府单位，占感染政企单位总数的25.0%；其次是卫生行业，占比为21.4%；Satan感染最多的是政府单位，占感染政企单位总数的25.0%；其次是卫生行业，占比为18.8%；而WannaCry的感染则相对平均。

勒索病毒发展趋势预测

2018年勒索病毒攻击产生的影响和危害达到新的高度，特别是针对服务器的攻击，给广大政企用户带来了前所未有的影响。奇安信终端安全实验室预计，2019年勒索病毒威胁仍将在病毒威胁排行榜上执牛耳领跑众毒。

以下是从不同的侧面对未来勒索病毒发展趋势的预测分析。

紧跟漏洞发展步伐

2018年除了Satan利用众多Web应用漏洞进行传播外，最有技术进取心的就要数GandCrab了，比如GandCrab在V5版本先后加入了对CVE-2018-8120、CVE-2018-8440、CVE-2018-0896等漏洞的利用技术。

更多的传播方式

2018年除了常规模式外，新出现了利用U盘蠕虫传播勒索病毒的手段，此外利用软件供应链传播也在本年得以实现，使得短时间内大量用户遭受攻击。我们预计2019年勒索病毒传播方式将继续扩展。

攻击面和目标扩大化

2016年出现的RushQL Oracle数据库勒索病毒在2018年得以死灰复燃，此种病毒和其他勒索病毒最大的不同点在于它只破坏数据库的结构，而不是加密磁盘文件，这属于典型的数据库攻击。我们预计2019年勒索病毒攻击目标将继续扩大，包括各种操作系统、应用程序都将成为勒索病毒攻击的目标。

被攻击的设备种类不断扩大

以往勒索病毒主要攻击PC和服务器以及部分移动设备，未来包括工控设备、嵌入式设备、IoT设备等都可能面临勒索病毒攻击的风险。

延伸阅读

更多内容 可以 2018勒索病毒白皮书政企篇. 进一步学习

联系我们

DB44-T 1968-2017 桉树优树选择与优良无性系选育技术规程 广东省.pdf