2019年勒索病毒事件大盘点

勒索病毒是什么？

勒索病毒，是一种新型电脑病毒，主要以邮件、程序***、网页挂马的形式进行传播。该病毒性质恶劣、危害极大，一旦感染将给用户带来没法估量的损失。

***的样本以exe、js、wsf、vbe等类型为主，勒索病毒文件进入本地后，就会自动运行，同时删除勒索软件样本，以躲避查杀和分析。接下来，勒索病毒会利用本地的互联网访问权限链接至勒索者的C&C服务器，进而上传本机信息并下载加密私钥与公钥，文件会被以AES＋RSA4096位的算法加密。除了病毒开发者本人，其余人是几乎不可能解密的。

加密完成后，还会修改壁纸，在桌面等明显位置生成勒索提示文件，指导用户去缴纳赎金，即必须支付勒索资金，才能拿到解密的私钥，或者选择丢失文件。勒索病毒变种类型很是快，对常规的杀毒软件都具备免疫性。

据公开资料显示，全球最先的勒索病毒雏形诞生于1989年，由Joseph Popp编写，该***程序以“艾滋病信息引导盘”的形式进入系统。
 
中国大陆第一个勒索软件——Redplus勒索***(Trojan/Win32.Pluder)出如今2006年，该***会隐藏用户文档和包裹文件，而后弹出窗口要求用户将赎金汇入指定银行帐号。

2019年勒索病毒事件

2019年应该是勒索病毒针对企业***爆发的一年，这一年全球各地仿佛都在被“勒索”，天天全球各地都有不一样的政府、企业、组织机构被勒索病毒***的新闻被曝光，包括医疗信息，账户凭证，公司电子邮件和机密敏感的数据被盗。

下面咱们来盘点部分2019年全球勒索病毒事件。

3月，在挪威，全球最大铝制品生产商之一 Norsk Hydro遭遇勒索软件LockerGoga***，全球整个网络都宕机，影响全部的生产系统以及办事处运营，公司被迫关闭多条自动化生产线，震荡全球铝制品交易市场。

5月，中国某网约车平台遭勒索软件定向打击，服务器核心数据惨遭加密，***者索要巨额比特币赎金，无奈之下向公安机关报警求助。

5月，美国佛罗里达州里维埃拉，遭到勒索软件***，各项市政工做停摆几周，市政紧急会议决定支付60万美圆的赎金。

6月，全球最大飞机零件供应商ASCO，在比利时的工厂遭遇勒索病毒***，生产环境系统瘫痪，大约1000名工人停工，在德国、加拿大和美国的工厂也被迫停工。

10月，全球最大的助听器制造商Demant，遭勒索软件***，直接经济损失高达9500万美圆。

10月，全球知名航运和电子商务巨头Pitney Bowes遭受勒索软件***，***者加密公司系统数据，破坏其在线服务系统，超九成财富全球500强合做企业受波及。

10月，法国最大商业电视台M6 Group惨遭勒索软件洗劫，公司电话、电子邮件、办公及管理工具所有中断，集体被迫“罢工”。

......

2019年五大勒索病毒
1 GandCrab勒索病毒
2018年GandCrab首次出现，通过5次版本迭代，波及罗纳尼亚、巴西、印度等数十国家地区，全球累计超过150万用户受到感染。在不少人看来，GandCrab勒索病毒绝对是2019年最传奇的角色。
今年6月，GandCrab勒索软件团队高调宣布，仅一年半的时间里，团队已赚进超过20亿美金，人均年入帐1.5亿美金，因此决定中止更新这个恶意程序，风光隐退。

2 Sodinokibi勒索病毒
Sodinokibi又称REvil勒索病毒，与GandCrab有着明显的代码重叠，所以不少人推测，GandCrab的部分红员不肯收手，另起炉灶而运营的Sodinokibi。
Sodinokibi的部分变种会将受害者屏幕变成深蓝色，而且以2500-5000美金不等的赎金全球撒网，在不到半年时间，该勒索病毒已非法获利数百万美圆。

3 GlobeImposter勒索病毒
谈起2019的勒索病毒，就必需要提到GlobeImposter。该勒索病毒又称“十二生肖”病毒，由于它攻入计算机内部后，会以“十二生肖英文名+4444”的文件后缀，对文件进行加密。而GlobeImposter自2017年5月首发至今，已经历八个版本迭代，而且后缀也从“十二生肖”，变身希腊“十二主神”。
GlobeImposter病毒主要经过rdp远程桌面弱口令进行***，去年山东10市不动产系统遭到它的***，今年国内又有多家企业、医院等机构中招。

4 Stop勒索病毒

Stop勒索病毒，也被称做djvu勒索病毒，是2019年最为活跃的病毒家族之一。相比于动辄百万、千万美金的勒索软件，Stop走薄利多销的敛财路线，解密赎金须要980美圆，而且72小时联系软件做者还可享五折优惠。
该病毒主要利用***站点，经过假装成软件破解工具或捆绑在激活软件进行传播，用户中招率奇高。

5 Phobos勒索病毒
Phobos是一款很是棘手的勒索病毒，它采用RDP暴力破解+人工投放双重方式传播，而且能够轻松加密受害者PC上的每一个文件，把它们所有变成没法打开的.phobos。
Phobos病毒可能与Dharma病毒(又名CrySis)属于同一组织，而且该病毒在运行过程当中会进行自复制，和在注册表添加自启动项，若是没有把系统残留的病毒体清理干净，极可能会遭遇二次加密。

预防勒索病毒措施
一、登陆口令尽可能采用大小写字母、数字、特殊符号混用的组合方式，而且保持口令由足够的长度，同时添加限制登陆失败次数的安全策略并按期更换登陆口令。
二、多台机器不要使用相同或相似的登陆口令，以避免出现"一台沦陷，全网瘫痪"的惨状。
三、及时修补系统漏洞，同时不要忽略各类经常使用服务的安全补丁。
四、关闭非必要的服务和端口如13五、13九、44五、3389等高危端口。
五、严格控制共享文件夹权限，在须要共享数据的部分，尽量的多采起云协做的方式。
六、提升安全意识，不随意点击陌生连接、来源不明的邮件附件、陌生人经过即时通信软件发送的文件，在点击或运行前进行安全扫描，尽可能从安全可信的渠道下载和安装软件。
七、安装专业的安全防御软件并确保安全监控正常开启并运行，及时对安全软件进行更新。
八、业务数据必定要按期备份。对于重要、机密的文件数据甚至须要作容灾备份处理，到达异地数据实时备份与恢复标准。

经过观察勒索病毒***趋势，它已经从普遍而浅层的普通用户，明显转向了中大型政企机构、行业组织。有安全报告代表，自2018年6月以来，全球针对To B的勒索***增长了363%。

同时，勒索病毒变种极快，传播途径增多，解密赎金也在疯涨，这些特色致使杀毒软件升级速度没法及时跟上病毒变种速度，解密工具没法有效应对被勒索后的数据解密，对企业、政府、单位来讲，一旦感染勒索病毒，带来的影响不可估量。

针对各类预防勒索病毒措施，不难总结出，数据备份才是应对勒索病毒的最终有效手段,在发生勒索事件前按期或者实时备份重要的业务数据，在发生勒索事件后，快速恢复备份数据，拉起业务运行，无需放弃被加密数据，也无需支付勒索赎金。

云祺针对勒索病毒的的应对措施

1 有效监测勒索病毒，源头预防事件发生
自动检查文件的合法性，当文件类型被修改或文件被加密时可以及时发现，不会同步变化数据到备份服务器，从而有效防止勒索病毒再***。

2 按需灵活备份业务数据
云祺虚拟机备份与恢复系统（Vinchin Backup & Recovery）提供灵活的备份模式和时间备份策略，在勒索病毒来临前，按需设置备份任务，便可拥有有效备份数据。

3 验证备份数据可用性，保证随时可用
能在虚拟机感染勒索病毒后，将云环境中数据及应用快速恢复至可用状态，并可根据需求将备份数据快速恢复到以前的任意时间点。

4 实时备份实现RPO=0
云祺容灾备份系统（VINCHIN DR）支持实时备份，实时监控每一次 IO 变化，并经过增量方式记录变化数据，无备份时间窗口，真正实现数据零丢失，备份恢复至被勒索病毒感染的前一刻，最小备份恢复力度可达毫秒级。

5 构建异地容灾备份系统，本地异地双重保护
云祺数据解决方案可帮助用户建设异地容灾系统，异地备份系统与生产环境相互隔离，副本任务独立，且不会对主备份产成影响。即便本地业务系统因勒索病毒致使业务暂时中断，也可在异地拉起业务，实现业务接管。

在网络安全威胁事件递增、扩散、高发的现当下，不论选择怎样的方式进行预防、解决，提升网络彻底意识是第一步。没有绝对安全的互联网环境，但能够选择尽可能避免意外的发生、减小意外带来的损失，相对的安全也变得愈加难得。

关于更多预防勒索病毒的数据解决方案可拔打云祺客服热线400-9955-698，或者官网（www.vinchin.com）了解详情。