勒索病毒安全防护手册 中国信息通信研究院 2021 年 9 月 前 言 勒索病毒是一种极具传播性、破坏性的恶意软件，主要 利用多种密码算法加密用户数据，恐吓、胁迫、勒索用户高 额赎金。近期，勒索病毒攻击形势更加严峻，已经对全球能 源、金融等领域重要企业造成严重影响。由于勒索病毒加密 信息难以恢复、攻击来源难以追踪，攻击直接影响与生产生 活相关信息系统的正常运转，勒索病毒对现实世界威胁加 剧，已成为全球广泛关注的网络安全难题。 为加强勒索病毒攻击防范应对，在工业和信息化部网络 安全管理局指导下，中国信息通信研究院联合中国电信集团 有限公司、中国移动通信集团有限公司、中国联合网络通信 集团有限公司、安天科技集团股份有限公司、杭州安恒信息 技术股份有限公司、奇安信科技集团股份有限公司、绿盟科 1 技集团股份有限公司 等单位编制《勒索病毒安全防护手 册》，梳理勒索病毒主要类型、传播方式，分析勒索病毒攻击 特点，聚焦事前预防，事中应急、事后加固三个环节，研提 勒索病毒安全防护框架和实操参考，以期与公众共享，共同 防范化解攻击风险。 本手册版权属于中国信息通信研究院，并受法律保护。 1 注：编制单位按首字笔画排序，排名不分先后 目 录 一、相关背景 ........................................................................ 1 （一）勒索病毒攻击事件数量保持高位 ............................ 1 （二）勒索病毒攻击风险传导趋势明显 ............................ 1 二、勒索病毒概述 ................................................................ 2 （一）勒索病毒主要类型 .................................................... 2 （二）勒索病毒典型传播方式 ............................................ 4 三、勒索病毒攻击现状 ........................................................ 5 （一）近期勒索病毒攻击特点 ............................................ 5 （二）典型勒索病毒攻击流程 ............................................ 7 四、勒索病毒攻击安全防护举措 ........................................ 9 （一）勒索病毒攻击安全防护框架 .................................. 9 （二）勒索病毒攻击安全防护实操参考 .......................... 11 附录一 近期勒索病毒攻击事件 ........................................ 28 附录二 典型勒索病毒 ........................................................ 32 勒索病毒安全防护手册 一、相关背景 勒索病毒是一种极具破坏性、传播性的恶意软件，主要 利用多种密码算法加密用户数据，恐吓、胁迫、勒索用户高 额赎金。近期，勒索病毒攻击事件频发，一系列攻击严重影 响金融、能源、交通等领域服务于生产生活的信息系统正常 运转，勒索病毒对现实世界威胁加剧。 （一）勒索病毒攻击事件数量持续走高 2021 年上半年，国际方面，统计全球公开披露的勒索病 毒攻击事件 1200 余起，与 2020 年全年披露的勒索病毒攻击 事件数量基本持平；国内方面，国家工业互联网安全态势感 知与风险预警平台监测发现勒索病毒恶意域名的访问量 5.05 万次，同比增长超过 10 倍，其中，近一年来，勒索病 毒恶意域名访问量如图 1.1 所示。 图 1.1 近一年勒索病毒恶意域名访问量 （二）勒索病毒攻击风险传导趋势明显 1 勒索病毒安全防护手册 近期，全球医疗、教育、金融、科技等重点行业企业相 继遭受勒索病毒攻击，引发企业业务停滞、工厂停产等严重 后果，如对英国北方铁路公司自助售票系统的攻击导致企业 售票网络瘫痪、对巴西肉类加工巨头 JBS 的攻击导致企业在 澳全部肉类加工厂停运等。2021 年上半年影响生产生活的典 型勒索病毒攻击事件如图 1.2 所示。 图 1.2 2021 年上半年影响生产生活的典型勒索病毒攻击事件 二、勒索病毒概述 典型勒索病毒包括文件加密、数据窃取、磁盘加密等类 型，攻击者主要通过钓鱼邮件、网页挂马等形式传播勒索病 毒，或利用漏洞、远程桌面入侵等发起攻击，植入勒索病毒 并实施勒索行为。 （一）勒索病毒主要类型 1.文件加密类勒索病毒。该类勒索病毒以 RS A、AES 等多 种加密算法对用户文件进行加密，并以此索要赎金，一旦感 染，极难恢复文件。该类勒索病毒以 WannaCry 为代表，自 2017 年全球大规模爆发以来，其通过加密算法加密文件，并 2 勒索病毒安全防护手册 利用暗网通信回传解密密钥、要求支付加密货币赎金等隐蔽 真实身份的勒索病毒攻击模式引起攻击者的广泛模仿，文件 加密类已经成为当前勒索病毒的主要类型。 2.数据窃取类勒索病毒。该类勒索病毒与文件加密类勒 索病毒类似，通常采用多种加密算法加密用户数据，一旦感 染，同样极难进行数据恢复，但在勒索环节，攻击者通过甄 别和窃取用户重要数据，以公开重要数据胁迫用户支付勒索赎 金。据统计，截至 2021 年 5 月，疑似 Conti 勒索病毒已经攻 击并感染全球政府部门、重点企业等 300 余家单位，窃取并 公开大量数据。 3.系统加密类勒索病毒。该类勒索病毒同样通过各类加 密算法对系统磁盘主引导记录、卷引导记录等进行加密，阻 止用户访问磁盘，影响用户设备的正常启动和使用，并向用户勒 索赎金，甚至对全部磁盘数据进行加密，一旦感染，同样难以 进行数据恢复。例如，2016 年首次发现的 Petya 勒索病毒，对 攻击对象全部数据进行加密的同时，以病毒内嵌的主引导记 录代码覆盖磁盘扇区，直接导致设备无法正常启动。 4.屏幕锁定类勒索病毒。该类勒索病毒对用户设备屏幕 进行锁定，通常以全屏形式呈现涵盖勒索信息的图像，导 致用户无法登录和使用设备，或伪装成系统出现蓝屏错误等， 进而勒索赎金，但该类勒索病毒未对用户数据进行加密，具备 数据恢复的可能。例如，WinLock 勒索病毒通过禁用 Windows 系 3 勒索病毒安全防护手册 统关键组件，锁定用户设备屏幕，要求用户通过短信付费的 方式支付勒索赎金。 （二）勒索病毒典型传播方式 1.利用安全漏洞传播。攻击者利用弱口令、远程代码执 行等网络产品安全漏洞，攻击入侵用户内部网络，获取管理 员权限，进而主动传播勒索病毒。目前，攻击者通常利用已 公开且已发布补丁的漏洞，通过扫描发现未及时修补漏洞的 设备，利用漏洞攻击入侵并部署勒索病毒，实施勒索行为。 2.利用钓鱼邮件传播。攻击者将勒索病毒内嵌至钓鱼邮 件的文档、图片等附件中，或将勒索病毒恶意链接写入钓鱼 邮件正文中，通过网络钓鱼攻击传播勒索病毒。一旦用户打 开邮件附件，或点击恶意链接，勒索病毒将自动加载、安装 和运行，实现实施勒索病毒攻击的目的。 3.利用网站挂马传播。攻击者通过网络攻击网站，以在 网站植入恶意代码的方式挂马，或通过主动搭建包含恶意代 码的网站，诱导用户访问网站并触发恶意代码，劫持用户当 前访问页面至勒索病毒下载链接并执行，进而向用户设备植 入勒索病毒。 4.利用移动介质传播。攻击者通过隐藏 U 盘、移动硬盘 等移动存储介质原有文件，创建与移动存储介质盘符、图标 等相同的快捷方式，一旦用户点击，自动运行勒索病毒，或 运行专门用于收集和回传设备信息的木马程序，便于未来实 4 勒索病毒安全防护手册 施针对性的勒索病毒攻击行为。 5.利用软件供应链传播。攻击者利用软件供应商与软件 用户间的信任关系，通过攻击入侵软件供应商相关服务器设 备，利用软件供应链分发、更新等机制，在合法软件正常传 播、升级等过程中，对合法软件进行劫持或篡改，规避用户 网络安全防护机制，传播勒索病毒。 6.利用远程桌面入侵传播。攻击者通常利用弱口令、暴 力破解等方式获取攻击目标服务器远程登录用户名和密 码，进而通过远程桌面协议登录服务器并植入勒索病毒。同 时，攻击者一旦成功登录服务器，获得服务器控制权限，可 以服务器为攻击跳板，在用户内部网络进一步传播勒索病毒。 三、勒索病毒攻击现状 结合近期攻击事件，勒索病毒攻击主要在攻击目标、攻 击手段等方面呈现新特点，同时攻击者开始构建精准复杂的 攻击链，发起勒索病毒攻击。 （一）近期勒索病毒攻击特点 1.瞄准行业重要信息系统，定向实施勒索病毒攻击。攻击 者瞄准能源、医疗等承载重要数据资源的行业信息系统作为 勒索病毒攻击“高价值”目标，摒弃传统利用钓鱼邮件、网页 挂马等“广散网”无特定目标的勒索病毒传播模式，向涵盖 探测侦察、攻击入侵、病毒植入等的精准化勒索病毒攻击链 转变，如嗅探网络发现攻击入口、利用漏洞攻击入侵等，针 5 勒索病毒安全防护手册 对行业重要信息系统发起定向攻击，植入勒索病毒并勒索超 高额赎金。 2.佯装勒索病毒攻击，掩盖真实网络攻击意图。攻击者 通过甄别重点攻击目标，假装加密数据文件并实施勒索，利 用勒索病毒遍历系统文件、覆盖系统引导目录，以及类后门 木马的功能，佯装实施勒索病毒攻击，隐藏其窃取敏感信息、破 坏信息系统等的真实攻击意图。据披露，在 Agrius、Pay2Key 等黑客组织的攻击活动中，被认为假装加密数据并勒索赎 金，掩盖其直接破坏信息系统的攻击行为。 3.针对工控系统专门开发勒索病毒，工业企业面临攻击 风险加剧。攻击者通过集成工控系统软硬件漏洞，或内嵌强 制中止实时监控、数据采集等工业领域常用系统的恶意 功能，开发和升级形成 Cring、EKANS 等具备专门感染工控 系统能力的勒索病毒，针对工业企业实施攻击，引发企业 生产线、业务线停工停产的严重影响。此外，通过攻击入侵 投递和植入 REvil、DarkSide 等典型勒索病毒，同样存在利 用勒索病毒攻击工业企业的可能。 4.漏洞利用仍是攻击主要手段，引发勒索病毒传播一点 突破、全面扩散。攻击者主要利用已公布漏洞，通过漏洞扫 描、端口扫描等方式主动发现未及时修补漏洞的设备，利用 漏洞“一点突破”网络安全防线，实施远程攻击入侵，并在 攻击目标内部网络横向移动，扩大勒索病毒感染范围，实施