360互聯網安全中心：2019上半年勒索病毒疫情分析報告(31頁).pdf

《360互聯網安全中心：2019上半年勒索病毒疫情分析報告(31頁).pdf》由會員分享，可在線閱讀，更多相關《360互聯網安全中心：2019上半年勒索病毒疫情分析報告(31頁).pdf（31頁珍藏版）》請在三個皮匠報告上搜索。

1、 2019 年上半年 勒索病毒疫情分析報告 核心安全反病毒部 2019 年 7 月 摘 要 上半年，國內受勒索病毒攻擊的計算機數量超過 225.6 萬臺（排除 WannaCry 數據） 。2 月的攻擊量最高，較為反常，4、5、6 三個月的攻擊量則逐步平穩降低，總體攻擊量仍 然較高。 2019 年上半年，360 反勒索服務平臺一共接收并處理了超過 1500 例遭勒索病毒攻擊求 助。 2019 年上半年，活躍的勒索病毒家族以 GandCrab、GlobeImposter、Crysis 為主。僅針 對這三個家族的反勒索申訴案例就占到了所有案例的 74.1%。 勒索病毒所攻擊的地區以數字經濟發達和人口

2、密集地區為主， 全年受到攻擊最多的省市 前三為：廣東、浙江、北京。 被勒索病毒感染的系統中 Windows 7 系統占比最高， 占到總量的 46.7%。 在系統分類中， 服務器系統占比進一步提高，占到總量的 25.1%。 據統計，在 2019 年上半年，受到勒索病毒攻擊最大的行業前三分別為：批發零售、制 造業、教育，占比分別為 15.4%、14.4%、12.6%。 根據反勒索服務的反饋數據統計， 受感染計算機的使用者多為 80 后和 90 后， 分別占到 總數的 56.6%和 23.7%。男性受害者占到了 89.8%，女性受害者則僅為 10.2%。 根據反勒索服務的反饋數據統計，97.7%的受

3、害者在遭到勒索病毒攻擊后，選擇不向黑 客支付贖金。 2019 年上半年，勒索病毒進一步加強對服務器系統的攻勢。弱口令攻擊依然是勒索病 毒進入受害機器的主要手段。此外，釣魚郵件、漏洞入侵、網站掛馬、利用破解或激活 工具傳播也是勒索病毒傳播的常見手段。 2019 年上半年，勒索病毒形勢更加嚴峻，技術攻防更加激烈，而對勒索病毒相關的服 務也提出了更高的要求，標準化、專業化會是未來的一個趨勢。 預計 2019 年下半年，勒索病毒的制作與攻防解密相關產業會有進一步的發展。而與之 對應的打擊力度，也勢必會增加。 目 錄 第一章 勒索病毒上半年攻擊形勢 . 1 一、 勒索病毒總體攻擊態勢 . 1 二、 反勒

4、索服務處理情況 . 1 三、 勒索病毒家族分布 . 3 四、 傳播方式 . 3 第二章 勒索病毒受害者分析 . 5 一、 受害者所在地域分布 . 5 二、 受攻擊系統分布 . 6 三、 受害者所屬行業分布 . 7 四、 受害者年齡層分布 . 8 五、 受害者性別分布 . 8 六、 受害者贖金支付情況 . 9 第三章 勒索病毒攻擊者分析 . 10 一、 黑客登錄受害計算機時間分布 . 10 二、 攻擊手段 . 11 （一） 弱口令攻擊 . 11 （二） 釣魚郵件 . 12 （三） 利用系統與軟件漏洞攻擊 . 12 （四） 網站掛馬攻擊 . 13 （五） 破解軟件與激活工具 . 14 第四章 勒索

5、病毒發展趨勢分析 . 15 一、 勒索病毒攻防技術發展 . 15 (一) 攻防進一步加劇 . 15 (二) 勒索病毒防護技術發展 . 15 (三) 勒索病毒處置服務更趨專業化 . 16 二、 勒索病毒相關產業發展 . 16 (一) 病毒制作傳播與解密相關產業 . 16 (二) 針對勒索病毒相關的犯罪打擊 . 16 第五章 安全建議 . 18 一、 針對個人用戶的安全建議 . 18 (一) 養成良好的安全習慣 . 18 (二) 減少危險的上網操作 . 18 (三) 采取及時的補救措施 . 18 二、 針對企業用戶的安全建議 . 18 附錄 1 2019 年上半年勒索病毒大事件 . 20 一、 G

6、ANDCRAB金盆洗手 . 20 二、 GLOBEIMPOSTER繼續蔓延 . 20 三、 美國城市遭勒索病毒攻擊，政府已交贖金 . 20 四、 易到用車遭勒索病毒攻擊 . 21 附錄 2 360 安全衛士反勒索防護能力 . 22 一、 弱口令防護能力 . 22 二、 漏洞防護防護能力 . 22 三、 掛馬網站防護能力 . 24 四、 釣魚郵件附件防護 . 24 附錄 3 360 解密大師 . 25 附錄 4 360 勒索病毒搜索引擎 . 26 1 第一章 勒索病毒上半年攻擊形勢 2019 年上半年， 360 互聯網安全中心監測到大量針對普通網民和政企部門的勒索病毒攻 擊。 根據 360 安全

7、大腦統計， 2019 年上半年共監控到受勒索病毒攻擊的計算機 225.6 萬臺， 處理反勒索申訴案件超過 1500 例。從攻擊情況和威脅程度上看，勒索病毒攻擊依然是當前 國內計算機面臨的最大安全威脅之一。在企業安全層面，勒索病毒威脅也已深入人心，成為 企業最為擔憂的安全問題。本章將針對 2019 年上半年，360 互聯網安全中心監測到的勒索 病毒相關數據進行分析。 一、 勒索病毒總體攻擊態勢 2019 年上半年， 360 互聯網安全中心共監測到受勒索病毒攻擊的計算機 225.6 萬臺， 平 均每天有約 1.2 萬臺國內計算機遭受勒索病毒的攻擊。該攻擊量較 2018 年同期相比有小幅 上升，總體

8、態勢依然嚴峻。 下圖給出了勒索病毒在 2019 年上半年受攻擊的用戶數情況。從圖中可見，2 月并沒有 因為天數少且有春節長假出現往年的攻擊量降低的情況，而是逆勢上漲，達到了 42.7 萬臺 的攻擊量。出現這一反?，F象的主要原因是因為 2 月底，GandCrab 勒索病毒家族出現了一 次較大規模的掛馬攻擊，導致總體攻擊量不降反升。 總體而言， 2019 年上半年勒索病毒的攻擊態勢相對比較嚴峻。 2 月的數據逆勢上漲更是 讓上半年的總共計量明顯高于去年同期。但隨著那一次掛馬攻擊的完結和 GandCrab 勒索病 毒家族也宣布不再更新，4 月、5 月、6 月三個月的攻擊量也有較為明顯的回落。 二、

9、反勒索服務處理情況 2019 年上半年，360 反勒索服務平臺一共接收并處理了 1600 位遭受勒索病毒軟件攻擊 2 的受害者求助，其中 1500 多位經核實確認為遭到了勒索病毒的攻擊。結合 360 安全衛士論 壇反饋，反勒索服務上半年幫助超過 300 多位用戶完成文件解密。 下圖給出了在 2019 年上半年，每月通過 360 安全衛士反勒索服務，提交申請并確認感 染勒索病毒的有效申訴量情況。 其峰值出現3月， 共計確認173位用戶被確認感染勒索病毒， 6 月份共計確認 97 個用戶中勒索病毒,出現全年勒索病毒反饋低峰。 2019 年 1 月至 3 月期間，勒索病毒感染量漲幅較大，主要是受到

10、GandCrab、Paradise 以及 GlobeImposter 三個勒索病毒家族的影響。在 2 月到 3 月期間，由于 GandCrab 和 Paradise 勒索家族使用 Fallout Exploit Kit 漏洞利用進行掛馬攻擊導致不少用戶中招。從而 使得在 1 月到 3 月期間勒索病毒反饋量一直處在上升趨勢。 3 三、 勒索病毒家族分布 下圖給出的是根據 360 反勒索服務數據，所計算出的 2019 年上半年勒索病毒家族流行 度占比分布圖，PC 端 Windows 系統下 GandCrab、GlobeImposter、Crysis 這三大勒索病毒 家族的受害者占比最多，合計占到了

11、 74.1%。和 2018 年流行勒索病毒主要針對企業進行攻 擊相比，2019 年上半年中，GandCrab、Paradise、Stop 三個家族都有涉及攻擊個人電腦。 四、 傳播方式 下圖給出了攻擊者投遞勒索病毒的各種方式的占比情況，統計可以看出，遠程桌面入 侵與共享文件夾被加密仍然是用戶計算機被感染的兩個主要途徑。 雖然網站掛馬以及惡意軟 件已經不是第一次被用來傳播勒索病毒， 但在 2018 年統計中占比僅 5%,到 2019 年上半年占 比高達了 16.1%，上升迅速。 4 5 第二章 勒索病毒受害者分析 基于反勒索服務數據中申訴用戶所提供的信息，我們對 2019 年上半年遭受勒索病毒攻

12、 擊的受害人群做了分析。 在地域分布方面并沒有顯著變化， 依舊以數字經濟發達地區和人口 密集地區為主。而受感染的操作系統、所屬行業則受今年流行的勒索病毒家族影響，與以往 有較為明顯的變化。受害者年齡層分布則集中在 80 后和 90 后，而性別依舊以男性為主。 一、 受害者所在地域分布 360 互聯網安全中心監測顯示，2019 年上半年排名前十的地區中廣東地區占比高達 17.8%。其次是浙江省占比 8.4%，北京占 8.1%。前三地區均屬于東部沿海一帶地區。下圖給 出了被感染勒索病毒最多的前十個地區的占比情況。 6 2019 年上半年受害者地區占比分布圖如下。其中信息產業發達地區和人口密集地區是

13、 被攻擊的主要對象。 二、 受攻擊系統分布 基于反勒索服務數據統計，被勒索病毒感染的系統中 Windows 7 系統占比最高，占到總 量的 46.7%。其主要原因是國內使用該系統的用戶基數較大。而根據對系統類型進行統計發 現， 雖然個人用戶的占比依然是絕對多數， 但是通過對 2018 年全年以及 2019 年上半年個人 系統占比和服務器系統占比對比分析能發現，在 2019 年上半年中，服務器感染勒索病毒的 占比上升了 3%。服務器還是被作為重點攻擊對象。 7 三、 受害者所屬行業分布 下圖給出了受勒索病毒攻擊的受害者所屬行業分布情況。根據反饋數據的統計顯示， 2019 年上半年最易受到勒索病毒

14、攻擊的行業前十分別為：批發零售、制造業、教育、互聯 網、服務業、金融業、政府機關、交通運輸、餐飲住宿、醫療。 8 四、 受害者年齡層分布 下圖給出了 360 反勒索服務的申訴者年齡層分布情況。其中 80 后占比高達 56.6%，超 過半數，其次是 90 后。這主要是由于這兩個年齡層用戶是目前工作中使用計算機和系統運 維人員的主要群體， 其接觸計算機的時間明顯高于其他年齡層的用戶， 導致其受到勒索病毒 攻擊的概率也遠高于其他年齡層用戶。 五、 受害者性別分布 下圖展示的是 360 反勒索服務的申訴者的性別分布情況。 9 造成申訴者男女占比懸殊的原因主要有二點：其一、與計算機接觸最為頻繁的 IT

15、技術 行業或 IT 運維類崗位的男性員工占比明顯多于女性。其二、很多女性用戶遇到病毒問題， 往往會優先選擇尋求身邊男性朋友的幫助。 六、 受害者贖金支付情況 下圖為根據 360 反勒索服務申訴者的贖金支付情況做出的統計。 由圖可見，受害者中，僅 2.3%支付了贖金，而 97.7%的受害者并未支付贖金。而不選 擇支付贖金的理由， 則更多是對支付后黑客是否會信守承諾給予解密工具表示擔憂。 排在其 次的，則是由于不愿向黑客低頭。 10 第三章 勒索病毒攻擊者分析 2019 年上半年，勒索病毒整體上已經拋棄了 C&C 服務器的使用。取而代之的是內嵌密 鑰以及直接投毒的方式，舍棄了通過 C&C 服務器的

16、數據統計方式。黑客將傳播的主要手段 轉變為了對服務器的直接入侵，這其中遠程桌面弱口令攻擊是絕對的主力入侵方案。 一、 黑客登錄受害計算機時間分布 下圖給出了黑客成功攻陷計算機后的首次登錄時間分布情況。針對被黑客攻擊計算機 （多為服務器系統）的相關數據進行分析，發現分布情況不再平均，上午與中午時間段攻擊 量較低，攻擊主要集中在 15 時至次日 7 時。其原因一方面是因為這個時間段服務器無人值 守，更易成功入侵，另一方面可能也和入侵者所在地區與中國存在時差有關。 11 二、 攻擊手段 （一） 弱口令攻擊 口令爆破攻擊依然是當前最為流行的攻擊手段， 使用過于簡單的口令或者已經泄露的口 令是造成設備被

17、攻陷的最常見原因。 計算機中涉及到口令爆破攻擊的暴露面， 主要包括遠程 桌面弱口令、SMB 弱口令、數據庫管理系統弱口令(例如 MySQL、SQL Server、Oracle 等)、 Tomcat 弱口令、phpMyAdmin 弱口令、VNC 弱口令、FTP 弱口令等。因系統遭遇弱口令攻擊而 導致數據被加密的情況，也是所有被攻擊情況的首位。 弱口令攻擊持續成為黑客熱衷使用的手段，其原因有以下幾點： 首先， 雖然弱口令問題已經是一個老生常談的安全問題了， 但目前仍存在大量系統使用 過于簡單的口令或已經泄露的口令。究其原因，安全意識淡薄、不在乎安全問題是一方面原 因，還有一些是圖省事，存在僥幸心理

18、認為黑客不會攻擊自己的機器。另外還有一個重要原 因是使用者不清楚自己的設備中存在弱口令問題。 其次， 各種弱口令攻擊工具比較完善， 被公布在外的利用工具和教程眾多， 攻擊難度低； 再次，各類軟件與系統服務，本身對口令爆破攻擊的防護能力較弱，市面上很多安全軟 件也不具備防護弱口令掃描攻擊的能力，造成這類攻擊橫行。 而弱口令形成的原因，也不單單是因為使用了過于簡單的口令。使用已經泄露的口令， 也是一個重要原因。如部分軟件系統，存在內置口令，這個口令早已被攻擊者收集，另外多 個服務和設備使用相同口令，也是造成口令泄露的一個常見因素。因此，有效的安全管理是 防護弱口令攻擊的重要手段。 通過對數據進行統

19、計分析發現， 遠程桌面弱口令攻擊已成為傳播勒索病毒的最主要方式。 根據 360 互聯網安全中心對遠程桌面弱口令爆破的監控， 上半年對此類攻擊的日均攔截量超 過 370 萬次。排名靠前的勒索病毒家族，如 GlobeImposter，GandCrab，Crysis 都在利用這 一方法進行傳播。 從我們日常處理勒索病毒攻擊事件的總結來看， 黑客常用的攻手法一般是： 首先嘗試攻 擊暴露于公網的服務器，在獲得一臺機器的權限后，會利用這臺機器做中轉，繼續尋找內網 內其他易受攻擊的機器，在內網中進一步擴散。在掌握一定數量的設備之后，就會向這些設 備植入挖礦木馬和勒索病毒。 有時， 黑客還會利用這些被感染機器

20、對其他公網機器發起攻擊。 因此，當用戶感知到機器被攻擊文件被加密時，通常是多臺設備同時中招。 12 （二） 釣魚郵件 “釣魚郵件”攻擊是最常見的一類攻擊手段，在勒索病毒傳播中也被大量采用。通過具 有誘惑力的郵件標題、內容、附件名稱等，誘騙用戶打開木馬站點或者帶毒附件，從而攻擊 用戶計算機。 比如 Sodinokibi 勒索病毒， 就大量使用釣魚郵件進行傳播。 攻擊者偽裝成 DHL 向用戶發送繁體中文郵件， 提示用戶的包裹出現無限期延誤， 需要用戶查看郵件附件中的 “文 檔”后進行聯絡。但實際該壓縮包內是偽裝成文檔的勒索病毒。 （三） 利用系統與軟件漏洞攻擊 漏洞攻防一直是安全攻防的最前沿陣地，

21、 利用漏洞發起攻擊也是最常見的安全問題之一。 目前，黑客用來傳播勒索病毒的系統漏洞、軟件漏洞，大部分都是已被公開且廠商已經修補 了的安全問題， 但并非所有用戶都會及時安裝補丁或者升級軟件， 所以即使是被修復的漏洞 （Nday 漏洞）仍深受黑客們的青睞。一旦有利用價值高的漏洞出現，都會很快被黑客加入 到自己的攻擊工具中。 “永恒之藍”工具就是其中的一個典型代表，其被用來傳播 WannaCry 勒索病毒。 13 由于大部分服務器都會對外開放部分服務， 這意味著一旦系統漏洞、 第三方應用漏洞沒 有及時修補，攻擊者就可能乘虛而入。比如年初的 alanwalker 勒索病毒，攻擊 Weblogic、 J

22、boss、Tomcat 等 Web 應用，之后通過 Web 應用入侵 Windows 服務器，下載執行勒索病毒。 今年上半年，常被用來實施攻擊的漏洞包括（部分列舉） ： Confluence RCE 漏洞 CVE-2019-3396 WebLogic 反序列化漏洞 cve-2019-2725 Windows 內核提權漏洞 CVE-2018-8453 JBoss 反序列化漏洞 CVE-2017-12149 JBoss 默認配置漏洞 CVE-2010-0738 JBoss 默認配置漏洞 CVE-2015-7501 WebLogic 反序列化漏洞 CVE-2017-10271 “永恒之藍”相關漏洞

23、CVE-2017-0146 Struts 遠程代碼執行漏洞 S2-052（僅掃描）CVE-2017-9805 WebLogic 任意文件上傳漏洞 CVE-2018-2894 Spring Data Commons 遠程代碼執行漏洞 CVE-2018-1273 又如今年 4 月底，360 安全大腦就監控到有黑客在利用各類 Web 組件漏洞攻擊用戶服務 器，并植入“鎖藍”勒索病毒。攻擊者主要使用的是一個 4 月底被披露的 Weblogic 遠程代 碼執行漏洞，因為許多用戶還沒來得及打補丁， “鎖藍”才會屢屢得手。 （四） 網站掛馬攻擊 掛馬攻擊一直以來是黑客們熱衷的一種攻擊方式， 常見的有通過攻擊

24、正常站點， 插入惡 意代碼實施掛馬，也有自己搭建惡意站點誘騙用戶訪問的。如果訪問者的機器存在漏洞，那 么在訪問這些被掛馬站點時， 就極有可能感染木馬病毒。 如今年 3 月份再次活躍的 Paradise 勒索病毒，就是通過網站掛馬的方式進行傳播的。攻擊者使用了在暗網上公開售賣的 Fallout Exploit Kit 漏洞利用工具進行攻擊，該漏洞利用工具之前還被用來傳播 GandCrab 和一些其它惡意軟件。 14 在使用的漏洞方面，Windows 自身漏洞和 flash 漏洞是網頁掛馬中，最常被使用到的漏 洞。比如 CVE-2018-4878 flash 漏洞和 CVE-2018-8174 W

25、indows VBScript 引擎遠程代碼執 行漏洞就被用來傳播 GandCrab。 （五） 破解軟件與激活工具 破解軟件與激活工具通常都涉及到知識產權侵權問題， 一般是由個人開發者開發與發布， 缺少有效的管理，其中魚龍混雜，也是夾帶木馬病毒的重災區。如國內流行的一些系統激活 工具中，多次被發現攜帶有下載器，rootkit 木馬，遠控木馬等。STOP 勒索病毒便是其中一 類，從去年年底開始活躍的 STOP 勒索病毒，通過捆綁在一些破解軟件和激活工具中，當用 戶下載使用這些軟件時，病毒便被激活，感染用戶計算機，加密計算機中的文件。 15 第四章 勒索病毒發展趨勢分析 2019 年上半年，勒索病

26、毒毫無疑問再次領跑了最熱門安全話題，成為企業、政府、個 人最為關注的安全風險之一。2019 年上半年，整個行業也發生了一些變化，我們將從技術 和產業兩個方面進行分析。 一、 勒索病毒攻防技術發展 (一) 攻防進一步加劇 隨著勒索病毒發展，其技術攻防也在進一步加劇。勒索病毒在制作傳播上，也使用了更 多樣的漏洞， 以往勒索病毒的漏洞利用往往集中在傳播階段， 利用各式漏洞來加強其傳播與 感染能力，最典型的如 Wannacry 集成“永恒之藍”漏洞利用工具，得以大范圍傳播。而今 年勒索病毒開始在更多階段利用漏洞發起攻擊， 如 “鎖藍” 勒索病毒就集成了 cve-2018-8453 Windows 內核

27、提權漏洞，使病毒能夠運行在較高權限，威力進一步加強。對漏洞的利用也不 局限于此，更多新披露漏洞會很快被用來發起攻擊，每當有新漏洞被披露，就會有新一波攻 擊發起,還出現了利用供應鏈發起攻擊的勒索病毒攻擊事件。 同時，勒索病毒制作團伙也在嘗試更多樣的攻擊目標，以往主要出現在 Windows 平臺 的勒索病毒，目前在 Android，MacOS，Linux 上均有出現。而被打擊的目標，也不再只局 限于計算機，數據庫、各種嵌入式設備、專用設備上也被曝出受到勒索病毒攻擊影響。 (二) 勒索病毒防護技術發展 2019 年上半年，勒索病毒的防御重點，已經由對病毒的識別、查殺、攔截，轉為了對 病毒傳播渠道的封

28、堵，對主機的安全加固，被加密文件的解密探索上來。 依托多年來的技術積累，360 安全衛士在勒索病毒的識別、查殺、攔截方面均有良好表 現，病毒作者通過免殺來繞過殺軟的查殺和防御已經非常困難。目前勒索病毒在投遞之前， 通常會誘使用戶退出殺軟或者攻擊者主動關閉殺毒軟件來避免病毒被查殺。 因此在對抗勒索 病毒攻擊方面， 對用戶的安全科普是一方面， 對病毒傳播渠道的封鎖攔截也是重要的一項內 容。例如 STOP 勒索病毒會捆綁在一些激活工具中進行傳播，在獲取用戶信任之后，依靠用 戶手動放行來實施攻擊。殺毒軟件如果能先于攻擊者，在其傳播渠道上就進行攔截提示，能 夠取得更好的效果。 上半年，針對服務器的攻擊占

29、整體勒索病毒攻擊的 25%以上，服務器由于無人值守， 長期暴露于公網之上等原因， 造成其被攻擊的攻擊面相對較大。 而服務器被攻擊的常見原因 包括口令爆破攻擊和系統或軟件服務漏洞攻擊， 針對這一系列問題， 360 安全衛士增加了 “遠 程桌面爆破防護” 、SQL Server 爆破防護、VNC 爆破防護、Tomcat 爆破防護等一系列防護。 在漏洞保護方面，增加了有 WebLogic、JBoss、Tomcat 等多種服務器常見軟件的漏洞防護， 以及大量系統漏洞的防護能力。 如果無法保證服務器本身的安全， 那么勒索病毒的防護能力 也會大打折扣，因此針對服務器的安全加固也是勒索病毒防護的重要防護目標

30、。 對被勒索病毒加密文件的破解， 一直以來都是勒索病毒受害者最關注的問題， 因此對勒 索病毒進行破解也是安全公司能力體現的重要方面。 目前流行的勒索病毒也并非都無法破解， 常見的破解原理包括： 16 1. 利用泄露的私鑰破解，通過各種渠道獲取到病毒作者的私鑰實現破解，如知名的 GandCrab 勒索病毒的私鑰就被警方獲取并公開，安全公司因此可以制作解密工具來進 行解密。 2. 利用加密流程漏洞進行破解， 有部分勒索病毒本身編寫不規范， 錯誤使用加密算法或隨 機數生成算法等，造成加密密鑰或關鍵數據能夠被計算獲取，從而解密。 3. 名密文碰撞解密， 這類解密常用于使用流式加密生成一個固定長度的密鑰

31、串， 之后加密 文件的勒索病毒。 通過明密文對比計算從而得到使用的加密密鑰， 如 STOP 勒索病毒就 是使用類似方法進行的破解。 4. 爆破解密，這類解密也是由于病毒作者對密鑰處理的不規范，造成密鑰空間不足，為爆 破解密提供了可能。常見的如使用時間做種子產生隨機數做密鑰的情況。 (三)勒索病毒處置服務更趨專業化 以往的勒索病毒處置，多屬于被攻擊公司和安全公司應急響應的一部分，由安全運維 團隊兼職處理。隨著勒索病毒感染事件的常態化，在勒索病毒處置方面，也出現了越來越多 的專職處置團隊。市面上也開始出現，專項來代理處理勒索病毒解密業務的解密公司。安全 公司的處置業務也由之前的查殺病毒，協助解密，

32、逐步擴展為：幫助企業恢復生產，查清原 因，以及后續的安全加固服務，服務更趨專業化。安全軟件對勒索病毒的防護能力，也成為 企業和個人選擇安全軟件的一個重要關注點。 二、 勒索病毒相關產業發展 (一)病毒制作傳播與解密相關產業 勒索病毒經過多年發展，其制作傳播鏈條也逐步分工細化，包括制作、銷售、傳播、支 付、解密等多個環節組成，參與人員更多，團隊數量也在增加。 勒索病毒在贖金索要方面，也出現分化。部分團伙不在局限于比特幣，門羅幣等“數字 貨幣” ，開始接受一些支付工具直接轉賬的請求。而另外一些團伙則開始要求用戶使用匿名 性更高的一些“數字貨幣”如“達世幣”進行支付。在贖金要求方面，也有分化趨勢，

33、部分勒索病毒的贖金要求降低到了 300 美元左右，而有一些則要求數十萬美元不等。 在勒索病毒解密方面， 目前網上有記錄的國內解密公司就有將近 100 余家， 提供代繳贖 金，數據解密恢復，數據庫恢復等業務，因為其解密方式多是通過像黑客支付贖金來完成， 也存在一些被人詬病的問題。 (二)針對勒索病毒相關的犯罪打擊 各國政府對勒索病毒問題的重視程度也在加大， 對勒索病毒的打擊力度加強。 如我們國 內，主管單位也發起過“勒索病毒的專項治理工作” ，以加強機關單位對勒索病毒的重視程 度與防護能力。 近年來對勒索病毒犯罪的打擊也取得了一些進展，如前不久 FBI、歐洲刑警組織、羅馬 尼亞警察局、DIICOT、NCA