360安全：2018年勒索病毒疫情分析報告(32頁).pdf

1、 2018 年 勒索病毒疫情分析報告 2019 年 2 月 摘 要 全年受到攻擊的計算機數量超過 430.0 萬臺（排除 WannaCry 及海外數據） 。2 月的攻擊 量最低，11 月和 12 月則有較為明顯的升高，總體上全年攻擊量波動較為平穩。 2018 年全年，360 反勒索服務平臺一共接收并處理了超過 2000 位遭受勒索病毒軟件攻 擊的受害者求助，同時，通過人工通道協助超過 200 名用戶完成文件解密。 2018 年活躍的勒索病毒家族以 GandCrab、GlobeImposter、Crysis 為主。僅針對這三個 家族的反勒索申訴案例就占到了所有案例的 80.2%。 勒索病毒所攻擊

2、的地區以信息產業發達和人口密集地區為主， 全年受到攻擊最多的省份 前三為：廣東、江蘇、浙江。 被勒索病毒感染的系統中 Windows 7 系統占比最高，占到總量的 51.1%.而在個人系統 與服務器系統的對比中， 雖然個人系統被感染數量占絕對多數， 但服務器系統的感染量 也已到了不可忽視的地步。 據統計，在 2018 年中，受到勒索病毒攻擊最大的行業前三分別為： 教育、餐飲&零售、 制造業，占比分別為 15.4%、14.4%、12.6% 根據反勒索服務的反饋數據統計， 受感染計算機的使用者多為 80 后和 90 后， 分別占到 總數的 51.0%和 32.5%。男性受害者占到了 93.1%，女

3、性受害者則僅為 6.9%。 2018 年，勒索病毒逐步放棄了對 C&C 服務器的使用。而根據入侵服務器的來源 IP 歸 屬地分析，來自美國的入侵最多，達到 22.5%。其后是俄羅斯，占到了 20.6%。 黑客入侵服務器的時段相對比較平均， 但23時至次日3時這一時間段略多于其他時段， 主要是由于該時段大多服務器處于無人值守狀態，入侵成功率高。而全年中，5 月、6 月、9 月出現過三次入侵小高峰。 由于勒索病毒的主要目標轉變為對服務器系統的攻擊， 其傳播方式也轉變為以弱口令攻 擊為主，此外還存在 U 盤蠕蟲、軟件供應鏈攻擊、漏洞攻擊等方式幫助勒索病毒進行 傳播。 勒索病毒的技術在 2018 年有

4、了明顯的變化和發展，其主要體現在更緊密的與漏洞利用 相結合、使用了更廣泛的傳播手段、出現了更多樣的勒索形式。 預計在 2019 年，勒索病毒的攻擊目標將進一步擴大化，各種版本的操作系統，服務和 應用都將成為勒索病毒攻擊的目標。未來包括工控設備、各類嵌入式設備、IOT 設備在 內的各種智能設備面臨勒索病毒攻擊的風險也都將大大增加。 同時， 勒索病毒的攻擊目 標也將更具多樣化，針對特定個人、企業、行業的勒索病毒將更加廣泛。 目 錄 第一章 勒索病毒全年攻擊形勢 . 1 一、 勒索病毒總體攻擊態勢 . 1 二、 反勒索服務處理情況 . 2 三、 勒索病毒家族分布 . 3 四、 傳播方式 . 4 第二

5、章 勒索病毒受害者分析 . 5 一、 受害者所在地域分布 . 5 二、 受攻擊系統分布 . 6 三、 受害者所屬行業分布 . 7 四、 受害者年齡層分布 . 8 五、 受害者性別分布 . 8 第三章 勒索病毒攻擊者分析 . 10 一、 攻擊者來源地域分布 . 10 (一) C&C 服務器分布 . 10 (二) 入侵 IP 分布 . 10 二、 黑客登錄受害計算機時間分布 . 11 三、 攻擊手段 . 12 （一） 弱口令攻擊 . 12 （二） U 盤蠕蟲 . 12 （三） 軟件供應鏈攻擊 . 13 （四） 系統/軟件漏洞攻擊 . 13 （五） “無文件”攻擊 . 16 （六） RaaS . 1

6、6 第四章 未來趨勢分析 . 17 一、 勒索病毒技術發展 . 17 (一) 緊跟漏洞發展趨勢 . 17 (二) 更廣泛的傳播手段 . 17 (三) 更多樣化的勒索形式 . 18 二、 攻擊面、攻擊目標與“黑灰色產業”發展 . 18 第五章 安全建議 . 20 一、 針對個人用戶的安全建議 . 20 (一) 養成良好的安全習慣 . 20 (二) 減少危險的上網操作 . 20 (三) 采取及時的補救措施 . 20 二、 針對企業用戶的安全建議 . 20 附錄 1 2018 年勒索病毒大事件 . 22 一、 GANDCRAB被兩度破解 . 22 二、 勒索病毒導致某省級兒童醫院系統癱瘓 . 22

7、三、 國產 XIAOBA勒索病毒利用外掛傳播 . 22 四、 勒索病毒 SATURN 首創傳銷式傳播 . 22 五、 勒索病毒無差別攻擊時代來臨 . 22 六、 利用 WEBLOGIC漏洞的傳播勒索病毒首次出現 . 23 七、 RAKHNI家族最新變種攻擊 . 23 八、 SATAN勤奮更新不斷破壞. 23 九、 UNNAMED1989 從微信支付到自投羅網 . 23 十、 冒牌 PETYA襲擊半導體行業 . 24 附錄 2 360 安全衛士反勒索防護能力 . 25 一、 服務器防護能力 . 25 二、 面向傳播鏈的防護能力 . 26 三、 綜合防護能力 . 26 附錄 3 360 解密大師

8、. 28 1 第一章 勒索病毒全年攻擊形勢 2018 年以來， 360 互聯網安全中心監控到大量針對普通網民和政企部門的勒索病毒攻擊。 根據 360 互聯網安全中心數據（包括 360 安全衛士和 360 殺毒的查殺數據） ，全年共監控到 受勒索病毒攻擊的計算機 430 余萬臺，并處理反勒索申訴案件超過 2000 例。從攻擊情況和 威脅程度上看， 勒索病毒攻擊依然是當前國內計算機面臨的最大安全威脅之一。 本章主要針 對 2018 年全年，360 互聯網安全中心檢測到的勒索病毒相關數據進行分析。 一、 勒索病毒總體攻擊態勢 2018 年， 360 互聯網安全中心共監測到受勒索病毒攻擊的計算機 43

9、0.0 萬臺， 平均每天 有約 1.2 萬臺國內計算機遭受勒索病毒的攻擊。該攻擊量較 2017 年度有所減少，但總體態 勢依然比較嚴峻。 下圖給出了勒索病毒在 2018 年每月攻擊的用戶數情況。 從圖中可見， 2 月攻擊量最低， 僅 21.5 萬臺計算機遭到攻擊，平均每天約 0.8 萬臺。而年末的 11 月和 12 月則出現了小幅 度的上漲， 攻擊量分別達到了 45.0 萬和 48.6 萬， 平均每天分別有 1.5 和 1.6 萬臺計算機用 戶受到勒索病毒攻擊。注意，此部分攻擊態勢數據不包含 WannaCry 勒索病毒以及海外地區 的相關數據。 總體而言，2018 年勒索病毒的攻擊態勢相對比較

10、平穩。2 月的數據下降，主要是由于 2 月天數較少又加上春節期間計算機設備的活躍度明顯下降， 所以數據層面看， 很自然的存在 下跌態勢。 11月至12月出現的勒索病毒攻擊量上漲， 主要是因為兩個勒索病毒家族的更新。 其一， Satan 家族勒索病毒開始以每周一個新版本的速度頻繁更新， 并進一步增加了對服務器的攻 擊手段；其二，GandCrab 家族勒索病毒也在這個時期新增了蠕蟲式的攻擊手段。以上兩個 家族的更新及傳播動作， 導致了11月至12月兩個月的攻擊量與1月至10月的攻擊量相比， 2 存在一個相對比較的上升。 二、 反勒索服務處理情況 2018 年全年，360 反勒索服務平臺一共接收并處

11、理了 1745 位遭受勒索病毒軟件攻擊的 受害者求助，其中 1257 位經核實確認為遭到了勒索病毒的感染。結合 360 安全衛士論壇反 饋與其它反饋渠道，2018 年全年 360 反勒索服務累計服務用戶超過 2100 人。并通過人工通 道幫助超過 200 名用戶完成文件解密（不含 360 解密大師等解密工具數據） 。 下圖給出了在 2018 年中，每月確認感染勒索病毒的有效申訴量情況。其峰值出現在 11 月，共計確認 277 位用戶被確認感染勒索病毒，平均每天超過 9 位用戶感染勒索病毒。而 12 月的感染量有所下降，但依舊出于高位，共 181 位用戶被確認感染勒索病毒，平均每天 近 6 位用

12、戶被感染。 2018 年 11 月至 12 月期間，勒索病毒感染量大幅度上升，主要是受到 GandCrab 和 UNNAMED1989（網稱“微信支付勒索病毒” ）兩個勒索病毒家族的影響。由于感染了這兩個勒 索病毒家族而申請反勒索服務的用戶數在總反饋量中占據了非常大的比例。 3 三、 勒索病毒家族分布 下圖給出的，是根據 360 反勒索服務數據所計算出的 2018 年勒索病毒家族流行度占比 分布圖，PC 端 Windows 系統下 GandCrab、GlobeImposter、Crysis 這三大勒索病毒家族的 受害者占比最多， 合計占到了 80.2%。 而在 2018 年流行度前十的勒索病毒

13、中， 除 UNNAMED1989 勒索病毒外， 其余九個家族的勒索病毒都有涉及到針對企業用戶的攻擊， 企業用戶是本年度 勒索病毒最為熱衷的攻擊對象。 而基于反饋者的實際感染時間，發現 GandCrab 勒索病毒家族在 11 月至 12 月的感染量 遠超 GlobeImposter 和 Crysis 兩個家族，其原因前文已經提到是由于該家族勒索病毒新增 了蠕蟲式攻擊手段。 此外，BTCWare 勒索病毒家族的活躍度主要集中在 2018 年上半年，在下半年所有確認 感染勒索病毒的反饋中，BTCWare 僅在 8 月份出現過 1 例，之后就再未出現過。 4 四、 傳播方式 下圖給出了攻擊者向受感染計

14、算機傳播勒索病毒的各種方式占比情況。通過統計相關 數據發現， 通過遠程桌面弱口令攻擊方式傳播的勒索病毒在所有已知的感染方式中依然占比 最高， 并且是絕對主力的傳播方式。 其次則是由于共享文件夾權限設置問題導致文件被加密。 而 2018 年首次出現的利用 U 盤蠕蟲進播勒索病毒的案例，其占則達到了 10.4%，排在第三 位。 5 第二章 勒索病毒受害者分析 基于反勒索服務數據中，申訴用戶所提供的信息。我們對 2018 年遭受勒索病毒攻擊的 受害人群做了分析。 在地域分布方面并沒有顯著變化， 依舊以信息產業發達和人口密集地區 為主。而受感染的操作系統、所屬行業則受今年流行的勒索病毒家族影響，與以往

15、有較為明 顯的變化。受害者年齡層分布則集中在 80 后和 90 后，而性別依舊以男性為主。 一、 受害者所在地域分布 360 互聯網安全中心監測顯示，2018 年排名前十的地區中廣東地區占比高達 18.5%。其 次是江蘇占比 8.1%，浙江 7.2%。前三地區均屬于東南沿海一帶地區。下圖給出了被感染勒 索病毒最多的前十個地區的占比情況。 6 2018 年受害者地區占比分布圖如下。其中信息產業發達地區和人口密集地區是被攻擊 的主要對象。 二、 受攻擊系統分布 基于反勒索服務收到的反饋數據進行統計， 被勒索病毒感染的系統中 Windows 7 系統占 比最高，占到總量的 51.1%。其主要原因使用

16、該系統的用戶基數較大。而根據對系統類型進 行統計發現， 雖然個人用戶的占比依然是絕對多數， 但服務器系統的占比也足以說明近年來 勒索病毒攻擊目標向服務器轉移的現狀。 下圖分別給出了被勒索病毒感染的各版本系統占比 以及個人系統和服務器系統的占比對比。 7 三、 受害者所屬行業分布 下圖給出了受勒索病毒感染的受害者所屬行業分布情況。 根據對受害者反饋數據的統計， 顯示 2018 年度最易受到勒索病毒感染的行業前十分別為：教育、餐飲&零售、制造業、互聯 網、服務業、金融&經貿、政府、媒體、醫療、設計。 8 四、 受害者年齡層分布 下圖給出了 360 反勒索服務的申訴者年齡層分布情況。其中 80 后站

17、比高達 51%，超過 一半的申訴者來自 80 后， 其次是 90 后。 這主要是由于這兩個年齡層用戶是目前辦公室白領 和系統運維人員的主要群體， 其接觸計算機的時間明顯高于其他年齡層的用戶， 導致其受到 勒索病毒攻擊的概率也遠高于其他年齡層用戶。 五、 受害者性別分布 下圖展示的是 360 反勒索服務的申訴者的性別分布情況。 9 造成申訴者男女占比懸殊的原因主要有二點：其一、與計算機接觸最為頻繁的 IT 行業 或 IT 運維類崗位的男性員工占比明顯多于女性。其二、很多女性用戶遇到病毒問題，往往 會優先選擇尋求身邊男性朋友的幫助。 10 第三章 勒索病毒攻擊者分析 2018 年，勒索病毒整體上已

18、經基本拋棄了 C&C 服務器的使用，僅上半年有少量新增 C&C 服務器域名。取而代之的，是黑客將傳播的主要手段轉變為了對服務器的直接入侵， 這其中遠程桌面弱口令攻擊是絕對的主力入侵方案。 一、 攻擊者來源地域分布 (一)C&C 服務器分布 由于勒索病毒在與安全軟件的對抗中不斷提升自身的隱蔽性，并盡可能的減少代碼行 為特征和溯源線索。勒索病毒使用到的 C&C 服務器也在不斷減少，我們對不多的 C2 域名 進行了統計，其中最多的依然是.com通用域名。此外，還存在部分通過 PunyCode 進行編碼 的泰語域名。 據統計， 2018年所出現的C&C服務器中， 有很大一部分是被黑產攻擊并拿下的 “肉

19、雞” ， 推測應該是為了盡可能的避免被警方或安全廠商溯源。此外，本次所統計到的 C&C 域名大 多數出現在 2018 年上半年。也就是說，總體趨勢來看，今后勒索病毒所使用的 C&C 域名 數量會進一步減少，甚至完全拋棄 C&C 服務器的使用。 (二)入侵 IP 分布 下圖給出了登錄過被攻陷機器的可疑 IP 歸屬地分布情況。 根據對這些數據的匯總發現， 來自美國地區的 IP 占比最高，達到 22.5%；其次是來自俄羅斯的 IP，為 20.6%；來自德國 的 IP 則占到了 7.4%，位居第三。 攻擊來源 IP 歸屬地占比最高為美國，主要是因為美國的互聯網服務業務高度發達，導 致來自世界各地的黑客

20、都常會租用或入侵位于美國的服務器作為跳板， 再對外發起各種網絡 攻擊。 11 二、 黑客登錄受害計算機時間分布 下圖給出了黑客成功攻陷計算機后的首次登錄時間分布情況。針對被黑客攻擊計算機 （多為服務器系統） 的相關數據進行分析， 發現攻陷計算機后的首次成功登錄時間分布比較 平均，但 23 點到次日凌晨 3 點這個時間段內的登錄占比稍高。主要原因是這個時間段內， 服務器多處于無人值守的狀態，黑客的攻擊可能受到的干擾最小。 下圖則是對被攻陷機器的受攻擊日期進行統計，發現在年初和年末被登錄次數都是較 低，而在 5 月、6 月、9 月分別出現三次登錄高峰。 12 三、 攻擊手段 （一） 弱口令攻擊 計

21、算機中涉及到弱口令攻擊的主要包括遠程桌面弱口令、數據庫管理系統弱口令(例如 MySQL、SQL Server、Oracle 等)、Tomcat 弱口令、phpMyAdmin 弱口令、VNC 弱口令、FTP 弱口令等。 統計分析發現， 本年度因系統遭遇弱口令攻擊而導致數據被加密的情況占所有攻 擊手段中的首位。 弱口令攻擊成為黑客主要的攻擊手段的主要原因有二： 其一、 各種弱口令攻擊工具比較 完善，被公布在外的利用工具眾多；其二、雖然不斷有系統因弱口令原因導致系統被攻擊、 數據被加密的事件出現，但目前依然存在大量系統，使用過于簡單的口令。 通過對數據進行統計分析發現，遠程桌面弱口令攻擊已成為傳播勒

22、索病毒的主要方式。 根據 360 互聯網安全中心對遠程桌面弱口令爆破的監控，本年度對此類攻擊單日攔截超過 600 萬次。 通過我們日常處理勒索病毒攻擊事件的總結， 黑客常用的攻手法一般是： 首先攻擊某個 網絡段的公網機器，在獲得一臺機器的登錄口令后，會利用這臺機器做跳板，繼續尋找內網 內其他易受攻擊的機器，在內網中進一步擴散。在掌握一定數量的設備之后，就會向這些設 備植入挖礦木馬和勒索病毒。 有時， 黑客還會利用這些被感染機器對其他公網機器發起攻擊。 下圖就給展示了這種攻擊的一般流程。 （二） U 盤蠕蟲 U 盤蠕蟲是 U 盤中流行的一類病毒程序， 能不斷復制自身到不同電腦磁盤或移動設備(U

23、盤、移動硬盤等)中。通過創建偽裝成文檔、文件夾等的病毒程序等欺騙用戶打開，進而繼 續傳播平，部分 U 盤蠕蟲也利用系統漏洞傳播。本年度比較流行的 GandCrab 勒索病毒，就 使用了 U 盤蠕蟲的方式做為它的一個傳播渠道。 2018 年 11 月，國內首次出現利用 U 盤蠕蟲傳播勒索病毒的案例。蠕蟲的引導部分就是 一個偽裝成盤符的快捷方式， 再由這個快捷方式指向蠕蟲病毒。 當蠕蟲被激活后就會感染當 前宿主機， 并繼續感染后續接入這臺機器的其它移動硬盤和網絡磁盤， 并在宿主機中安營扎 寨。11 月份開始這些安插下來的蠕蟲開始下載 GandCrab 勒索病毒，所以很多用戶是在“無 感知”情況下中

24、了勒索病毒。下圖給出了這款勒索病毒的傳播流程： 13 （三） 軟件供應鏈攻擊 軟件供應鏈攻擊， 是指利用提供軟件的供應商與使用該軟件用戶之間的聯系， 通過攻擊 軟件供應商，繼而達到攻擊軟件使用者的目的。此類攻擊手法在 2017 年 6 月就曾被 Petya 勒索病毒家族用來傳播勒索病毒，并在俄羅斯和烏克蘭造成較大影響。 2018 年 11 月底，國內也出現了利用此類方法傳播的勒索病毒疫情。此次爆發的勒索病 毒被命名為 UNNAMED1989 勒索病毒（即網稱的“微信支付勒索病毒” ） ，該勒索病毒主要是因 為開發者下載了帶有惡意代碼的易語言第三方模塊， 導致調用該模塊所開發出來的軟件也均 被感

25、染了惡意代碼。根據統計，在此次事件中被感染的軟件超過 50 余種。 下圖展示了軟件供應鏈攻擊的一般攻擊流程。 （四） 系統/軟件漏洞攻擊 目前， 黑客用來傳播勒索病毒的系統漏洞、 軟件漏洞大部分都已被公開且廠商已經對相 關軟件進行了安全升級或提供了補丁， 但并非所有用戶都會及時打補丁或者升級軟件， 所以 被公開的漏洞（Nday 漏洞）仍深受黑客們的青睞。一旦有利用價值高的漏洞出現，都會很 快被黑客加入到自己的攻擊包中。 “永恒之藍”工具所使用的就是一系列利用價值非常高的 漏洞，多個勒索病毒的后續傳播中都用到過該系列漏洞。 14 由于大部分服務器會向局域網或互聯網開放服務， 這意味著一旦系統漏洞

26、、 第三方應用 漏洞沒有及時修補，勒索病毒就能乘虛而入。2018 年，多個勒索軟件家族通過 Windows 系 統漏洞或 Web 應用漏洞入侵 Windows 服務器。 其中最具代表性的當屬 Satan 勒索病毒， Satan 勒索病毒最早于 2018 年 3 月在國內傳播，其利用多個 Web 應用漏洞入侵服務器。表 1 列出 來 Satan 勒索病毒所使用的漏洞簡述及對應的漏洞編號。 JBoss 反序列化漏洞 CVE-2017-12149 JBoss 默認配置漏洞 CVE-2010-0738 JBoss 默認配置漏洞 CVE-2015-7501 WebLogic 反序列化漏洞 CVE-201

27、7-10271 Put 任意上傳文件漏洞 “永恒之藍”相關漏洞 CVE-2017-0146 Struts 遠程代碼執行漏洞 S2-052（僅掃描）CVE-2017-9805 WebLogic 任意文件上傳漏洞 CVE-2018-2894 Spring Data Commons 遠程代碼執行漏洞 CVE-2018-1273 表表 1 1 SatanSatan 勒索病毒所利用的漏洞簡述及編號勒索病毒所利用的漏洞簡述及編號 15 下圖展示了 Satan 勒索病毒的一般攻擊流程。通過 360 互聯網安全中心的研究人員研究 分析發現，Satan 勒索病毒作者在利用漏洞獲取到服務器權限后，會在受害者服務器

28、上下發 傳播模塊、勒索病毒及挖礦木馬，在利用“永恒之藍”相關漏洞攻擊武器攻擊局域網中的其 他機器的同時， 繼續利用上述表格中的多種漏洞對其他機器進行攻擊， 達到擴散式傳播的目 的。 16 （五） “無文件”攻擊 “無文件攻擊” 技術指的是攻擊者在不釋放文件到本地磁盤的情況下實施攻擊。 這類攻 擊技術能夠有效躲避殺毒軟件的靜態特征查殺， 并且有利于惡意攻擊載荷的持續駐留。 攻擊 者一般通過在內存中加載惡意代碼實現“無文件攻擊” 。 GandCrab 勒索病毒是“無文件攻擊”技術的狂熱支持者。該勒索病毒允許傳播者在成 功入侵到服務器當中后，利用系統自帶的 PowerShell 程序直接加載并運行遠

29、程惡意代碼， 完成后續的加密工作。 由于沒有在受害用戶機器的硬盤中釋放任何文件到磁盤中， 這一技術 使其能夠躲避安全軟件的傳統靜態特征掃描。 下圖展示了傳播者利用這一技術時所使用的命 令行代碼。 （六） RaaS RaaS 是 Ransomware-as-a-Service 的縮寫，即“勒索病毒即服務” ，其借鑒了 SaaS （Software-as-a-Service，軟件即服務）模型。利用該模型，勒索病毒制作者為網絡犯罪 組織開發勒索病毒， 而網絡犯罪組織則負責傳播勒索病毒， 雙方根據合作協議瓜分贖金。 RaaS 模式在勒索病毒界已存在多年，其中以 GandCrab 和 Satan 最具代

30、表性。其中 Satan 勒索病 毒制作者已不再提供該服務，而 GandCrab 目前仍然以 RaaS 模式運作。 與 GandCrab 制作者合作的網絡犯罪組織大多收入不菲： 下圖是 GandCrab 的制作者自己 公布 2018 年 12 月第二周的收入情況， 僅僅在這一周的時間內， 與其合作的網絡犯罪組織就 收入了近 10 萬美元。 17 第四章 未來趨勢分析 2018 年是勒索病毒繼 2017 年之后又一個火爆之年，各種變種了攻擊事情層出不窮，依 然是企業和個人年度最嚴重安全風險之一。 勒索病毒以其方便可靠， 而又行之有效的變現手 段受到各類黑客攻擊團伙的青睞。以目前勒索病毒的發展趨勢分

31、析，2019 年勒索病毒威脅 仍將繼續領跑本年度安全話題， 成為企業和個人最嚴重的安全風險之一。 我們將選取攻擊的 方式、對象、技術手段等幾個方面進行分析。 一、 勒索病毒技術發展 (一) 緊跟漏洞發展趨勢 2018 年勒索病毒在傳播技術手段上可謂緊跟行業發展，多個新公開的漏洞馬上被攻擊 者用來傳播勒索病毒。 比如GandCrab在2018年9月份的更新中， 就加入了對CVE-2018-0896 （Windows 10 提權漏洞） 的使用。 Satan在 V4.2 版的更新中加入了 CVE-2018-2894 （WebLogic 任意文件上傳漏洞）的利用。使用 Nday 漏洞為勒索病毒攻擊和傳

32、播提供幫助已經成為勒索 病毒傳播的一個重要手段。 預計在 2019 年勒索病毒將與漏洞傳播有更緊密的結合，甚至有可能再次發生像 2017 年 WannaCry “想哭”勒索病毒那樣的全球性爆發事件。針對重要目標，也可能會發生使用 0day 攻擊的勒索病毒。這也提醒廣大用戶，做好計算機漏洞防護的重要性。 (二)更廣泛的傳播手段 2018 年，得益于勒索病毒的代理分成模式的興起，勒索病毒的傳播渠道也大為擴展。 以往由固定團伙制作傳播的勒索病毒，開始更多的發展下線。如 GandCrab 勒索病毒就在全 球范圍內招募傳播者。傳播手段也已經不再局限于漏洞攻擊、遠程爆破攻擊等，常規的惡意 軟件、木馬病毒傳播渠道中也均出現了勒索病毒的身影，如掛馬、蠕蟲