2018年恶意软件预测报告：勒索软件依然坚挺并正在不断演变

原标题：2018年恶意软件预测报告：勒索软件依然坚挺并正在不断演变

SophosLabs安全研究员、《2018 恶意软件预测》报告中勒索软件分析作者Dorka Palotay表示：

“勒索软件已经发展成与平台无关的威胁。虽然勒索软件的主要对象是Windows用户，但是很明显，如果他们使用其他平台（包括移动设备），人们也不会因此幸免于难。一个最重要的证明是，我们在全球客户使用的不同装置和作业系统上都看到加密攻击的数量增加了。”

2017年4月1日-2017年10月3日的勒索软件攻击

勒索软件仍然是令许多企业头疼的问题，SophosLabs通过对过去6个月中最高产且最活跃的勒索软件家族及其攻击媒介进行分析，为企业应对这些威胁提供了解决之道。

以下统计数据涵盖了2017年4月1日至10月3日这六个月时间的勒索软件攻击情况，数据是通过对Sophos的客户计算机进行查询收集的。

其中，发现于今年 5月的WannaCry居客户电脑拦截回报的勒索软件的首位，取代了长期以来的主流勒索软件Cerber（于2016年初首次出现）的领导地位。在所有SophosLabs追踪的勒索软件中，WannyCry占了45.3%，Cerber占了44.2%。

Palotay表示：

“这是我们第一次看到具有蠕虫特征的勒索软件，而这项特色让WannaCry得以快速扩张。这个勒索软件利用已知的Windows漏洞感染并传播到所有计算机设备中，因此很难管控。尽管WannaCry已经逐渐减少，而且我们的客户已经受到了保护，但是我们仍然可以看到威胁存在，因为它与生俱来的特性就是会继续扫描和攻击电脑。我们预计网络犯罪分子会利用WannaCry和NotPetya以及其复制能力，而这一点已经出现在Bad Rabbit勒索软件中，其与NotPetya有许多相似之处。”

SophosLabs发布的《2018 恶意软件预测》显示，2017年6月，NotPetya勒索软件在经历快速爆发后开始销声匿迹。NotPetya最初是通过一家乌克兰会计软件套件向外传播，但影响力仅限于当地。像WannaCry一样，它能够通过EternalBlue漏洞进行传播，但是由于WannaCry先前已经感染了大多数有漏洞的电脑，所以几乎所有电脑都已经打了补丁，容易受到攻击的并不多。

NotPetya 背后的动机还不清楚，因为这次攻击有许多失误、漏洞和缺点。例如，根据Palotay的说法，受害者联系攻击者所需的电子邮件帐户无效，因此受害者无法解密和恢复他们的数据。

Palotay表示：

“NotPetya扩散的速度迅猛且激烈，并真正对企业造成了伤害。这是因为它永久地破坏了目标电脑上的数据。幸运的是，NotPetya消失的速度几乎和出现的一样快，我们怀疑网络犯罪分子正在进行实验，或者他们的真正目标并不是勒索软件，而是像数据“雨刮器”那样更具破坏性的东西。无论其意图如何，Sophos都强烈建议受害者不要支付赎金，并推荐了一些最佳作法，其中包括备份数据和安装Sophos Intercept X，该软件可以在几秒钟内检测到零日勒索软件。”

此外，Cerber仍然在暗网上以勒索软件套件的形式进行出售，它也是一个危险的威胁。Cerber 的开发者主要通过从使用它的攻击者处抽取受害者缴纳的部分赎金作为利润。该恶意软件正在不断进行完善和更新，以保持其领先安全软件的绝对优势。定期更新的新功能使得Cerber不仅是一个有效的攻击手段，而且广受网络犯罪分子青睐。

Palotay表示，

“不幸的是，暗网的商业模式可以运作且与合法的公司类似，可能会资助 Cerber持续发展。我们可以假设牟利是撰写者维护程式码的一大动机。”

Android勒索软件正在不断攀升

Android勒索软件也吸引了网路犯罪分子的目光。根据SophosLabs分析，2017年，使用Android设备的Sophos客户几乎每个月受到的攻击都增加了。

SophosLabs安全研究员Rowland Yu表示：

“仅在9月份，SophosLabs处理的Android恶意软件中就有30.4%是勒索软件。我们估计10月份将跃升至45%左右。我们认为Android勒索软件暴增的原因之一，是因为这是网络犯罪分子牟利的简单方法，而不需要使用如窃取联络人和短信、弹出式广告或银行网络钓鱼等复杂的黑客手法。另外需要注意的是，我们注意到Android勒索软件主要都是在非Google Play市场上发现的，这也是用户对下载的应用程序的位置和类型需要更为谨慎的另一个原因。”

截止到2017年年底，SophosLabs分析系统将处理大约1,000万个可疑的Android应用程序，高于整个2016年处理的850万个。其中绝大多数（77％）是恶意软件，另有23％是PUA。

恶意应用程序的数量在过去四年呈现稳步增长的趋势。在2013年，只有50多万的恶意应用程序。到了2015年，这一数字已经上升到了大约250万。再到2017年，这个数字已经高达近350万。

同时，我们也看到了PUA呈现了下降趋势。其数量在2013年至2016年间呈稳步上升趋势，但到了2017年则从140万降至100万以下。

2017年，在最顶级的移动恶意软件家族中，最活跃的当数Rootnik（SophosLabs阻止了42％的此类恶意软件），其次PornClk（14%），而Axent、SLocker和Dloadr则分别以9％、8％和6％的比例排在第3、4、5名。

此外，研究人员还发现，Google Play上的很多应用程序与Rootnik存在联系，而且该家族在9月下旬也被发现利用DirtyCow Linux漏洞进行传播。

勒索软件防御措施

Sophos建议用户可以通过如下手段更好地保护自身免受勒索软件威胁：

定期备份并保留最近的备份副本。除了勒索软件之外，还有很多方法可以丢失文件，比如火灾、洪水、盗窃、掉落的笔记本电脑甚至意外删除。加密您的备份，您将不必担心备份设备落入不法之徒手中。

不要在通过电子邮件接收到的文档附件中启用宏。为了保障安全，微软已经在多年前故意关闭了宏的自动执行。如今，许多恶意软件感染依赖于说服你重新开启宏，所以不要这样做！

谨慎对待来自不明的附件。如果你不点击收到的可疑文件，攻击者便难以执行下面的操作，所以，除非你明确文件的来源，否则不要轻易点开，如果存在疑问，可在咨询相关人员确定后选择点开或忽略。

尽早更新补丁并定期修复补丁。不通过文档宏进入的恶意软件通常依赖于流行的应用程序（包括Office、浏览器以及Flash等）中的安全漏洞。越早打补丁，漏洞利用的机会就越少。

关于Sophos

Sophos是网络和端点安全的全球领导者，30多年来，发展出可以相辅相成的端点、网络、加密、网页、电子邮件和移动安全解决方案产品组合，现有150个国家/地区的1亿多名用户选择Sophos的解决方案，为复杂的威胁和数据外泄提供全面防护。

点击查看完整报告

*参考来源：sophos，米雪儿编译，转载请注明来自FreeBuf.COM