人们对安全的意识正在增强， 回顾过去三年，勒索软件在恶意软件总数中所占的比例从2.8％上升到3.5％。 勒索软件在受恶意软件攻击所有用户中的比例一直在波动，2019年上半年为2.94％，而两年前为3.53％。

大约90万至近120万受勒索软件攻击的用户。

有许多极其复杂的加密样本，但背后机制非常简单：将受害者计算机上的文件转换为加密数据，并要求赎金换取解密密钥。

2019年，勒索软件有了新目标：市政府。讨论最广泛的事件是巴尔的摩，它受到大规模的勒索软件运动，导致大量城市服务瘫痪，并需要数千万美元来恢复该城市的网络。

根据公开统计数据和公告，2019年至少有174个市政组织受到了勒索软件的攻击。与一年相比增加了大约60％。赎金在5,000美元至5,000,000美元之间，平均大约为1,032,460美元。但差异很大，例如小城镇学区勒索的资金比从大城市市政厅勒索的资金小20倍。

根据分析师估计，攻击造成的实际损失通常与犯罪分子要求的数额有所不同。首先，保险公司为一些市政机构和供应商提供了针对网络事件的保险，这可以以另一种方式补偿成本。其次，可以通过及时的事件响应来消除攻击。最后，并非所有城市都支付了赎金：在巴尔的摩加密案中，官员拒绝支付赎金，该市最终花费了1800万美元来恢复其IT基础设施。虽然这笔钱比犯罪分子要求的114,000美元要多得多，但支付赎金是一种短期解决方案，会鼓励攻击者继续其恶意行为。一旦城市的IT基础设施遭到破坏，需要进行审核和彻底的事件调查，以防止再次发生类似的事件，还要实施强大的安全解决方案，这会带来额外的成本。

一般来说，可以通过两个入口点来攻击市政当局：社会工程和未更新软件的漏洞。在用户设备上最经常被阻止的勒索软件排名中，所有时间段内都处于领先地位的是WannaCry。微软为其Windows操作系统发布了一个补丁程序，该补丁程序在攻击开始前几个月就已关闭了相关漏洞，但WannaCry仍然影响了全球数十万台设备。在2019年第三季度收集的最新统计数据表明，WannaCry结束两年半后，所有用户中有五分之一受到了WannaCry的攻击。从2017年到2019年中的统计数据表明，WannaCry一直是最受欢迎的恶意软件样本之一，占该时期内勒索软件攻击的27％。

另一种情况是，犯罪分子利用人为因素：企业组织对员工进行的培训远未达到应有的普遍水平。许多行业由于员工的错误而损失了巨额资金，包含恶意软件安装程序的网络钓鱼和垃圾邮件仍在网络上流传并到达受害者手中。这些受害者可能正在管理公司的帐户和财务时打开诈骗邮件，下载PDF文件导致网络受到攻击。

在整个2019年遭受攻击的众多类型的市政组织中，有些组织受到的攻击要多于其他组织。最具针对性的是教育组织，约占所有攻击的61％：2019年，105个学区受到攻击，530所学校成为目标。同时，市政厅和市政中心约占案件总数的29％。另一个受欢迎的目标是医院，占所有攻击的7％。此外，遭受攻击的所有机构中约有2％是市政公用事业服务机构或其分包商。服务提供商经常被用作整个设备和组织网络的入口，攻击者成功攻击服务提供商的情况下，会攻击供应商或机构服务的每个地点。公用事业服务的中断会导致重要的常规服务中断，例如居民在线支付服务。

下面是针对市政组织攻击中一直活跃的恶意软件。

Ryuk

Ryuk勒索软件（检测名称：Trojan-Ransom.Win32.Hermez），它攻击大型组织以及政府和市政网络。 该恶意软件首次出现在2018年下半年，并且在整个2019年一直在变异和传播。

在世界各地都可以看到Ryuk。

传播方式

Ryuk采用了多阶段计划传播勒索软件。

初始阶段通过Emotet bot（检测名称：Trojan-Banker.Win32.Emotet）感染大量计算机。 通常通过发送包含带有恶意宏文档的垃圾邮件实现，如果受害者允许执行宏，则该恶意宏将下载bot。

在感染的第二阶段，Emotet将收到来自其服务器的命令，下载并安装另一种恶意软件Trickbot（判定为Trojan.Win32.Trickster）到受感染的系统中。攻击者可利用该恶意软件在受感染的网络中进行侦察。如果犯罪分子发现他们已渗透到受害者内部，例如大型市政网络或公司，他们会继续进行感染的第三阶段，将Ryuk勒索软件部署到受影响网络中的许多节点。

技术简介

Ryuk自创建以来一直在发展，存在32位和64位版本，加密方案有时也因样本不同而不同。

下面将描述2019年10月下旬发现的最新样本（MD5：fe8f2f9ad6789c6dba3d1aa2d3a8e404）。

1）文件加密

Ryuk使用混合加密方案，该方案使用AES算法对受害者文件的内容进行加密，使用RSA算法对AES密钥进行加密。 Ryuk使用Microsoft CryptoAPI实现加密。

该木马样本包含攻击者嵌入的2048位RSA密钥。 Ryuk将为每个受害文件生成一个唯一256位AES密钥，该密钥将用于加密文件内容。 AES密钥由RSA加密，并保存在加密文件的末尾。

Ryuk加密本地驱动器和网络共享。加密的文件将获得一个附加扩展名（.RYK）。

2）附加功能

为了对网络造成更大的破坏，Ryuk变种使用了新的技巧； Trojan尝试唤醒处于睡眠状态的其他计算机。

Ryuk这样做是为了最大程度地扩大攻击面：位于睡眠PC上的网络共享上文件不可访问，但如果木马设法唤醒它们，就可以对这些文件进行加密。 Ryuk从受感染系统的本地ARP缓存中检索附近机器的MAC地址，并将以{0xff，0xff，0xff，0xff，0xff，0xff}开头的广播UDP数据包发送到端口7唤醒目标计算机。

Ryuk算法在勒索软件中较为传统的其他功能包括：将代码注入合法进程中以避免检测； 尝试终止与被加密应用程序相关的过程，使这些程序使用的文件可被修改； 试图停止与业务应用程序和安全解决方案相关的各种服务。

Purga

这个勒索软件系列出现在2016年中期，且仍在积极地开发和向世界各地传播。该恶意软件的特征之一是，它攻击常规用户以及大型公司甚至政府组织。 该恶意软件检测为Trojan-Ransom.Win32.Purga。

传播方式

该恶意软件使用了各种类型的传播方式。主要的攻击手段是垃圾邮件和RDP暴力攻击。

常见的攻击情形：

1、犯罪分子扫描网络以查找开放的RDP端口

2、尝试暴力破解凭据以登录到目标计算机

3、成功登录后，犯罪分子会尝试各种漏洞来提升权限

4、犯罪分子启动勒索软件

技术简介

Purga勒索软件在过去的两年中改变了几种加密算法，密钥生成功能，密码方案等，简要介绍最新的修改。

1）命名方案：

Purga会为每个文件使用不同的扩展名，使用不同的电子邮件地址进行联系。尽管对加密文件使用了各种扩展名，但该木马仅使用两种命名方案，具体取决于其配置：

[original file name].[original extension].[new extension]：

[encrypted file name].[new extension]：

文件加密

木马结合了对称和非对称算法的标准方案。 使用随机生成的对称密钥对每个文件进行加密，然后使用非对称密钥对对称密钥进行加密，并将结果存储在专门构建的结构中。

Stop

Stop勒索软件（也称为Djvu STOP）于2018年底出现，检测名称是Trojan-Ransom.Win32.Stop，根据统计数据，在2019年Stop勒索软件攻击了全球2万多名受害者。 根据2019年第三季度报告，Stop勒索软件在最常见的勒索软件中排名第七。

传播方式

攻击者主要通过软件安装程序来传播其恶意软件。 当用户从不受信任的站点下载特定软件或尝试使用软件破解程序时，他们的计算机会受到勒索软件的感染。

技术简介

勒索软件使用随机生成的Salsa20密钥，然后使用RSA密钥对其进行加密。

根据C＆C服务器的状态，勒索软件会使用在线或离线RSA密钥。 离线RSA密钥可以在每个恶意样本的配置中找到。

总结与建议

2019年是勒索软件对市政当局进行攻击的一年，这种趋势会在2020年继续。针对市政当局的攻击次数不断增加的原因有多种。

首先，市政当局的网络安全预算通常更侧重于保险和应急响应，而不是主动防御。其次，市政部门通常是由多个组织组成的网络，对它们的打击会同时在多个层次上造成中断，从而使整个地区的流程都陷入停顿。此外，存储在市政网络中的数据通常对于日常服务的运行至关重要，它直接关系到公民和地方组织的利益。

简单的预防措施可以帮助对抗恶意软件攻击：

1、必须尽快安装安全更新。大多数网络攻击利用已报告的漏洞，因此安装最新的安全更新可降低受到攻击的可能性。

2、通过VPN保护对公司网络的远程访问，并为域帐户使用安全密码。

3、始终更新操作系统以消除最近的漏洞，并对更新的数据库使用可靠的安全解决方案。

4、始终保留文件的新备份副本，以便在丢失时可以替换它们，并将它们不仅存储在物理介质上，而且还存储在云中，以提高可靠性。

*参考来源：securelist，由Kriston编译，转载请注明来自FreeBuf.COM