这是2022年最受关注的网络攻击事件之一，因为这是一个国家首次宣布进入“国家紧急状态”以应对勒索软件攻击。

2022年4月，哥斯达黎加政府遭受勒索软件攻击，多个政府部门大量系统受影响瘫痪，众多敏感数据被盗。财政部受影响最严重，纳税人信息被盗引发大众恐慌；税务海关等系统瘫痪数天，导致该国出口业务损失惨重，至少损失2亿美元。

针对这起影响极为恶劣的事件，幕后黑手究竟是谁呢？它又为何能如此猖獗？

它就是著名勒索组织Conti，其危害性和趋利性在目前已知的勒索组织排在前列，经常向受害组织索取上百万美元的赎金。年入近50亿美元的美国营销巨头RRD、中国台湾电子产品制造公司台达电子、印度尼西亚中央银行（BI）等知名机构，都曾经遭受Conti的勒索攻击。

在近日播出的安全芝士局第八期线上节目中，默安科技安全研究员lanyi以勒索组织Conti为例，为大家分享了勒索软件攻击背后的秘密。

勒索组织的精耕细作

01 他们比你还要了解你的公司

Conti在开源情报工具（OSINT）上投入了大量预算。例如，它订阅了许多服务，这些服务可以帮助确定某特定IP地址的使用者身份，或者确认某IP地址是否与已知的虚拟专用网络（VPN）服务相关联。Conti平均每天可以访问数万台被黑的终端，这些OSINT服务则起到筛选作用，让Conti能聚焦于大型企业网络中的受感染系统。

Conti的开源情报活动还涉及商业服务，这些服务可以帮助Conti在与受害公司的赎金谈判中占据上风。Conti 经常将赎金要求设定为受害公司年收入的百分比，对于拒绝参与或谈判的公司，Conti则会骚扰其董事会成员和投资者。

02 会勒索，更会“炒作”

Conti泄露的聊天记录包括多次内部审议，关于让不同的勒索软件受害公司支付多少赎金，Conti似乎已经向多个第三方寻求帮助。

总部位于美国密尔沃基的网络情报公司Hold Security3月初在Twitter上发布了一段对话的截图，其中一位Conti成员声称他们可以聘请一名记者，通过撰写文章向受害公司施加压力，要求他们支付赎金。

03 双重勒索，赚双份的钱

Conti 是最早使用“双重勒索”的最佳实践者，即向受害公司收取双份赎金：一个是为了换取解锁受感染系统所需的数字密钥，另一个是为了确保任何被盗数据都将被销毁，不会被出版或出售。

双重勒索的绝妙之处在于，即使受害者拒绝付费获得密钥，他们也仍然可能会为了数据不外泄而付费。而且就算你绝对不为密钥付费，也不为数据外泄付费，他们也可以将你的数据卖给你的竞争对手来赚取钱财。

勒索病毒进化史

2023年以来，勒索攻击态势日益严峻，在数量上再创历史新高。据Zscaler安全威胁实验室发布的《2023 年全球勒索软件报告》显示，截至 2023 年 10 月，全球勒索软件攻击数量同比增长 37.75%，勒索软件的有效攻击载荷激增了 57.50%。作为这些勒索攻击事件的主角之一，勒索病毒到底经历了怎样的演变历程呢？

01 萌芽期

第一个勒索病毒（AIDSTrojan，又名“艾滋病特洛伊木马”）诞生于1989年，这个木马以“艾滋病信息引导盘”的形式进入系统，把系统文件替换成含病毒的文件，并在开机时开始计数。一旦系统启动达到90次，木马就会隐藏磁盘的目录，C盘全部文件也会被加密，从而导致系统无法启动。而这时，电脑屏幕就会弹出一个窗口，要求用户邮寄189美元来解锁系统。

2006年，我国首款勒索软件Redplus勒索木马出现。这个病毒并不会删除电脑里的文件，而是把它们转移到一个具有隐藏属性的文件夹里，然后弹出窗口要求用户将赎金汇到指定的银行账户，金额从70元至200元不等。

02 成长期

勒索病毒在中国的发展是随着移动支付的普及逐渐爆发的，最初主要的传播途径是百度贴吧或者QQ群，交赎金的方式则是加QQ或者微信收款码。这种交付形式存在天然的缺陷，不管是邮寄地址还是转账账号，都很容易暴露黑客的信息，为了几百块的勒索赎金就这样铤而走险，特别不划算。

勒索病毒的盛行离不开另一个伴侣——虚拟货币，特别是比特币等加密货币，因其匿名性、去中心化和可追踪性较差的特点，成为了勒索攻击者选择的唯一支付方式。

2013年是勒索病毒发展的一个重要“分水岭”，首个采用比特币作为勒索金支付手段的加密勒索软件——CryptoLocker病毒出现了。这一时期的勒索病毒一般使用AES和RSA对特定文件类型进行加密，而这种加密算法就现在的计算技术来说，几乎是没办法破解的。

03 成熟期

2017年，一款名叫“WannaCry”的勒索病毒席卷了全球150多个国家，勒索病毒从此正式走向专业化、SaaS化，现在的勒索市场有专门提供勒索病毒的团队和运营团队。

早期的勒索病毒攻击靠批量扫描发现薄弱点，目标较为分散，主要分布于中小企业，行业范围没有限制。但近年来，勒索攻击与高级持续性威胁相结合,演化出针对高价值目标的定向勒索,例如制造业、金融、医疗等。更有甚者,勒索组织在攻击前会研究企业的经济状况,根据其支付能力决定赎金多少。

勒索病毒传播方式

lanyi介绍，勒索病毒的传播方式主要分为以下几种：

• 一是通过暴力破解成功获取数据库口令后。常见的爆破手段有：RDP弱口令、MSSQL弱口令、Mysql弱口令、redis弱口令等。获取口令爆破成功后，部分会下发远程工具投毒或直接下发勒索病毒，在内网进行横向移动；部分则会直接删除数据库中原本的内容，然后只在数据库中留下勒索信息。

• 二是利用携带恶意代码的第三方软件进行传播，可能通过各种第三方软件下载站以及各种软件破解版进行传播，几年前MAC上Navicat破解版被投毒就是一个例子。

• 三是利用多种Nday 漏洞进行传播。部分大的勒索组织甚至会有人专门负责漏洞挖掘，挖掘0day漏洞进行勒索病毒投放。

• 四是电子邮件。部分勒索组织会通过发送钓鱼邮件的方式，来获取网络入口点，再通过横向移动的方式来扩大网络权限，之后再投放勒索病毒。

勒索病毒解决方案

那么，企业应如何应对勒索病毒呢？lanyi给出了以下防护建议：

隔离受感染系统

将受感染的计算机与网络隔离，防止病毒传播到其他系统。

确定勒索病毒的种类

首先，勒索病毒通常会在受感染的文件夹中留下一个文本文件，其中包含有关支付赎金的说明和联系方式，这些信息中可能会透露该勒索病毒的种类或者所属组织；其次，可以观察被加密文件的后缀名，常见的一些扩展名有：.novalid .GSupport3 .antihacker2017等。

尝试解密

其一，目前一部分勒索病毒已经有了免费的安全解密工具，如CrySiS、Globe、Alcatraz Locker、Nemucod、和NoobCrypt，这些病毒都可以免费解锁。

其二，部分勒索软件在对本地的文件完成加密后，会将加密的密钥发送到服务端进行保存。如果网络中部署了全流量设备，有一定的概率是可以拦截到加密密钥的。

其三，在对勒索病毒较为了解的情况下，可以将病毒进程进行内存导出，后续通过关键字在内存文件中搜索密钥。

纵深治理

勒索病毒的防护是一个系统化的工程，需要系统化、体系化、整体性的思维，绝不是部署单一产品能够解决的。默安科技基于在网络侧及主机侧的攻防研究与技术积累，推出“勒索病毒纵深治理解决方案”，帮助企业从事前、事中、事后，有效提升勒索病毒纵深治理和整体安全防御能力。

图 默安科技勒索病毒纵深治理解决方案

1 一旦发生事件，应急响应很重要

国内外勒索病毒攻击事件层出不穷，且随着病毒的隐匿性不断增强，一般在中招之后才意识到遭受病毒入侵了。针对这种情况，默安科技勒索病毒纵深治理体系提供的应急响应服务，针对勒索病毒及挖矿病毒的分布情况和攻击情况进行应急排查与处置。

图 默安科技勒索攻击事件应急响应服务流程

2 更重要的，是未雨绸缪

01“事前、事中、事后”的全面治理

事前阶段，对全网资产进行安全梳理，将重要文件锁定防止被加密或篡改，锁定重要业务主机进程防止勒索或挖矿程序启动，威胁情报中心提供实时的勒索病毒、矿池情报。

事中阶段，对挖矿病毒的传播感染重点防护，利用威胁情报、恶意软件检测防护技术、黑白名单策略、欺骗防御技术等，精准检测挖矿、挖矿安全事件，提供有效的实时处置能力，包括自动阻断、溯源定位等。

事后阶段，建立完善的应急处置团队和应急处置规范流程，对病毒事件进行抑制、根除、溯源等，协助用户单位加固网络和快速恢复业务。

02 覆盖攻击周期的对抗处置

默安科技以刃甲·网络攻击干扰压制系统及火线云XDR安全运营平台为主体技术的勒索病毒治理体系，将安全感知能力充分覆盖病毒攻击的全生命周期中，最后借助安全服务团队彻底清除系统中的病毒残留。

03 统一的安全能力联动机制

• 威胁情报联动：

国际病毒库同步，云端情报实时共享，幻阵发现的本地真实情报；情报中心与云、网、端安全设备同步情报；上、下级单位情报联动与通报。

• 安全能力联动：

基于勒索及挖矿攻击特征提前预设安全策略，精准感知攻击行为，并自动化阻断；安全能力覆盖从边界入侵、内网传播到终端执行的整个攻击链条，整体感知攻击态势。

• 安全数据联动：

安全风险数据与典型的勒索/挖矿攻击特征的联动分析；资产、风险、攻击等安全数据可查、可追溯；安全数据的对外共享。

默安科技勒索病毒纵深治理解决方案已成功应用于政府、运营商、金融、智能制造等行业，帮助发现多起勒索攻击事件，并协助客户有效提升病毒预防与治理的整体安全能力。未来，默安科技将继续秉承可持续运营和注重实战实效的理念，帮助广大政企客户构建并完善勒索软件攻击防护体系，实现更稳健的数字化转型、更高效的业务增长。