前言

2019年针对企业的勒索病毒攻击越来越多，仿佛全球都在被勒索，基本上每天都会有关于勒索病毒攻击的案例被曝光，勒索病毒攻击已经成为全球最大的网络安全威胁，同时也被国际刑警组织认定为全球危害最大的网络犯罪组织活动，勒索病毒网络犯罪团伙的攻击行为变的越来越有针对性和目的性，笔者通过分析几起勒索病毒攻击活动案例，思考勒索病毒攻击出现的一些普遍现象，以及勒索病毒未来可能的发展趋势

2019年11月9日拥有44万客户的ASP.NET网络托管提供商遭到勒索软件的攻击，这是今年的第三家大型网络托管提供商被勒索病毒网络犯罪团伙攻击，加密了客户服务器上的数据，该公司被勒索病毒攻击之后，客户电话被打爆而不得不中断客户电话热线，该公司网站在11月9日被迫关闭一整天，随后在2019年11月10日才重新上线，并向客户承认遭到了黑客使用勒索病毒攻击，正在积极与安全专家合作，尝试解密客户的数据，并确保不会再发生这种情况......

我们来回顾一下该公司被勒索之后的整个过程，该公司是在11月9日被黑客使用勒索病毒攻击，网站被fcb迫关闭，11月10号，国外Twitter上有人公布了被勒索的相关截图信息，如下所示：

从曝光的截图信息可以看出网站的数据文件等被加密，加密后的文件，如下所示：

勒索提示信息文件，如下所示：

通过受害者公布的勒索病毒的相关信息，在BleepingComputer网站上进行查询，可以判断该公司可能是中了Snatch勒索病毒的最新的变种样本，如下所示：

2019年11月11日，ASP.NET在其Facebook上更新了一天关于公司应急响应的一些进展情况，宣称勒索病毒加密的客户帐户和网站数据正在逐渐被解密和恢复，如下所示：

并且在2019年11月12日上午，ASP.NET发布了公告，称已所有解密已完成，大多数帐户恢复正常，如下所示：

然而从下面的评论可以看出部分客户似乎恢复了，但一些客户却仍然在抱怨网站依然处于离线状态，如下所示：

直到2019年11月14日，官方再次发表公告宣称99%的网站，数据库，电子邮件已经恢复，如下所示：

从2019年11月9日被勒索病毒攻击，文件数据被加密，11月9日一整天网站关闭，客户电话也被迫关闭，11月10日才重新上线，然后一直到14日上午发布公告，声称完成了解密工作，99%的网站、数据库，电子邮件完成恢复工作，整个应急响应工作持续了长达一周之久，期间不断有客户在twitter或facebook在吐槽，可以说这次勒索病毒攻击对SmarterASP.NET造成了巨大的影响和损失

SmarterASP.NET网络托管提供商，以其相对便宜的价格使组织或个人每月可以托管无限数量的网站，该公司一共拥有44万多个客户，托管的网站更是不计其数，然而这也成为了勒索病毒网络犯罪团伙攻击的诱人目标，事实上这是今年第三家大型网络托管提供商遭受到勒索病毒的攻击，其它两家网络托管提供商，如下：

2019年4月23日，著名的Windows Server网络托管服务提供商A2被勒索病毒攻击，其在亚洲和北美的服务器均被Globelmposter2.0勒索病毒加密，在长达的一周的时间内，客户的网络服务器主机都被停机，虽然A2公司的工作人员一直在努力解决，但因为解决时间过长，怀疑可能是与黑客解密的赎金没有谈拢，最后导致无休止的投诉，客户非常不满，并在社交网站上吐槽表示该公司没有强大的安全性和保障性

2019年7月16日，虚拟桌面环境的云计算提供商iNSYNQ被勒索病毒攻击，受影响的不仅是iNSYNQ的直接客户，还包括使用其基础架构托管的一些公司，其后iNSYNQ首席执行官披露了该公司被MegaCortex勒索病毒攻击，在受到勒索病毒攻击之后，iNSYNQ被迫关闭其基础架构，以防止勒索病毒传播到更多的系统，该勒索病毒也导致该公司花费了将近一周的时间恢复其业务，事实上恢复操作并未完全成功，仍然有一些客户无法访问某些个人文件和帐户备份等

勒索病毒攻击团队一直在寻找着新的攻击目标，2019年11月10日，墨西哥国有石油公司Pemex被DoppelPaymer勒索病毒攻击，攻击者声称解密其文件需要支付565个BTC，相当于499万美元，如下所示：

尽管Pemex在twitter上发表了申明，宣称他们的系统正常在运行，公司的运营和生产系统并未受到损害，并受到了保护，改善了其安全性，黑客攻击没有成功，攻击已被及时消除，影响不到5%的个人计算机设备功能，但至少证明此公司成为了黑客攻击的目标之一，如下所示：

从上面这几起勒索病毒攻击的案例，我们可以总结出关于勒索病毒攻击的两个现象：

1.勒索病毒攻击团伙不再像以前那样漫无目标发起勒索攻击，更多的将目标锁定在全球各国的政府、企业、相关组织机构等，而且这些攻击都具有很强的针对性与目标性，勒索病毒攻击团伙会越来越专业，他们前期会通过各种信息收集渠道，不断收集全球范围内的各种政府、企业、组织机构的相关信息，同时查找出一些安全防范措施相对比较薄弱的政府、企业、组织机构进行定向攻击，通过钓鱼邮件或漏洞传播勒索病毒加密企业数据，然后让这些受害者支付大额的赎金，各国政府、企业、组织机构一定要做好安全保障措施，提高自身的安全保障，可能这些勒索病毒网络犯罪团伙正在收集你的企业相关信息，并试图发起勒索病毒网络攻击活动，未来会有更多专业的网络犯罪团伙使用勒索病毒对企业进行定向攻击。

数据安全是未来安全保障的重点，黑客攻击各国政府、企业、组织机构，主要针对数据进行攻击，对数据进行攻击，表现形式主要为以下两点：

1)盗取

全球各地的各种黑客组织，通过复杂的网络攻击活动，盗取各国的政府、企业、组织机构等重要的数据，一些APT组织会通过网络攻击有目的盗取被攻击目标的重要数据。

2)破坏

一些有组织有目标的黑客团伙会通过网络攻击活动，破坏一些国家的基础设施，对这些基础设施上的数据进行破坏，导致一些国家重要的一些基础设施无法工作运行，达到攻击的目标，这些攻击可能存在军事或政治目的，也有一些专门从事勒索病毒网络犯罪团伙，为了快速获取巨额的利益，针对一些国家的重要的基础设施，企事业单位进行勒索攻击。

2.从上面的几个案例可以看出，这些企业被勒索病毒攻击之后，其恢复难度之大，三家公司基本上都花费了一周以上的时间对客户的业务进行恢复，然而仍有一些客户的业务受到影响，无法正常运行，勒索病毒的恢复是一项复杂的事情，特别是有些勒索病毒不仅仅加密企业的重要数据库文件，连操作系统也一起加密了，这样如果没有完美的解密工具，仅仅依靠备份的数据库恢复数据，同样会导致客户的业务出现问题，需要进行系统的还原与恢复，同时还需要进行数据库恢复等等。

在被勒索期间一些客户不断在各种社交网站上吐槽，国外一些大型的企业在被勒索之后，为了不造成负面的影响，可能会默默选择给黑客交付赎金，以寻求业务的快速恢复，避免造成不良的影响，一些大型的企业不想让客户或媒体知道自己的企业被勒索病毒攻击，因为如果一家企业被勒索病毒攻击成功，会让客户觉得这家企业的安全保障性比较差，客户的数据无法在这家企业得到有效的保障而对企业失去信心，然而如果企业的客户的业务受到影响，又迟迟得不到企业的快速解决，就会在各种网站曝光，大部分企业被勒索病毒攻击被曝光，都是客户在网上吐槽曝光的，从上面国外几个勒索病毒攻击的案例中可以看出，被勒索病毒攻击之后，企业不会第一时间对外宣布，很多都是企业的客户业务受到了影响，在短时间内又无法解决，然后客户就会在一些社交网站上吐槽，一般企业在受到勒索病毒攻击之后，是不愿意马上公开的，都会直接向一些安全公司寻求帮助，希望能解密数据，快速恢复业务，最大限度的减少企业的损失，因为数据是企业的核心资产，如果数据被破坏或盗取，不仅仅给企业，同时也给企业的客户会造成巨大的损失。

关于勒索病毒未来可能的发展趋势

最近一年针对企业的勒索病毒攻击越来越多，同时勒索病毒的攻击手法也在不断更新，基于无文件的勒索病毒攻击也在不断增多，可以预测在未来Windows平台上基于无文件的勒索病毒攻击应该会增多，这种攻击可以逃避到大量的终端安全软件的检测，未来会有更多新的攻击手法来传播勒索病毒，现在基于Windows服务器的勒索病毒变种非常多，未来这些网络犯罪团伙会不会向Linux等服务器平台进行转向，针对Linux平台进行勒索病毒攻击，同时随着5G物联网的到来，勒索病毒犯罪团伙未来可能还会将目标扩大到各种物联网设备。

勒索病毒是来钱最快，也是最直接最暴力的网络攻击方式，随着勒索病毒攻击成本越来越低，未来可能会有更多新的网络犯罪团伙加入到勒索病毒攻击组织活动当中，以寻求快速获利，前段时间一个号称TA2101的攻击组织活动，疯狂利用垃圾邮件传播安装后门软件，其中还发现该组织还会分发Maze勒索病毒，加密勒索受害者，可以预测一批新的网络犯罪团伙似乎也已经将攻击目标转向全球各国的政府、企业、组织机构等，对这些部门进行勒索病毒攻击，从而勒索巨额的赎金。

同时随着GandCrab勒索病毒商业模式的获取了巨大的利润之后，基于RaaS模式的新型勒索病毒层出不穷，未来这种基于RaaS模式的新型勒索病毒会越来越多，导致勒索病毒攻击的门槛越来越低，任何黑产团队都可以直接通过地下黑客论坛购买订制勒索病毒，然后通过各种渠道进行传播获利。

数据安全是未来安全的重点方向，如何做好企业数据安全，是每个企业需要思考的问题，在当今网络安全威胁形式越来越重严的环境下，各国政府、企业、组织机构一定要高度重视网络安全，全球各地的网络犯罪组织每天都在不断的寻找和攻击新的攻击目标，有些组织存在政府目的，有些组织就是纯利益目的，不管是什么目的，这些组织都在不断尝试各种新的网络攻击手法，全球网络安全环境比以往任何时间都要变化的快，各安全企业也要时刻关注全球网络安全环境，不断创新，开发改进自己的产品，以防御真正的网络安全威胁，未来市场变化会更快，网络犯罪团伙在不断的研究新的攻击手法和新的技术，攻击的平台和目标也在不断的变化，同时各网络安全研究从业人员，需要不断学习，提高自身安全技能，以对应未来更多样化更复杂的网络安全攻击活动。