网络安全研究人员表明，2020年全球勒索病毒攻击事件与2019年相比翻了一番，主要是因为新冠疫情在家办公，而个人办公环境网络安全措施过低增加了被攻击的可能性，同时勒索病毒已经提升了从银行金融、 *** 服务、保险和制造业等各个行业部门中窃取敏感数据的攻击能力，导致2020年勒索事件增长率的增加。

勒索病毒的攻击对全世界所有企业和个人来说都是一个巨大的危险。勒索病毒通过攻击被勒索者的网络，加密被勒索者的关键数据或敏感数据，让被勒索者无法解密获取自己的数据，之后网络罪犯向这些被勒索者索要赎金，以换取加密数据。与此同时，他们通过网络出售这些数据来赚取二次利润。

云祺科技这里为大家总结了2020年十大勒索病毒，同时提供勒索病毒预防措施，以及被攻击后的应对措施。为数据安全预防做好准备，知己知彼，才能百战不殆。

2020年十大勒索病毒盘点

一 REvil Ransomware

REvil是一种文件加密病毒，一旦它渗入系统，就会对所有文件进行加密，并向受害者索取钱财。在赎金要求中，犯罪分子要求受害者通过比特币支付赎金，如果受害者在一个特定的时间内不支付赎金，赎金率则翻倍。

Grubman Shire Meiselas & Sacks the law corporation（格鲁曼律师事务所）的数据泄漏是由恶意勒索软件引起的。攻击者窃取了知名客户的数据，并在暗网上分享了这些数据。

据报道，Drake（德雷克）, Robert De Niro（罗伯特·德尼罗）, Rod Stewart（罗德·斯图尔特）, Elton John（埃尔顿·约翰）, Mariah Carey（玛丽亚·凯莉）等明星的个人信息也可能是通过该勒索病毒攻击获得的。

此外，名人电脑文件的截图也被泄露，比如 Madonna（麦当娜）的巡演合同，或者Bruce Springsteen（布鲁斯·斯普林斯汀）, Bette Midler（贝蒂·米德勒）, Barbra Streisand、（芭芭拉·史翠珊）的文件。该勒索病毒在我们2020勒索病毒攻击名单中排名第一。

二 Sodinokibi Ransomware

Sodinokibi勒索病毒是一种恶意勒索病毒，也被称为Sodin。它于2019年9月通过使用Oracle Weblogic服务器上的zero-day漏洞传播开来。漏洞被修复后，它继续通过远程桌面服务器和其他漏洞的软件安装程序传播。

经过深入分析，发现Sodinokibi与GandCrab关系密切，它们都有相似的密码。同期，GandCrab的使用呈下降趋势，而Sodinokibi的使用呈上升趋势。这一信息使分析人员认为这两种勒索软件有很强的联系。

三 Nemty Ransomware

与其他勒索病毒不同，Nemty勒索病毒的行为就像一个勒索软件服务。当它第一次出现时，它经常在俄罗斯盗版论坛网站上做广告。从2019年夏天到2020年夏天一直处于活跃状态。

在RaaS(勒索软件服务)积极服务期间，它的客户端能够访问一个门户，该门户允许他们创建一个特殊版本的Nemty。之后，客户能够以他们喜欢的方式传播这些版本。

网络钓鱼邮件积极参与了这种恶意病毒的传播。当一台被Nemty感染的计算机支付赎金时，30%的付款转移给Nemty开发者，其余的转移给客户。

几个月前，Nemty的开发者宣布他们将不再提供勒索软件服务，但他们会自己使用。他们还强调，如果客户不在一周内付款，文件将永远不会被保存。

四 Nephilim Ransomware

当它首次出现时，网络安全研究人员发现Nephilim的资源代码非常类似于Nempty，如果被勒索者不支付赎金，攻击者就要公布敏感数据。

Nephilim的受害者通常是大型组织和公司。19年12月，攻击者计划利用他们在Citrix *** 设备上发现的弱点，攻击 *** 机构和公司。此外，他们还利用远程桌面网络和VPN的漏洞对受害者的数据进行攻击加密。

在勒索信中，攻击者强调这些数据已被军事级别的算法加密，敏感数据已被攻破。为了证明他们的权威，Nephilim攻击者从受害者那里获取两个加密文件，解密它们并将其发送给受害者，使受害者相信他们是唯一可以解密文件的人。

五 NetWalker Ransomware

Netwalker也被称为Mailto，是Mailto的最新变种之一。 *** 机构、医疗组织、企业、远程办公者都是Netwalker的攻击目标。

NetWalker使用受害者的网络加密所有Windows设备，根据网络安全研究人员的分析，NetWalker采用两种不同的方式进行攻击，一种是冠状病毒钓鱼邮件，一种是通过网络传播的可执行文件。NetWalker是2020年勒索病毒盘点中最具破坏性的恶意病毒之一。

六 DoppelPaymer Ransomware

DoppelPaymer勒索病毒及其变种首次出现于2019年4月，于2019年6月瞄准了第一批受害者。到目前为止，已经发现了8种不同的变异病毒。

DoppelPaymer在加密了受害者的文件后给他们留了一张便条，该便条不仅包括赎金的数量，还包括一个链接，受害者通过TOR访问支付赎金。经证实，目前已有3名受害者，网络犯罪分子共获利142个比特币，大约为120万美元。

七 Ryuk Ransomware

Ryuk是最活跃的勒索病毒之一。Ryuk使用其他恶意软件感染目标系统，此外，它还可以访问EMCOR和远程桌面服务等系统。对于每个文件，它都使用独特的军事算法，如RSA和AES，它会阻止被勒索者访问系统或设备，直到赎金付清。

大型公司和 *** 机构都是Ryuk的目标。例如，总部位于美国的EMCOR公司，世界500强，被Ryuk病毒攻击导致EMCOR的一些IT系统停用。

八 Maze Ransomware

Maze勒索病毒之前被称为“ChaCha勒索病毒”，由Jerome Segura于2019年5月29日发现。Maze是通过使用名为Fallout和Spelvo的攻击工具发动攻击，窃取了敏感数据，加密所有的文件，并要求赎金恢复。

它是世界上最危险的病毒，因为如果赎金要求得不到满足，就会对公布数据。据称Cognizant、Canon（佳能）、Xerox（施乐）和一些医疗保健行业都是Maze勒索软件的受害者。

九 CLOP Ransomware

据发现，攻击者利用CLOP勒索病毒攻击世界各地的公司和组织。攻击者使用钓鱼方法来破坏敏感数据，并将它们转移到自己的服务器上。CLOP增加了“.clop "扩展到每一个加密的文件，此外，它创建了一个“ClopReadMe”.txt文件。在这种勒索病毒中，RSA算法被用来加密数据，而生成的密钥保存在远程服务器中，由攻击者控制。

如果赎金谈判失败，攻击者就会在暗网一个名为CL0P - LEAKS的泄露网站上公布数据。此外，最新版本的CLOP能够停用本地安全系统，如Windows Defender和Microsoft security Essentials。CL0P还可以用特洛伊木马或其他恶意软件感染系统。

十 Tycoon Ransomware

Tycoon是最近发现的一种勒索病毒。许多教育行业和软件企业都遭受过它的攻击。Tycoon被添加到Java运行时环境的木马版本中，这也是第一次使用Java语言中JMAGE格式的个人化恶意JRE编译。

自被发现以来，Tycoon一直表现出一种激进的策略。Tycoon感染受害者系统，拒绝访问管理员，而是发动另一个攻击文件服务器和域控制器。弱密码是Tycoon的一大特点。

如何避免勒索病毒攻击?

1 登录口令采用大小写字母、数字、特殊符号混用的组合方式，使用足够长度的口令并定期更换。

2 及时修补系统漏洞，同时不要忽略各种常用服务的安全补丁。

3 关闭非必要的服务和端口如135、139、445、3389等高危端口。

4 严格控制共享文件夹权限，在需要共享数据的部分，尽可能的多采取云协作的方式。

5 提高安全意识，不随意点击陌生链接、来源不明的邮件附件、陌生人通过即时通讯软件发送的文件。

6 制定备份计划。对于企业数据中心统一做数据保护系统，制定备份计划，保证拥有定期时间段的备份数据。

7 制定恢复计划。制定勒索病毒发生预案，对在事故发生后的人员分工、备份数据恢复、业务运行等进行详细安排，并定期进行灾难恢复演练。

8 多种备份计划。为了有效备份，甚至可以同时制定异地备份、云端备份、副本备份等多种备份计划，多种备份数据更能万无一失。

9 拒绝支付赎金，安全专家认为与其付钱给罪犯，不如用你的备份来恢复你的数据。

在勒索病毒攻击后你应该做什么？

被勒索病毒攻击时，你可以使用云祺备份软件迅速获取你的文件，而不需要支付赎金。

如果你是云祺备份软件用户，被勒索软件攻击时，有4个步骤要遵循:

1) 如果发现有勒索病毒感染，请关闭设备上的所有文件共享活动。

2) 找到被加密文件数据，定位并评估病毒造成的损害范围。

3) 找到被加密数据所使用云祺备份软件备份的最近备份点。

4) 利用云祺备份软件，瞬时恢复最近备份点，启动业务并进行数据验证。

通过对各种勒索事件分析，不难发现，数据备份才是应对勒索病毒的最佳选择。在发生勒索事件前定期或者实时备份重要的业务数据，在发生勒索事件后，快速恢复备份数据，拉起业务运行，无需支付勒索赎金也可快速恢复数据。