6月份伺服器遭遇勒索病毒攻擊的情報匯總

來自專欄騰訊安全聯合實驗室

騰訊御見威脅情報中心監控發現，進入6月份以來，針對伺服器的勒索攻擊呈明顯增長，其中Crysis家族增長尤為明顯。Crysis家族最早可以追溯到2016年3月，但進入17年之後，開始持續傳播擴散，一直針對windows伺服器攻擊。

針對伺服器攻擊的勒索病毒，黑客首先會利用弱口令漏洞、未修補的系統漏洞等方式獲得遠程登錄用戶名和密碼，之後通過RDP（遠程桌面協議）登錄伺服器來下載運行勒索病毒。

攻擊者可以在管理員許可權直接關閉安全軟體，即使沒有關閉或退出許可權，ARK工具也可在協助實現。

以某公司的伺服器為例，通過系統安全日誌可以看到，該伺服器平均每隔幾秒就會被嘗試通過RDP（遠程桌面）協議爆破一次。

6月伺服器受勒索病毒攻擊的行業分布

從行業分布可以看出，伺服器勒索攻擊主要針對傳統行業、醫療行業以及政府機構。主要原因為此類機構長期依賴於互聯網提供的基礎設施，卻又缺乏專業的安全運維。

醫療行業受勒索病毒之害也相對明顯，此類型機構一旦被病毒成功入侵，將使患者感受強烈，帶來難以預估且不可逆的損失。

6月伺服器受勒索病毒攻擊的地域分布

觀察勒索病毒6月對伺服器發起的攻擊地域數據可知，廣東地區仍然是遭受勒索病毒攻擊的重災區。北京，江蘇緊隨其後，其它地區也遭受到不同程度的伺服器勒索攻擊。

6月伺服器被勒索病毒攻擊的原因分布

觀察勒索病毒6月攻擊伺服器方式佔比可知，伺服器埠爆破依然為遭受勒索病毒攻擊的最主要原因。區域網共享文件，軟體漏洞，系統漏洞緊隨其後。

造成該現象的主要原因為實施爆破攻擊成本較低，更多的「弱口令」密碼也促使該攻擊方式下有較高成功率。

區域網共享文件被加密則通常是由於區域網內某台機器被攻擊而間接影響到其它設備的正常運轉。軟體漏洞和系統漏洞的被利用多數情況下是由於企業內沒有及時的安裝補丁，修復已知漏洞。

總結

綜合來看，6月份勒索病毒針對伺服器實施的攻擊有明顯增長，其中以Crysis家族為代表的勒索病毒更是把攻擊目標轉向了政企，醫療等行業機構，該類型機構一旦遭受到數據加密，將帶來正常業務無法運轉，事態緊急的現象。

部分機構為了解決燃眉之急，也更傾向於向不法分子繳納解密贖金，這也將進一步促進勒索病毒在未來一段時間內的攻擊趨勢。為此，騰訊安全團隊給出以下安全建議。

1、 不要點擊來源不明的郵件附件，或郵件中的不明鏈接；

2、 及時打補丁，修復系統或第三方軟體中存在的安全漏洞；

3、 盡量關閉不必要的埠，縮小攻擊面。如：445、135、139等，對3389埠可進行白名單配置，只允許白名單內的IP連接登陸；

4、 盡量關閉不必要的文件共享，如有需要，請使用ACL和強密碼保護來限制訪問許可權，禁用對共享文件夾的匿名訪問；

5、 採用高強度的密碼，避免使用弱口令密碼，並定期更換。建議伺服器密碼使用高強度且無規律密碼，並且強制要求每個伺服器使用不同密碼管理；

6、 對沒有互聯需求的伺服器/工作站內部訪問設置相應控制，避免可連外網伺服器被攻擊後作為跳板進一步攻擊其他伺服器；

7、 重要文件和數據（資料庫等數據）定期備份，備份數據不宜存儲在本地。避免黑客入侵後將備份文件也加密；

8、 在終端/伺服器部署專業安全防護軟體，伺服器可考慮部署在騰訊雲等具備專業安全防護能力的雲服務。