勒索软件又称勒索病毒，通过骚扰、恐吓甚至采用绑架用户文件等方式，使用户数据资产或计算资源无法正常使用，并以此为条件向用户勒索钱财。勒索病毒发展迅速，给全球的网络安全带来很大威胁，影响的范围也在不断扩大。

一、萌芽期——弱加密，危害小

1989年，世界上第一个勒索病毒"AIDS trojan"诞生。这个时期的勒索病毒，采用对称加密，能够解密，且由于使用转账等方式支付赎金，制作病毒的人很快就被追踪从而被捕。勒索病毒诞生后的很长时间，并没有得到广泛的传播与发展。

二、成型期——比特币赎金，难追溯

2013年下半年开始，勒索病毒才进入成型期，勒索病毒使用RSA进行加密，使得破解几率几乎为零。此外要求用虚拟货币进行支付，攻击者无法追踪溯源。

第一个使用比特币作为支付方式的Cryptolocker勒索病毒，Cryptolocker属于特洛伊木马。由于使用RSA公钥加密与AES秘钥的加密形式，导致加密的文件是无法被解开的，除非支付给勒索者费用。该时期，应对勒索病毒主要通过安装杀毒软件提前防护，此外需要加强用户对勒索病毒的防护意识，并且进行备份。

三、产业化时期——开源工具包，感染广

随着2016年勒索软件即服务 (RaaS) 的兴起，勒索病毒呈爆发式发展。攻击者只需要付费租赁勒索软件团伙提供的工具包，就能低成本、快速的实现勒索攻击。

最典型的是2017年WannaCry勒索病毒的大发作，据报道包括美国、英国、中国、俄罗斯、西班牙等全球至少150个国家、30万名用户中招，金融、能源、医疗等众多行业受到波及，造成损失达80亿美元。

在此阶段，勒索病毒已呈现产业化、家族化持续运营。在整个链条中，各环节分工明确，完整的一次勒索攻击流程可能涉及勒索病毒作者，勒索实施者，传播渠道商，代理。

产业期的勒索病毒以钓鱼邮件、漏洞利用、病毒捆绑、僵尸网络、可移动存储介质、远程爆破等多种渠道进行攻击和传播，且病毒变化多样，防护难度大。该时期的应对思路主要是：定期备份、及时更新补丁、做好网络隔离并封堵恶意攻击源。

四、多样化时期——数据资产窃取  风险高

勒索病毒发展迅速，技术不断升级迭代。2019年下半年开始，黑客不再满足于破坏数据，而是通过窃取数据，并将数据曝光的方式对企业和用户进行攻击。全球各地仿佛每天都在被"勒索"，大量新闻爆发。

面对多种自动化攻击方式的勒索病毒,

组织单位如何诱捕勒索病毒?

如何实现无文件攻击防护?

如何从勒索攻击链进行全面立体防护?

正舟安全服务团队提供以下应对方案