【IT168 厂商动态】勒索软件在 Windows 平台肆虐，但在 2017 年间其对 Android丶Linux 和 MacOS 系统的攻击也有所增加。在全球 Sophos 客户电脑上拦截的所有攻击中，两大勒索软件家族就占了所有攻击的 89.5%。

　　2017 年 11 月 8 日，上海讯 ─ Sophos (LSE:SOPH) 是网路和端点安全的全球领导者，今天发布旗下 SophosLabs 的 “2018 恶意软件预测报告”，该报告是根据 2017 年 4 月 1 日到 10 月 3 日从全球 Sophos 客户电脑所收集的资料来预测勒索软件和其他网路安全趋势。报告中一项关键的发现指出，尽管勒索软件在过去六个月主要攻击的对象是 Windows 系统，但 Android丶Linux 和 MacOS 平台同样无法躲过威胁。

　　SophosLabs 安全研究员、“SophosLabs 2018 恶意软件预测”中勒索软件分析作者 Dorka Palotay 表示：“勒索软件已经发展至与平台无关的威胁。勒索软件的主要对象是 Windows 电脑，但今年 SophosLabs 在全球客户使用的不同装置和作业系统上都看到加密攻击的数量增加了。”

　　该报告还追踪了勒索软件的成长模式，发现 2017 年 5 月出现的 WannaCry 居客户电脑拦截回报的勒索软件的首位，取代了长期以来的主流勒索软件 Cerber (于 2016 年初首次出现)。在所有 SophosLabs 追踪的勒索软件中，WannyCry 占了 45.3%，Cerber 占 44.2%。

　　Palotay 表示：“我们第一次看到这种具有蠕虫特征的勒索软件，而这项特色让 WannaCry 得以快速散布。这个勒索软件利用已知的Windows 弱点感染和传播到所有电脑，因此很难管控。即使我们的客户受到保护且 WannaCry 已经逐渐减少，我们仍然看到威胁存在，因为它与生俱来的特性就是会继续扫描和攻击电脑。我们预期网路犯罪分子会复制 WannaCry 和 NotPetya 中的这种能力，而这一点已经出现在 Bad Rabbit 勒索软件中，其与 NotPetya 有许多相似之处。”

　　“SophosLabs 2018 恶意软件预测”指出，NotPetya 这个勒索软件在 2017 年 6 月快速爆发后销声匿迹。NotPetya 最初是通过一家乌克兰会计软件套件向外传播，但影响力仅限于当地。它能够通过 EternalBlue 漏洞进行传播，如同 WannaCry 一样，但是由于 WannaCry 先前已经感染了大多数有漏洞的电脑，所以几乎所有电脑都已经套用修补程式，真正受到影响者不多。NotPetya 背后的动机还不清楚，因为这次攻击有许多失误、间隙和缺点。例如，根据 Palotay 的说法，受害者联系攻击者所需的电子邮件帐户无效，因此受害者无法解密和复原资料。

　　Palotay 表示：“NotPetya 扩散的速度快且激烈，并真正对企业造成伤害，因为它永久地破坏了电脑上的资料。幸运的是，NotPetya 消失的速度几乎和出现一样快。我们怀疑网路犯罪分子正在进行实验，或者他们的真正目标并不是勒索软件，而是像资料抹除器那样更具破坏性的东西。不管其意图如何，Sophos 强烈建议不要支付赎金，并推荐了一些非常好的作法，包括备份资料和套用最新的修补程式。”

　　Cerber 继续在暗黑网路中以勒索软件套件的形式贩卖 ，仍是一个危险的威胁。Cerber 的撰写者不断更新程式码，并从“中间人”攻击者从受害者得到的赎金中抽取利润。定期更新功能使得 Cerber 不仅是一个有效的攻击手段，而且广受网路犯罪分子使用。“不幸的是，暗黑网路的商业模式可以运作且与合法的公司类似，可能会资助 Cerber 持续发展。我们可以假设牟利是撰写者维护程式码的一大动机。”Palotay 说。

　　Android 勒索软件也吸引了网路犯罪分子的目光。根据 SophosLabs 分析，在 2017 年，使用 Android 装置的 Sophos 客户每个月受到的攻击都增加了。

　　SophosLabs 安全研究员和 “SophosLabs 2018 恶意软件预测”作者之一 Rowland Yu 表示：“单是在 9 月份，SophosLabs 处理的 Android 恶意软件中就有 30.4% 是勒索软件。我们估计 10 月份将跃升至 45% 左右。我们认为 Android 勒索软件暴增的原因之一，是因为这是网路犯罪分子牟利的简单方法，而不需要使用如窃取连络人和简讯丶弹出式广告或银行网路钓鱼等复杂的骇客手法。另外重要的是，我们注意到 Android 勒索软件主要都是在非 Google Play 市集上发现的，这是使用者对于从何处下载和下载哪些应用程式应该要更谨慎的另一个原因。”

　　SophosLabs 报告进一步指出有两种类型的 Android 攻击手法出现：锁定手机而不加密资料，以及在加密资料的同时锁定手机。Android 上的大多数勒索软件都不会对使用者资料进行加密，单是锁定屏幕来索取赎金就足以让使用者难受，尤其考量到一天内使用个人装置的次数。Yu 进一步说明：“Sophos 建议使用者如像电脑一般定期备份手机以保存资料，而且不要支付赎金来重新获得使用权限。我们预估 Android 上的勒索软件会继续增加，并在今年的行动平台上成为主流的恶意软件。”