在WannaCry爆發一周年之際，騰訊御見威脅情報中心發布《WannaCry蠕蟲一周年分析報告》。報告指出，2017年數字貨幣的全球性爆發，引發的網絡犯罪活動空前高漲，其中以勒索病毒表現最為突出：不僅WannaCry仍在以變種的形式繼續流行，GlobeImposter等勒索病毒家族也始終保持著高度活躍，越來越多的勒索病毒把攻擊目標轉向大型機構與企業用戶。勒索病毒儼然成為近年來最嚴峻的網絡安全威脅之一。

與此同時，勒索病毒的傳播方式更加多元化，病毒更新迭代的速度明顯加快，伴隨病毒傳播者不斷升級對抗安全軟件技術，未來勒索病毒的風險系數和對抗難度還將繼續升高。

基礎設施成重點攻擊對象

騰訊御見威脅情報中心監測發現，勒索病毒的攻擊方式從原來的廣撒網逐漸轉向定向攻擊高價值目標。由于企業用戶往往擁有更多高價值的數據，中招后繳納贖金的意愿相比個人用戶會更強烈，因此常常被不法分子重點“光顧”。

進入2018年以來，針對企業服務器的勒索攻擊有明顯上升，學校、傳統工業、政府機構等基礎設施占到勒索病毒攻擊目標的一半以上。或由于該類機構長期依賴互聯網提供的基礎設施服務，卻相對缺少專業安全運維服務，導致整體安全防御能力薄弱，容易被病毒入侵。

（圖：近期WannaCry勒索病毒攻擊行業分布）

此外，醫療機構受勒索病毒的影響尤其明顯。2018年春節剛過，某國內醫療機構服務器被勒索病毒加密數據，導致公共服務癱瘓，盡管在騰訊企業安全團隊及相關安全廠商的幫助下得以快速恢復，但醫院和患者均遭受不同程度的損失。

攻擊地域逐漸向內陸擴散

從近期WannaCry變種在國內的攻擊地域分布上看，受災最為嚴重的地區為廣西和浙江，其次是江蘇和河北。這與以往勒索病毒主攻北上廣深等省市的行為有明顯差異。

（圖：近期勒索病毒WannaCry變種攻擊在國內分布）

主要原因或在于北上廣深等地區高新科技類產業較多，網絡安全防范意識也相對較高，且在WannaCry爆發初期，大部分企業已采取了安全補救措施，及時修復漏洞安裝補丁，改善了網絡安全環境。導致WannaCry變種在后續的攻擊中，主要目標開始朝著防御能力相對偏弱的內陸地區擴散。

在操作系統層面，主要被勒索病毒攻擊的操作系統為Windows 7，其次分別為Windows 10、Windows 8和Windows XP，和當前國內操作系統使用比例基本一致。

傳播方式更多元 病毒更新迭代加快

從勒索病毒傳播方式上看，主要有釣魚郵件、網站掛馬、服務器入侵、系統漏洞利用、網絡共享文件、軟件供應鏈、文件感染傳播七大類型，病毒傳播方式更加多元化，勒索病毒家族的傳播方式也逐漸有了自身特點。與WannaCry一同“成名”的“永恒之藍”漏洞，已發展成為近一年來被利用程度最高的安全漏洞之一。

基于對勒索病毒攻擊的長期監測和深入分析，報告總結了勒索病毒與安全軟件對抗加劇、傳播場景多樣、攻擊目標轉向企業用戶、加密目標轉向數據庫文件、病毒更新迭代加快的五大發展趨勢。值得關注的是，以GandCrab勒索病毒為例，當第一代GandCrab的后臺被海外安全公司入侵之后，病毒作者在一周內便發布了GandCrab2，后又迅速升級成GandCrab3，而目前該病毒的后兩個版本均無法被解密。

當下安全軟件對勒索病毒的解決方案日趨成熟，病毒傳播者也在不斷升級對抗技術方案。隨著勒索病毒的產業鏈化，技術細節的公開、代碼的開源、病毒生成器的出現，勒索病毒的制作成本也逐漸降低，都將進一步促進未來勒索病毒攻擊走勢持續升高。

2017年5月12日WannaCry大爆發已過去整整一年，勒索病毒的威脅卻從來不曾遠離，反而呈現愈演愈烈之勢。對于所有政企機構和個人用戶而言，對抗勒索病毒都是一場漫長的戰役，提升網絡安全防范意識，做好相應的安全防御措施，同時加強同安全廠商的溝通協作至關重要。