勒索软件的收益有多高？据美国FBI的一份报告显示，2016年，勒索软件的非法收入可能达到10亿美元，而这一笔巨款很大一部分都是由企业缴纳的赎金组成，可以说勒索软件发展至今已经演变成一种生意行为了。

曾有调查显示，人们对勒索软件赎金的容忍值高达400英镑（折合人民币约3700元，能买一部很好的智能手机了），所以攻击者一年的收益也是挺高的，勒索软件越来越恶劣，并且提出的赎金也变得越来越贵，有时候就算支付了赎金，也无法保证犯罪分子会释放你加密的电脑或文件。

大家对那个红白色的骷髅头logo还有印象吗？它可是曾被媒体誉为“破坏性比传统勒索软件更大”的新型恶意软件，电脑一旦被感染，电脑就会蓝屏死机，并且在系统加载前，会把常规的Windows图标替换成闪烁的红白色的骷髅头。此恶意软件还可以控制电脑启动进程，把电脑硬盘整个加密。

近期，卡巴斯基实验室研究人员发现一种新的名为PetrWrap的恶意软件家族。该家族的恶意软件使用了之前Petya勒索软件的模块，并且通过勒索软件服务平台进行传播，针对各类组织和企业实施针对性攻击。PetrWrap的编写者在Petya勒索软件的基础上制作和修改了一个特殊的“动态”模块，这种未授权使用让Petya的原作者也束手无策。这很可能是一种迹象，表明地下勒索软件市场的竞争日益加剧。

2016年5月，卡巴斯基实验室发现Petya勒索软件不仅能够加密存储在计算机上的数据，还能够重写硬盘的主引导记录（MBR），造成受感染计算机无法启动到操作系统。这种恶意软件采用了典型的恶意软件服务模式，即勒索软件编写者根据需求提供恶意产品，并通过多个渠道传播这种恶意软件，然后从中获取一部分收益。为了获取到这部分收益，Petya的编写者在恶意软件中插入了特定的“保护机制”，避免他人未授权使用Petya样本。PetrWrap木马作者的恶意行为最早于2017年初被发现，这种恶意软件的作者突破了Petya的防护机制，找到一种可以使用Petya的手段，同时不需要向Petya作者支付一分钱。

目前，还不清楚PetrWrap是如何进行传播的。感染后，PetrWrap启动Petya来加密受害者的数据，之后勒索受害者支付赎金。PetrWrap作者使用了自己的私匙和公匙，并没有使用Petya自带的密匙。这表示，如果受害者支付了赎金，PetrWrap恶意软件使用者无需使用Petya作者的私匙就可以解密受害者的计算机。

很明显，PetrWrap的开发者选择Petya并非出于偶然：Petya家族的勒索软件具有相当完美的加密算法，很难被破解，而加密算法又是勒索软件中最重要的组件。过去发生的多起案例中显示，有些勒索软件的加密算法存在漏洞，能够让安全研究人员找到解密文件的办法，从而让网络罪犯的所有努力都前功尽弃。之前版本的Petya勒索软件就出现过这种情况，之后，该勒索软件的作者修复了几乎所有漏洞。所以，当受害者的计算机被最新版的Petya攻击后，数据加密非常可靠，无法被破解。这也就是为什么PetrWrap选择使用Petya的加密算法的原因。不仅如此，被PetrWrap勒索软件感染后，受害者计算机上的锁定屏幕不会提到任何有关Petya的信息，让安全专家很难判断情况，无法快速识别出攻击中使用的勒索软件家族。

　　为了保护企业和组织抵御这类攻击，卡巴斯基实验室安全专家给出以下建议：

1. 正确和及时备份数据，这样即使遭遇数据丢失事件，也可以利用备份恢复原始数据。

2. 使用具有基于行为检测技术的安全解决方案。这些技术能够监控程序在系统上的行为，拦截恶意软件，包括勒索软件，还可以发现之前未知的勒索软件样本。

3. 对控制网络进行安全评估（即安全审计、渗透测试和缝隙分析），发现和消除安全漏洞。如果外部供应商和第三方安全策略能够直接访问你们的控制网络，也需要对他们进行安全评估。

4. 请求外部情报：来自信誉可靠的供应商的安全情报信息能够帮助企业和组织预测未来攻击。

5. 对员工进行安全培训，尤其要提高操作人员以及工程人员的安全意识，提到他们对最新威胁和攻击的警惕性。

6. 在企业和组织的安全便捷内外提供保护。正确的安全策略需要将大量资源用于攻击检测和反馈，从而在攻击入侵重要的对象之前，将其拦截。

勒索软件已经成为重要的地下黑色产业之一，也是近几年来数量增加最快的网络威胁之一，企业机构和个人都是其攻击的目标和勒索对象，但如果时常清理、维护好你的电脑， 以及具备网络安全防护措施和相关网络安全知识，是可以做到降低感染风险的。