孤岛危机2中文文章列表:

• 1、孤岛危机2团队新作英雄之地全新冒险游戏上架双平台
• 2、B 站 UP 主歪果仁研究协会素材被黑客加密
• 3、一文读懂 2019 年国内互联网网络安全状况
• 4、性价比出众！北影GTX960猛禽显卡评测
• 5、勒索病毒应急措施及防护方案

孤岛危机2团队新作英雄之地全新冒险游戏上架双平台

今天Liber Primus Games公司为玩家们 推出了一款全新的冒险游戏《英雄之地 A Land Fit For Heroes》，本作由孤岛危机2和辛迪加编剧Richard Morgan负责。

《英雄大地》的故事发生在一个黑暗的幻想世界，玩家在游戏中要和其他两名玩家一起进行冒险，并分别扮演不同的角色。玩家可以在一个经验丰富的军人Kirellin、年轻的战士Calnar和神偷Ilaria中选择一个角色扮演，游戏会从网上选择其他两名玩家和你一起冒险。玩家将和其他两人一起战斗和冒险，也将一起分享战利品，并在发生分歧时通过投票来解决问题。

本作想在已经登录iOS和Android双平台，售价0.99美元。

B 站 UP 主歪果仁研究协会素材被黑客加密

IT之家8月18日消息 近期，B站 up 主歪果仁研究协会透露，被国际黑客勒索了，并询问大家怎么办？IT之家获悉，其所有在海外拍摄的素材，还有最近一期没发的采访素材全都在电脑里，然后电脑就被黑客组织黑掉，要求交钱才可以解锁。

据 360 官方账号透露，此素材被四个病毒家族加密。

360 官方称，从歪果仁研究协会团队提供的文件确认文件先后被 4 个家族多次加密，其中包括 Stop、Crysis、Lockbit 和 BigLock 四个勒索病毒家族。受害者最早通过网站下载运行激活工具导致文件被加密。哪些不当行为会导致感染勒索病毒？不幸中毒该采取什么样的补救措施？详细内容请见视频 。

大部分用户遇到此情况时都不知道该如何处理，可能会找到一些带有加密功能的 “解密工具”，导致再次加密，以下是给出的建议处理流程：

1. 不要轻信网络上非安全软件厂商发布的解密工具。

2. 发现中毒机器应立即关闭网络和计算机。关闭计算机能及时阻止勒索病毒继续加密文件和阻止勒索病毒在内网横向传播。

3. 联系安全厂商，确认勒索病毒具体情况，是否可解，及中毒原因。

4. 根据安全厂商给的建议，对系统做相应防护。

但更建议用户在未中招之前提前防护，以下是替个人用户总结的防护措施：

(一)减少危险的上网操作

1. 对于安全性不确定的文件，可以选择在安全软件的沙箱功能中打开运行，避免木马对实际系统的破坏。

2. 不要浏览来路不明的色情、赌博等不良信息网站，此类网站经常被用于发起挂马、钓鱼攻击。

3. 不要轻易打开陌生人发来的邮件附件或邮件正文中的网址链接。对于陌生人发来的压缩文件包，更应提高警惕，先使用安全软件进行检查后再打开。

4. 电脑连接移动存储设备（U 盘、移动硬盘等），应首先使用安全软件检测其安全性。

(二)养成良好的安全习惯

1. 电脑应当安装具有云防护和主动防御功能的安全软件，不随意退出安全软件或关闭防护功能，对安全软件提示的各类风险行为不要轻易采取放行操作。

2. 使用安全软件漏洞修复功能，第一时间为操作系统、常用软件打补丁，以免病毒利用漏洞入侵电脑。

3. 使用安全浏览器，减少遭遇挂马攻击、钓鱼网站的风险。

4. 重要文档、数据应经常做备份；损坏或丢失也可以及时找回。

5. 电脑设置的口令要足够复杂，包括数字、大小写字母、符号且长度至少应该有 8 位，不使用弱口令，以防攻击者破解。

更多勒索病毒信息可访问：https://bbs.360.cn/thread-15858154-1-1.html

360表示，目前对于被加密文件是 MOV 和 MP4x264 格式的文件，可联系尝试修复。

一文读懂 2019 年国内互联网网络安全状况

4 月 20 日，国家互联网应急中心（CNCERT）正式发布《2019 年我国互联网网络安全态势综述》报告。这份报告既总结了 2019 年我国互联网网络安全状况，也预测了 2020 年网络安全热点。同时，它还提出相应的对策建议，并梳理了网络安全监测数据。通过这份报告，我们可以大致了解国内网络安全形势。

在前言中，报告指出：

2019 年，我国云计算、大数据、物联网、工业互联网、人工智能等新技术新应用大规模发展，网络安全风险融合叠加并快速演变。互联网技术应用不断模糊物理世界和虚拟世界界限，对整个经济社会发展的融合、渗透、驱动作用日益明显，带来的风险挑战也不断增大，网络空间威胁和风险日益增多。

一、2019 年国内互联网安全状况

整体上，2019 年， 在国内相关部门持续开展的网络安全威胁治理下，DDoS 攻击、APT 攻击、漏洞威胁、数据安全隐患、移动互联网恶意程序、网络黑灰产业、工业控制系统安全威胁总体下降，但呈现出许多新特点，带来新风险与挑战。

1.DDoS 攻击

报告指出，党政机关、关键信息基础设施等重要单位防护能力显著增强，但 DDoS 攻击呈现高发频发态势，攻击组织性和目的性更加凸显。

据悉，2019 年 DDoS 攻击仍然呈现高发频发之势，CNCERT 抽样监测发现境内峰值超过 10Gbps 的大流量分布式拒绝服务攻击（DDoS 攻击）事件数量平均每日 220 起，同比增加 40%。

2.APT 攻击

APT 攻击逐步向各重要行业领域渗透，在重大活动和敏感时期更加猖獗。这主要表现在三方面：

a. 投递高诱惑性钓鱼邮件是大部分 APT 组织常用技术手段，国内重要行业部门对钓鱼邮件防范意识不断提高；

b. 攻击领域逐渐由党政机关、科研院所向各重要行业领域渗透；

c. APT 攻击在我国重大活动和敏感时期更为猖獗频繁。

以钓鱼邮件攻击为例，2019 年，CNCERT 监测到重要党政机关部门遭受钓鱼邮件攻击数量达 50 多万次，月均 4.6 万封，，其中携带漏洞利用恶意代码的 Office 文档成为主要载荷，主要利用的漏洞包括 CVE-2017-8570 和 CVE-2017-11882 等。

3. 漏洞威胁

报告称，在漏洞信息共享与通报处置上，国家信息安全漏洞共享平台（CNVD）在 2019 年联合国内产品厂商、网络安全企业、科研机构、个人白帽子，共同完成对约 3.2 万起漏洞事件的验证、通报和处置工作，同比上涨 56.0%。

但是，值得注意的是，漏洞数量和影响范围仍然大幅增加。

据悉，2019 年，CNVD 新收录通用软硬件漏洞数量创下历史新高，达 16193 个，同比增长 14.0%，影响范围非常广。其中，安全漏洞主要涵盖的厂商或平台为谷歌、WordPress 和甲骨文。按影响对象分类统计，排名前三的是应用程序漏洞（占 57.8%） 、Web 应用漏洞（占 18.7%）、操作系统漏洞（占 10.6%）。

并且，事件型漏洞数量大幅上升。CNVD 接收的事件型漏洞数量约 14.1 万条，首次突破 10 万条，较 2018 年同比大幅增长 227%。此外，是高危零日漏洞占比增大。近 5 年来，“零日”漏洞收录数量持续走高，年均增长率达 47.5%。

4. 数据安全

虽然数据风险监测与预警防护能力提升，但数据安全防护意识依然薄弱，大规模数据泄露事件频发。

2019 年，CNCERT 全年累计发现我国重要数据泄露风险与事件 3000 余起。其中，MongoDB、ElasticSearch、SQL Server、MySQL、Redis 等主流数据库的弱口令漏洞、未授权访问漏洞导致数据泄露，成为 2019 年数据泄露风险与事件的突出特点。

此外，报告还指出“涉及公民个人信息的数据库数据安全事件频发，违法交易藏入‘暗网’”。

2019 年针对数据库的密码暴力破解攻击次数日均超过百亿次，数据泄露、非法售卖等事件层出不穷，数据安全与个人隐私面临严重挑战。

5. 移动互联网恶意程序

2019 年移动互联网恶意程序增量首次出现下降。据悉，2019 年，新增移动互联网恶意程序数量 279 万余个，同比减少 1.4%。同时，报告发现 2019 年出现的移动恶意程序主要集中在 Android 平台，其中近 70% 的 App 具有流氓行为、资费消耗等低危恶意行为。

从整治方面看，CNCERT 2019 年累计下架 3057 款恶意 App。

不过，报告也发现：以移动互联网仿冒 App 为代表的灰色应用大量出现，主要针对金融、交通、电信等重要行业的用户。2019 年，CNCERT 通过自主监测和投诉举报方式捕获大量新出现的仿冒 App，主要集中在仿冒公检法、银行、社交软件、支付软件、抢票软件等热门应用。

6. 网络黑灰产业

报告称“网络黑产打击取得阶段性成果“，比如每月活跃“黑卡”总数从约 500 万个逐步下降到约 200 万个，降幅超过 60.0%。2019 年底，用于浏览器主页劫持的恶意程序月新增数量由 65 款降至 16 款，降幅超过 75%；被植入赌博暗链的网站数量从 1 万余个大幅下降到不超过 1 千个。

不过，报告还发现：网络黑产活动专业化、自动化程度不断提升，技术对抗越发激烈。2019 年，CNCERT 监测发现各类黑产平台超过 500 个，提供手机号资源的接码平台、提供 IP 地址的秒拨平台、提供支付功能的第四方支付平台和跑分平台、专门进行账号售卖的发卡平台、专门用于赌博网站推广的广告联盟等各类专业黑产平台不断产生。

2019 年监测到各类网络黑产攻击日均 70 万次，电商网站、视频直播、棋牌游戏等行业成为网络黑产的主要攻击对象。

此外，值得注意的是，勒索病毒、挖矿木马在黑色产业刺激下持续活跃。2019 年，CNCERT 捕获勒索病毒 73.1 万余个，较 2018 年增长超过 4 倍，勒索病毒活跃程度持续居高不下。分析发现，勒索病毒攻击活动越发具有目标性，且以文件服务器、数据库等存有重要数据的服务器为首要目标，通常利用弱口令、高危漏洞、钓鱼邮件等作为攻击入侵的主要途径或方式。

2019 年最为活跃的勒索病毒家族：GandCrab、Sodinokibi、Globelmposter、CrySiS、Stop 等

2019 年最为流行的挖矿木马家族：WannaMine、Xmrig、CoinMiner 等

7. 工业控制系统安全威胁

据悉，根据国内外主流漏洞平台的最新统计，2019 年收录的工业控制产品漏洞数量依然居高不下且多为高中危漏洞。

同时，随着工业互联网产业的不断发展，工业企业上云、工业产业链上下游协同显著增强，越来越多的工业行业的设备、系统暴露在互联网上。例如，2019 年，暴露在互联网上的工业设备 7325 台，相比 2018 年增加 21.7%，涉及西门子、韦益可自控、罗克韦尔等 39 家国内外知名厂商的 PLC 设备、智能楼宇、数据采集等 50 种设备类型，且存在高危漏洞隐患的设备占比约 35%。

不过，工业控制系统网络安全在国家层面顶层设计进一步完善。例如，“等保 2.0”正式将工业控制系统纳入到网络安全等级保护的范围，并出台了相应的测评要求。

二、2020 年网络安全关注方向预测

1. 规模性、破坏性急剧上升成为有组织网络攻击新特点

一方面，随着国际局势渐趋复杂，有组织的网络攻击出于政治目的发起的网络攻击行动持续高发。另一方面，常在敏感时间节点发起有针对性的攻击渗透以最大程度博取政治利益。

2. 体系化协同防护将成关键信息基础设施网络安全保障新趋势

报告表示，由于承载服务、信息的高价值性，预计在 2020 年，针对关键信息基础设施的网络窃密、远程破坏攻击、勒索攻击会持续增加。

除利用安全漏洞、弱口令等常见方式实施攻击外，通过软硬件供应链、承载服务的云平台作为攻击途径的事件或呈上升趋势，关键信息基础设施的安全问题将受到强烈关注。

3. 政策法规与执法监管多管齐下为数据安全和个人信息保护提供新指引

2019 年，国家互联网信息办公室发布《数据安全管理办法（征求意见稿）》、《个人信息出境安全评估办法（征求意见稿）》，出台了《儿童个人信息网络保护规定》，全国人大常委会正在制定《个人信息保护法》。

同时，中央网信办、工业和信息化部、公安部等监管部门日益提高执法监管力度，加大对违规采集和使用个人信息、泄露或售卖用户数据、侵害用户隐私权益的企业查处力度。

4. 精准网络勒索集中转向中小型企事业单位成为网络黑产新动向

近年来，勒索攻击的目标逐渐转向网络安全防护较为薄弱的中小型企事业单位。从攻击手法来看，勒索软件逐渐呈现出专业性高、针对性强的特点，有向“泛 APT 攻击”发展的趋势。

5. 远程协同热度突增引发新兴业态网络安全风险新思考

2020 年初，全球突发新型冠状病毒感染的肺炎疫情，在其影响下，远程办公、医疗、教育等远程协同类的业态模式热度突增，大量传统行业也正加快转向通过互联网开展远程业务协作，随之而来的数据泄露、网络钓鱼、勒索病毒、网络诈骗等网络安全风险和威胁日益凸显。

报告预计 2020 年，针对远程协同类相关业态的网络安全风险和威胁将逐渐出现，引发更多对安全风险的关注。

关注我并转发此篇文章，私信我“领取资料”，即可免费获得InfoQ价值4999元迷你书！

性价比出众！北影GTX960猛禽显卡评测

2015年1月22日NVIDIA发布了全新的9系列甜点——GTX960。性能强悍，功耗发热控制出色，GTX 960成为NVIDIA中高端销售最火爆的显卡只是时间问题。众多厂商对这一点心知肚明，所以在一开始就纷纷研发出了自家的非公版产品。北影也在第一时间发布了GTX960猛禽。

北影GTX 960 猛禽显卡 淘宝 售价1350元>>购买链接

不错的性能和更低的功耗比、搭配“野马”散热系统、首次采用了“Smart Quiet”智能风扇启停技术，GTX960猛禽显然是北影的年度主力产品！下面就是这款显卡的详细评测。按照惯例首先我们介绍一下GTX960的核心，它使用的是Maxwell架构的GM206 GPU。

GM206核心框架示意图

GM 206 GPU包含2个GPC、8个Maxwell流式多处理器(SMM)以及2个64位显存控制器(共128位)。这就是这一芯片的完整实现形式，规格大约是GeForce GTX 980中的GM204的一半。

虽然Kepler SMX设计已经相当高效，但是NVIDIA的GPU架构师在能效比利用方面突破了难关。Maxwell SM设计实现证明了这一点，控制逻辑分区、负荷均衡、时钟门控粒度、编译器调度、每时钟周期发出指令条数等方面的改进以及其它诸多增强之处让Maxwell SM(亦称“SMM”)能够在效率上远超Kepler SMX。全新的Maxwell SM架构能够在GM206中把SM的数量增至五个(Kepler中仅有两个)，而芯片面积仅增加25%。下表提供了高级对比，对比双方分别为Maxwell以及上一代Kepler GPU:

具体来说，首先Maxwell采用了容量大增的二级高速缓存设计，Maxwell核心架构中二级高速缓存容量为2048KB，而Kpler中的容量仅为256KB。由于片上高速缓存容量更大，因此需要向显卡DRAM发送的请求更少，从而降低了整体显卡功耗、提升了性能。

Maxwell SM框架示意图

除了上述变化以外，NVIDIA的工程师还雄心勃勃地在晶体管水平上调整了Maxwell GPU中每个单元的实现方式，以便最大限度提高节能性。所有这些努力的最终结果是，采用相同的28纳米制造工艺，Maxwell能够提供相当于Kepler两倍的每瓦特性能！

其他关于Maxwell架构的基本信息，例如通过Giga Thread引擎的主PCI Express接口数据流、Polymorph与Raster单元的基本操作等等过于晦涩的知识这里就不再赘述了。

NV DSR技术：1080p显示器也玩4K

NVIDIA新开发的高效能抗锯齿技术——MFAA，它能够以2xMSAA的性能，提供4xMSAA的画质，从而以较小的性能损失提供更完美的游戏画质。这样当玩家们玩类似《显卡危机3》、《男朋友4》这样的顶级大作，由于FPS本身较低不敢开高倍AA时，就可以开启MFAA技术，让速度与画质兼得。

但并不是所有的游戏都像显卡危机一样吃显卡，绝大多数游戏对显卡要求不是很高，比如《穿越火线》、《英雄联盟》一类的游戏中端显卡就能动辄跑100FPS以上，此时显卡性能有些浪费，那有没有通过牺牲一部分FPS来提高画质的方法呢？现在笔者就为大家介绍NVIDIA的另外一项黑科技——Dynamic Super Resolution（DSR），动态超级分辨率

简单来说，DSR技术可以在普通的1080p显示器上显示4K级别的游戏画面，当然NVIDIA即便掌握了火星科技也不可能将1080p显示器变成4K显示器，该技术只是在后台以4K分辨率渲染游戏画面，通过动态缩放的方式显示在1080p显示器上，虽然实际分辨率依然是1080p，但游戏画面却要比原生1080p分辨率渲染出来的好很多。

首先我们来看一张开启DSR前后的游戏画面截图：

可以看出，开启DSR之后的草丛边缘显示效果要好，然后再通过显卡渲染流程为大家分析出现差异的原因：

可以看到，DSR模式在GPU内部是以真4K分辨率进行渲染的，只不过在像素输出阶段将4个像素合成为1个像素，最后才以1080p分辨率输出。4K的分辨率是1080p的4倍，渲染精度自然大幅提高，输出像素的采样率相当于是4倍，最终的画面自然会更加柔和平滑一些。

看到这里的示意图，相信资历较老的玩家会发现DSR技术有些类似于最早期的SSAA（超级采样抗锯齿），就拿前面的示例图来说，原理可以说是完全相同的，但区别是SSAA只针对几何物体的边缘，而DSR则是针对全屏所有像素进行二次采样，毕竟内部就是以4K分辨率进行渲染的。

点击查看大图可以看到开启DSR的明显区别

DSR对游戏有要求吗？

DSR技术的工作模式非常简单，它在系统内部模拟出了4K分辨率的显示器，游戏就会以为电脑拥有一台4K显示器，从而以4K模式渲染出高精度的画面，最后GPU再重新采样并缩放成1080p分辨率输出，因此DSR技术的唯一要求就是游戏本身能够支持4K分辨率。

如何开启DSR技术？

DSR技术支持几乎所有的PC3D游戏，玩家可以在最新版的343驱动控制面板中开启，或者使用GeForce Experience自动扫描并优化游戏，如果您的显卡较好，那么像暗黑3这样要求不是很高的游戏默认就会开启DSR技术。

DSR除了4K模式，还支持自定义分辨率，如2K模式：

当然，如果显卡性能还不够强的话，DSR技术允许玩家进行自定义设置，将渲染模式从4K降为2K，以2K模式渲染出来的画质缩放成1080p分辨率输出后，画质依然会有明显提升，同时性能损失不至于太大。

游戏显示灾难的救星：G-SYNC

在过去的三十年里，即便显示器技术从已经从 CRT 发展到了 LCD和LED，但是尚无大公司挑战过这一想法，因此使 GPU 与显示器刷新率同步依然是当今整个行业的标准做法。但问题是，显卡并不以固定的速度渲染。事实上，即便在单一游戏的单个场景中，显卡渲染的帧速率也会大幅变化，这种变化根据 GPU 的瞬时负荷而定。因此在刷新率固定的情况下，要如何将 GPU 图像搬到屏幕上呢? 第一个办法就是完全忽略显示器的刷新率，对中间周期扫描到显示器的图像进行更新。这种办法我们叫做「垂直同步关闭模式」，这也是大多数游戏玩家所使用的默认方式。缺点是，当单一刷新周期显示两幅图像时，在两幅图像交替时会出现非常明显“撕裂线”，这种情况通常被称作屏幕撕裂。

解决屏幕撕裂问题的老牌解决方案是打开垂直同步，强迫 GPU 延迟屏幕更新，直到显示器开始进入一个新的刷新周期为止。只要 GPU 帧速率低于显示器刷新率，这个办法就会导致卡顿现象。它还会增大延迟，导致输入延迟。输入延迟就是从按下按钮到屏幕上出现结果这段时间的延迟。

更糟糕的是，许多玩家在碰到持续的垂直同步卡顿现象时会导致眼睛疲劳，还有人会产生头痛和偏头痛症状。这些情况推动我们开发了自适应垂直同步技术，该技术是一种有效而备受赞誉的解决方案。尽管开发了这一技术，垂直同步的输入延迟问题现在依然存在，这是许多游戏发烧友所不能接受的，也是电子竞技职业玩家绝对不能容忍的。这些职业玩家会定制自己的 GPU、显示器、键盘以及鼠标以最大限度减少重新开始时的重大延迟问题。

传统的垂直同步就是让显卡输出的帧等液晶刷新。假设显卡渲染的帧比显示器更快，那就让渲染出来的这一帧放在显存里面等待下一个液晶刷新，这个周期里面即使游戏中的模型已经发生位移或者改变，最后显示器输出的依然是之前的图像。假设显示器刷新比显卡更快，那显示器会输出两帧同样的画面。

往往这两种情况交错进行，我们看到的画面就会抖动，看到的游戏世界就会和真实情况有着一定程度的非正常延时。这就是为什么即使我们的显卡帧数跑到100FPS以上，我们依然感觉不是完全流畅的原因。

G-SYNC的出现让这种情况彻底改观，本质上说G-SYNC可以从根源上杜绝撕裂和卡顿，因为G-SYNC是在显示器中加入一个芯片，让显示器听从显卡的命令确定实时的刷新频率。简而言之就是显卡渲染出一帧，显示器就刷新一帧。这样做的好处是无论场景渲染变化如何大，显卡帧数如何波动，只要保持在一定的水平之上，我们看到的都是连贯平滑的图像。

很明显除了观赏体验上发生了巨大变化以外，当 G-SYNC 与高速的 GeForce GTX GPU 和低延迟输入设备搭配使用时，线上游戏的玩家还将获得重大的竞争优势。无论是业余爱好者还是专业电子竞技选手，NVIDIA G-SYNC对他们来说无疑是一次必不可少的升级。Unreal Engine 的架构师就称 G-SYNC技术为“自人类从标清走向高清以来游戏显示器领域最重大的飞跃”。

其它图形技术：增强PhysX和显存压缩

DSR和MFAA算是重头戏，但除此之外NVIDIA公布的新技术还有不少，有些更是之前不为人知！

和游戏引擎开发团队合作，帮助他们在开发出功能更丰富的产品一直是NVIDIA的重要战略之一，本次NV公布了这一阶段的一些成果。

PhysX FleX是物理加速的另一项技术成果，它能让液体和固体之间的物理碰撞更加接近真实，事实上是将液体和固体模型均粒子化以后复合运算达到真实的效果。

事实上物理加速的应用非常广泛，在不同平台不同设备上都在加速普及，将来无论是电脑PC还是游戏机或者是手机平板，都会越来越多的采用NVIDIA提供的物理加速解决方案，物理加速是虚拟现实技术不可或缺的重要构成环节，全面普及是大势所趋。

memory compression（显存压缩）是一种可以大幅节省显存容量和显存带宽的技术，通过算法优化，很多重复的材质和信息可以被压缩存储，这样显存的利用率得到大大提升。

用这个赛车游戏举例，其实大多数像素的信息都是重复和可被选压缩的

不同的游戏可压缩的程度有所不同，但从NVIDIA官方披露的数据来看，大家再也不用担心显存会不够用了！

北影GTX960猛禽做工用料

北影GTX960猛禽采用了新一代GM204核心，能效比更高，黄黑搭配的双风扇设计让显卡看起来大方得体。

北影GTX960猛禽拥有1024个CUDA Cores。支持最新的DirectX12，GAMESTREAM、GAME WORKS、G-SYNC等多项技术。

北影GTX960猛禽的核心频率为1203MHz，动态提速频率为1266MHz，拥有1024个CUDA流处理。显存方面，北影GTX960猛禽配备了128bit GDDR5规格的显存，频率为7010MHz，显存容量2GB。

北影GTX960猛禽采用了4 2相核心供电，用料十足，8pin的外接供电接口，在得到足够的电力之外还可以很好的超频，提升显卡在游戏中的性能。

全新双风扇3热管P-51“野马”散热器，散热能力较之上一代猛禽更加强劲，外观风格更加沉稳。“Smart Quiet”，智能风扇启停技术让显卡在低负载的时候更静音。

6mm镀镍热管*2 8mm镀镍热管*1，大面积纯铜抛光底座，全金属外壳，一体式显存散热保证散热能力。

北影GTX960猛禽提供了2个DVI、1个HDMI、1个DP接口，高端接口一应俱全，除了可以满足用户的主流需求外，还可以支持单卡4屏输出，体验多屏带来的视觉享受。长度方面，如果您的机箱支持安装ATX主板，那容纳北影GTX960猛禽问题也不大。

最新3D性能基准：《3DMARK》

既然针对平台不同，测试项目自然也相去甚远，三大平台除了PC追求极致性能外，笔记本和平板都受限于电池和移动因素，性能不是很高，因此之前的3Dmark11虽然有三档可选，依然不能准确衡量移动设备的真实性能。

而这次Futuremark为移动平台量身定做了专有测试方案，新一代3DMark三个场景的画面精细程度以及对配置的要求可谓天差地别。

Fire Strike、Cloud Gate、Ice Storm三大场景，他们分别对应当前最热门的三大类型的电脑——台式电脑、笔记本电脑和平板电脑。

最新的3DMARK软件，最严苛的Fire Strike Extreme模式中，北影GTX960猛禽成绩不错，轻松超越上一代GTX760。

DX11基准测试：《3DMark11》

3DMark11的测试重点是实时利用DX11 API更新和渲染复杂的游戏世界，通过六个不同测试环节得到一个综合评分，藉此评判一套PC系统的基准性能水平。

3DMark 11的特色与亮点：

1、原生支持DirectX 11：基于原生DX11引擎，全面使用DX11 API的所有新特性，包括曲面细分、计算着色器、多线程。

2、原生支持64bit，保留32bit：原生64位编译程序，独立的32位、64位可执行文件，并支持兼容模式。

3、新测试场景：总计六个测试场景，包括四个图形测试（其实是两个场景）、一个物理测试、一个综合测试，全面衡量GPU、CPU性能。

4、抛弃PhysX，使用Bullet物理引擎：抛弃封闭的NVIDIA PhysX而改用开源的Bullet专业物理库，支持碰撞检测、刚体、软体，根据ZLib授权协议而免费使用。

3Dmark11大量特效堆砌出来的以假乱真的画面让旗舰显卡也不能完全流畅运行它。本次测试中所有显卡一视同仁开启Extreme模式，高端级和旗舰级性能差距依旧非常明显。这个测试项目和最新的3DMARK软件测试成绩正好相反，N卡在3DMARK11中占据了一定优势。

DX11基准测试：《Unigine Valley》

对于现代显卡测试而言，除了3DMark之外必不可少的项目就是来自俄罗斯的Unigine Heaven(天堂)，尤以其高负载、高压榨而知名。现在，新一代3DMark发布之后，Unigine也奉上了全新的显卡测试程序“Valley”(山谷)。

Valley正是Heaven的开发团队一手打造的，可以在最大程度上榨干GPU显卡资源。这次场景来到了一个优美空灵的山谷，群山环绕，郁郁葱葱，白雪皑皑，旭日初升，而且拥有极致的细节，每一片花瓣、每一株小草都清晰可见。

主要技术特点包括：

— 场景面积达6400万平方米，超高细节

— 整个场景可以完全自由浏览，并支持鸟瞰、漫步模式

— 先进视觉技术：动态天空、体积云、阳光散射、景深、环境光遮蔽

— 所有植被、岩石均为实时渲染，而非贴图

— 用户可控的动态天气

— 支持立体3D、多屏幕

— 极限硬件稳定性测试

— 基准测试预设

— 监视每一帧画面对应的GPU温度和频率

— 多平台支持：Windows、Linux、Mac OS X

— 支持命令行自动执行

— CSV格式可定制报告

Unigine Valley分为基础版、高级版、专业版三个版本，其中基础版免费，支持测试预设、自定义设置、GPU监视、交互模式，不支持循环测试(也就是拷机模式)、命令行、CSV报告，对于普通用户和一般评测足够用了。

Unigine Valley的场景面积达6400万平方米，超高细节，对显卡渲染提出了很大的考验，在未来的游戏中，类似的情况将会越来越多。北影GTX960猛禽在极端模式下成绩为36.1FPS。

DX11游戏：《孤岛危机3》

《孤岛危机3》支持大量的高端图形选项以及高分辨率材质。在游戏中，PC玩家将能看到一系列的选项，包括了游戏效果、物品细节、粒子系统、后置处理、着色器、阴影、水体、各向异性过滤、材质分辨率、动态模糊以及自然光。技术主管Marco Corbetta表示之所以《孤岛危机2》并不包含这么多的选项，是因为开发主机板的开发组实在是搞的太慢了。

● 实时体积烟云阴影(Real-Time Volumetric Cloud Shadows)

实时体积烟云阴影(Real-Time Volumetric Cloud Shadows)是把容积云，烟雾和粒子阴影效果结合起来的一种技术。和之前的类似技术相比，实时体积烟云阴影技术允许动态生成的烟雾拥有体积并且对光线造成影响，和其他物体的纹理渲染互动变化。

● 像素精度置换贴图（Pixel Accurate Displacement Mapping）

像素精度置换贴图（Pixel Accurate Displacement Mapping）可以让CryEngine 3引擎无需借助DX11的细分曲面技术即可一次渲染出大量没有明显棱角的多边形。此前crytek曾透露过正在考虑在主机上实现类似PC上需要DX11硬件才能实现的细分曲面效果，看来此言非虚，新型的位移贴图技术来模拟细分曲面的效果。虽然实现原理完全不同，但效果看起来毫不逊色。

● 实时区域光照（Real-Time Area Lights）

实时区域光照（Real-Time Area Lights）从单纯的模拟点光源照射及投影进化到区域光照的实现，以及可变半阴影（即投影随着距离的拉长出现模糊效果），更准确的模拟真实环境的光照特性。

● 布料植被综合模拟（Integrated Cloth & Vegetation Simulation）

布料植被综合模拟（Integrated Cloth & Vegetation Simulation）其实在孤岛危机1代中植被已经有了非常不错的物理效果，会因为人物经过而摆动，但是这次crytek更加强化了这方面的效果，还有就是加入了对布料材质的物理模拟，这方面之前只有nvidia的physx做得比较好。

● 动态体积水反射（Dynamic Water Volume Caustics）

动态体积水反射（Dynamic Water Volume Caustics）孤岛危机1和2基本上在水的表现上集中在海水，很少有湖泊和类似大面积积水潭的场景，而这次crytek实现了超远视野的水面动态反射。动态体积水反射可以说是孤岛危机2中的本地实时反射的一个延伸，是结合静态环境采样和动态效果的新的水面反射技术。

作为新一代DX11游戏的画质标杆，孤岛危机3相比上一代对显卡提出了更高的要求，而在这款代表着最尖端画质的游戏显卡优化做的非常出色，我们可以看到北影GTX960猛禽明显优势领先上一代同级别产品！

DX11游戏：《古墓丽影9》

这些年我们看到了不少形态各异的劳拉，从丰乳肥臀的动作游戏主角到喜欢探索亚特兰蒂斯文明的睿智贵族。不过我们从未见过这样的劳拉。Crystal Dynamics的《古墓丽影9》让我们看到了一个参加初次探险的年轻劳拉，她遭遇海难被困在刀枪林立的小岛上，必须将自己的智谋和求生欲望提升到极限。

剧情介绍：故事从年少时期的劳拉开始，劳拉所乘坐的“坚忍号”仿佛是被宿命所呼唤，在日本海的魔鬼海遭遇到了台风，不幸搁浅。劳拉也被迫到岛上开始自己的求生经历。

“高”特效的画质已经非常不错了。

古墓丽影9一开始就对A卡的支持非常到位，而N卡驱动后来也进行了不断的更新，游戏性能得到大幅提升。

DX11游戏：《地铁 2033》

《地铁2033》(Metro 2033)是俄罗斯工作室4A Games开发的一款新作，也是DX11游戏的新成员。该游戏的核心引擎是号称自主全新研发的4A Engine，支持当今几乎所有画质技术，比如高分辨率纹理、GPU PhysX物理加速、硬件曲面细分、形态学抗锯齿(MLAA)、并行计算景深、屏幕环境光遮蔽(SSAO)、次表面散射、视差贴图、物体动态模糊等等。

《地铁2033》虽然支持PhysX，但对CPU软件加速支持的也很好，因此使用A卡玩游戏时并不会因PhysX效果而拖累性能。该游戏由于加入了太多的尖端技术导致要求非常BT，以至于我们都不敢开启抗锯齿进行测试，只是将游戏内置的效果调至最高。游戏自带Benchmark，这段画战斗场景并不是很宏大，但已经让高端显卡不堪重负了。

如果说是CRYSIS发动了DX10时代的显卡危机，那地铁2033无疑是DX11时代的显卡杀手！地铁2033几乎支持当时可以采用的所有新技术，在画面雕琢上大肆铺张，全然不顾显卡们的感受，和CRYSIS如出一辙。然而CRYSIS靠着特效的堆积和不错的优化，其惊艳绝伦的画面和DX9C游戏拉开了距离，终究赚足了眼球；而地铁则没有这么好运了，画面固然不差，BUG却是很多，招来了大量的非议。

地铁2033本来是A卡优势项目，但北影GTX960猛禽依然表现出不俗的实力，1080P分辨率下还是可以流畅运行。

DX11游戏：《异形大战铁血战士》

《Aliens vs. Predator》同时登陆PC、X360和PS3，其中PC版因为支持DX11里的细分曲面(Tessellation)、高清环境光遮蔽(HDAO)、计算着色器后期处理、真实阴影等技术而备受关注，是AMD大力推行的游戏之一，但是这样的主题难免让本作有很多不和谐的地方，暴力血腥场面必然不会少！发行商世嘉在2009年11月就曾明志，表示不会为了通过审查而放弃电子娱乐产品发行商的责任，因为游戏要维持“异形大战铁血战士”这一中心主题，无论画面、玩法还是故事线都不能偏离。

AVP原始版本并不支持AA，但升级至1.1版本之后，MSAA选项出现在了DX11增强特效当中，当然还支持Tessellation、HDAO、DirectCompute等招牌。该游戏要求不算太高，所以笔者直接将特效调至最高进行测试。

游戏带Benchmark，其中测试画面颇代表意义，很好的体现了Tessellation异形身体以及HDAO等高级特效，希望这些特效能让系统发挥所有潜力。

AVP测试环节中北影GTX960猛禽表现一般，A卡表现还不错，这主要是A卡大位宽和核心暴力像素渲染能力的功劳！

功耗、温度、噪音测试及测试总结

通过测试和与其他N卡的对比我们发现北影GTX960猛禽性能方面足以应付市售主流大型3D游戏，下面进入功耗噪音温度测试环节。

2D空闲状态，北影GTX960猛禽整机功耗测得73W，Furmark显卡满载状态整机功耗216W，和上一代的GTX760相比不仅性能更强，而且功耗更低，能效比大幅提升！

环境温度大约20摄氏度，此时北影GTX960猛禽空闲时GPU核心温度为32摄氏度，非常凉爽！用Furmark满载十几分钟以后，测得最高温度为65摄氏度。非公版散热器显然可以解决GTX960的散热问题，比公版GTX960的温度低很多。

“Smart Quiet”智能风扇启停技术，可以让显卡风扇在GPU轻负载时停止转动，利用散热片表面空气对流散热。高负载时，BIOS智能启动风扇，提供高效散热，保证显卡稳定运行，也就是说中低负载下风扇是零噪音。环境噪音30分贝左右，相距10cm，测得GTX960的满载以后最高为43分贝。

● 评测总结：

采用了基于第二代全新Maxwell核心架构的GM206核心，北影GTX960猛禽能完美支持最新的DirectX12，以及GAMESTREAM、GAMEWORKS、G-SYNC等多项技术。北影GTX960猛禽默认的高核心频率使得它的性能也比公版更强，可以在较高画质下流畅运行最新3D游戏。

做工方面北影GTX960猛禽采用了全新双风扇3热管P-51“野马”散热器，散热能力较之上一代猛禽更加强劲，外观风格更加沉稳。“Smart Quiet”，智能风扇启停技术让显卡在低负载的时候更静音。6mm镀镍热管*2 8mm镀镍热管*1，大面积纯铜抛光底座，全金属外壳，一体式显存散热保证散热能力。总的来说北影GTX960猛禽是一款品质不错的显卡，而且1350的价格更是非常具有吸引力，注重性价比的朋友可以关注一下这款显卡。

勒索病毒应急措施及防护方案

本文共8996字

阅读时间大概15分钟

最近有不少的朋友不幸中了勒索病毒，都被这个病毒搞得焦头烂额。大家都搞不明白为什么这个病毒为什么破坏性这么大，而且还很难防御。明明已经在网络中部署了不少的安全设备，比如防火墙、杀毒软件等等，怎么还是防不住，莫名其妙的就中毒了。而且中毒后明明把毒也杀光了，最后还是找不会数据，要么向黑客低头交赎金，要么忍痛丢失数据。“大家在面对勒索病毒时都太难了”。这勒索病毒到底是何方妖孽！能让大家对其防不胜防！我们就来了解一下勒索病毒，以及如何防护的方法。

近年来随着国家在政府、企业、教育及医疗等行业“互联网 ”战略的不断推进，各个行业在逐渐数字化、网络化、智能化、逐步拥抱产业互联网化的大浪潮过程中，也逐渐暴露出一系列网络安全问题。勒索病毒也乘机发难，疯狂敛财，影响日渐扩大。全球范围内的交通、能源、医疗等社会基础服务设施，成为勒索病毒攻击的目标。

勒索病毒，是伴随数字货币兴起的一种新型病毒木马，通常以垃圾邮件、服务器入侵、网页挂马、捆绑软件等多种形式进行传播。机器一旦遭受勒索病毒攻击，将会使绝大多数文件被加密算法修改，并添加一个特殊的后缀，且用户无法读取原本正常的文件，对用户造成无法估量的损失。勒索病毒通常利用非对称加密算法和对称加密算法组合的形式来加密文件，绝大多数勒索软件均无法通过技术手段解密，必须拿到对应的解密私钥才有可能无损还原被加密文件。黑客正是通过这样的行为向受害用户勒索高昂的赎金，这些赎金必须通过数字货币支付，一般无法溯源，因此危害巨大。

为帮助更多的朋友在中了勒索病毒后，能够正确处置并及时采取必要的自救措施，阻止损失扩大。同时为了建立更有效的防护措施避免勒索病毒的攻击。本文介绍一些相关的应急处置办法和防护方案，希望能对广大朋友有所帮助。

1.2019上半年勒索病毒攻击态势

2019 年上半年共监控到受勒索病毒攻击的计算机 225.6 万台，处理反勒索申诉案件超过 1500 例。从攻击情况和威胁程度上看，勒索病毒攻击依然是当前国内计算机面临的最大安全威胁之一。在企业安全层面，勒索病毒威胁也已深入人心，成为企业最为担忧的安全问题。

观察勒索病毒影响的行业，以传统行业与教育行业受害最为严重，互联网，医疗，企事业单位紧随其后。 2019上半年，勒索病毒的感染量一直稳定，累计被攻击的计算机超过250万台，时间分布上以2019年1月份最为活跃，2月到6月整体较为平稳，近期略有上升趋势。

2.勒索病毒产业链

随着勒索产业的迅速发展壮大，通过围绕数据加密，数据泄露，乃至诈骗等核心元素展开的网络勒索类型也是千姿百态。网络勒索具有匿名性、隐蔽性、便捷性等特点，深受黑产青睐。其中典型的勒索病毒作案实施过程如下，一次完整的勒索可能涉及5个角色（一人可能充当多个角色）。

勒索病毒作者：负责勒索病毒编写制作，与安全软件免杀对抗。

通过在“暗网”或其它地下平台贩卖病毒代码，接受病毒定制，或出售病毒生成器的方式，与勒索者进行合作拿取分成。

勒索者：从病毒作者手中拿到定制版本勒索病毒或勒索病毒原程序，通过自定义病毒勒索信息后得到自己的专属病毒，与勒索病毒作者进行收入分成。

传播渠道商：帮助勒索者传播勒索病毒，最为熟悉的则是僵尸网络，例Necurs、Gamut，全球有97%的钓鱼邮件由该两个僵尸网络发送。

解密代理：向受害者假称自己能够解密各勒索病毒加密的文件，并且是勒索者提出赎金的50%甚至更低，但实际上与勒索者进行合作，在其间赚取差价。从世界范围内看，勒索病毒产业链养活了大量从事解密代理的组织，这些人直接购买搜索关键字广告，让勒索病毒受害企业通过他们完成解密交易，解密代理充当了中间人的角色，从中获取大量利益。

受害者：通过勒索病毒各种传播渠道不幸中招的受害者，如有重要文件被加密，则向代理或勒索者联系缴纳赎金解密文件。

3.病毒勒索五大形式

数据加密勒索：

这种方式是当前受害群体最多、社会影响最广，勒索犯罪中最为活跃的表现形式，该方式通过加密用户系统内的重要资料文档，数据，再结合虚拟货币实施完整的犯罪流程。以GandCrab为代表的勒索集团当属该类勒索产业中的佼佼者，该黑产团伙在运营短短一年多的时间内，非法敛财20亿美元，该病毒也一度影响了包括我国在内的多个国家基础设施的正常运转，在我国境内制造了大量GandCrab病毒感染事件。

系统锁定勒索：

该形式勒索与数据加密勒索有着极大的相似性，在部分真实攻击场景中该方式也会结合数据加密勒索方式共同实施。这种方式的攻击重点不是针对磁盘文件，而是通过修改系统引导区，篡改系统开机密码等手段将用户系统锁定，导致用户无法正常登录到系统。通过该模式实施的勒索在电脑和安卓手机系统也较为常见。国内PC多见以易语言为代表编写的一系列锁机病毒，将病毒捆绑在破解工具、激活工具、游戏外挂中，欺骗用户通过论坛，网盘，下载站等渠道传播。

数据泄漏勒索：

该类型勒索通常情况针对企业实施，黑客通过入侵拿到企业内相关机密数据，随后敲诈企业支付一定金额的赎金，黑客收到赎金后称会销毁数据，否则将进入撕票流程，在指定时间将企业机密数据公开发布，以此要挟企业支付酬金。大规模的数据泄露对大企业而言不仅会造成严重的经济损失，也会为极大的负面影响。

诈骗恐吓式勒索：

此类型勒索与企业数据泄露造成的勒索有着相似点，针对个人用户隐私发起攻击。不同点为攻击者手中根本没有隐私数据，他们通过伪造、拼接与隐私有关的图片、视频、文档等等恐吓目标实施诈骗勒索。

此类勒索者会大量群发诈骗邮件，当命中收件人隐私信息后，利用收件人的恐慌心理实施欺诈勒索。勒索过程中，受害者由于担心自己隐私信息遭受进一步的泄漏，容易陷入圈套，从而受骗缴纳赎金。

破坏性加密数据掩盖入侵真相

在部分涉及各行业重要数据，各国家机密数据的染毒场景中，有时也会发现一些不同于感染传统勒索病毒的案例。区别在于，观察此类染毒环境中可发现，病毒对部分文件会进行多次加密，甚至对文件进行了无法修复的破坏，且病毒不做白名单过滤，极易将系统直接搞崩溃。分析此类染毒场景可知病毒真实意图似乎更偏向于破坏，而不在于图财。

部分黑客组织在实施APT攻击、窃取企业数据之后，为消除痕迹，会进一步投递破坏性的勒索病毒，将用户资料加密，部分APT攻击者的终极目的就是为了对目标基础设施打击以造成无法修复的损坏。勒索病毒的加密机制，让这些攻击行动变得较为常见，从而有利于黑客组织掩盖真实攻击意图。

4.常见的勒索病毒

GandCrab

GandCrab勒索病毒首次出现于2018年1月，是国内首个使用达世币（DASH）作为赎金的勒索病毒，也是2019上半年是最为活跃的病毒之一。该病毒在一年多的时间里经历了5个大版本的迭代，该病毒作者也一直和安全厂商、执法部门斗智斗勇。该病毒在国内擅长使用弱口令爆破，挂马，垃圾邮件等各种方式传播。

2018年10月16日，一位叙利亚用户在推特表示，GandCrab病毒加密了他的电脑文件，因无力支付勒索赎金，他再也无法看到因为战争丧生的小儿子的照片。随后GandCrab放出了叙利亚地区的部分密钥，并在之后的病毒版本中将叙利亚地区列入白名单不再感染，这也是国内有厂商将其命名为“侠盗勒索”的原因。

2019年6月1日，GandCrab运营团队在某俄语论坛公开声明“从出道到现在的16个月内共赚到20多亿美金，平均每人每年入账1.5亿，并成功将这些钱洗白。同时宣布关闭勒索服务，停止运营团队，后续也不会放出用于解密的密钥，往后余生，要挥金如土，风流快活去”。

2019年6月17日，Bitdefender联合罗马尼亚与欧洲多地区警方一起通过线上线下联合打击的方式，实现了对GandCrab最新病毒版本v5.2的解密。该事件也标志着GandCrab勒索团伙故事的终结。

GlobeImposter

2017年5月，勒索病毒Globelmposter首次在国内出现。2018年2月全国各大医院受Globelmposter勒索病毒攻击，导致医院系统被加密，严重影响了医院的正常业务。Globelmposter攻击手法都极其丰富,通过垃圾邮件、社交工程、渗透扫描、RDP爆破、恶意程序捆绑等方式进行传播,其加密的后缀名也不断变化。由于Globelmposter采用RSA AES算法加密,目前该勒索样本加密的文件暂无解密工具。

Crysis

Crysis勒索病毒从2016年开始具有勒索活动 ，加密文件完成后通常会添加“ID 邮箱 指定后缀”格式的扩展后缀，例：“id-编号.[gracey1c6rwhite@aol.com].bip”，其家族衍生Phobos系列变种在今年2月开始也有所活跃。该病毒通常使用弱口令爆破的方式入侵企业服务器，安全意识薄弱的企业由于多台机器使用同一弱密码，面对该病毒极容易引起企业内服务器的大面积感染，进而造成业务系统瘫痪。

Sodinokibi

Sodinokibi勒索病毒首次出现于2019年4月底，由于之后GandCrab停止运营事件，该病毒紧跟其后将GandCrab勒索家族的多个传播渠道纳入自身手中。该病毒目前在国内主要通过web相关漏洞和海量的钓鱼邮件传播，也被国内厂商称为GandCrab的“接班人”，从该病毒传播感染势头来看，毫无疑问是勒索黑产中的一颗上升的新星。

WananCry

WannaCry于2017年5月12日在全球范围大爆发，引爆了互联网行业的“生化危机”。借助“永恒之蓝”高危漏洞传播的WannaCry在短时间内影响近150个国家，致使多个国家政府、教育、医院、能源、通信、交通、制造等诸多关键信息基础设施遭受前所未有的破坏，勒索病毒也由此事件受到空前的关注，由于当前网络中仍有部分机器未修复漏洞，所以该病毒仍然有较强活力（大部分加密功能失效）。

Stop

Stop勒索病毒家族在国内主要通过软件捆绑、垃圾邮件等方式进行传播，加密时通常需要下载其它病毒辅助工作模块。Stop勒索病毒会留下名为_readme.txt的勒索说明文档，勒索980美元，并声称72小时内联系病毒作者将获得50%费用减免，同时，该病毒除加密文件外，还具备以下行为特点。

加密时，禁用任务管理器、禁用Windows Defender、关闭Windows Defender的实时监控功能;

通过修改hosts文件阻止系统访问全球范围内大量安全厂商的网站；

因病毒执行加密时，会造成系统明显卡顿，为掩人耳目，病毒会弹出伪造的Windows 自动更新窗口；

释放一个被人为修改后不显示界面的TeamViewer模块，用来实现对目标电脑的远程控制；

下载AZORult窃密木马，以窃取用户浏览器、邮箱、多个聊天工具的用户名密码。

Paradise

Paradise勒索病毒最早出现于2018年7月，该病毒勒索弹窗样式与Crysis极为相似，勒索病毒加密文件完成后将修改文件名为以下格式：[原文件名]_[随机字符串]_{邮箱}.随机后缀，并留下名为Instructions with your files.txt或###_INFO_you_FILE_###.txt 的勒索说明文档。

Clop

Clop勒索病毒使用RSA RC4的方式对文件进行加密，与其他勒索病毒不同的是，Clop勒索病毒部分情况下携带了有效的数字签名，数字签名滥用，冒用以往情况下多数发生在流氓软件，窃密类木马程序中。勒索病毒携带有效签名的情况极为少见，这意味着该病毒在部分拦截场景下更容易获取到安全软件的信任，进而感染成功，对企业造成无法逆转的损失。

SCarab

Scarab索病毒主要利用Necurs僵尸网络进行传播，在国内也有发现通过RDP过口令爆破后投毒。该家族变种较多，部分变种感染后外观展现形态差异较大，例如今年3月份我国部分企业感染的ImmortalLock（不死锁）病毒则为Scarab家族在国内活跃的一个变种。

Maze

Maze（迷宫）勒索病毒也叫ChaCha勒索病毒，擅长使用Fallout EK漏洞利用工具通过网页挂马等方式传播。被挂马的网页，多见于黄赌毒相关页面，通常会逐步扩大到盗版软件、游戏外挂（或破解）、盗版影视作品下载，以及某些软件内嵌的广告页面，该病毒的特点之一是自称根据染毒机器的价值来确认勒索所需的具体金额。

5.勒索病毒攻击手段

弱口令

计算机中涉及到口令爆破攻击的暴露面，主要包括远程桌面弱口令、SMB 弱口令、数据库管理系统弱口令(例如 MySQL、SQL Server、Oracle 等)、Tomcat 弱口令、phpMyAdmin 弱口令、VNC 弱口令、FTP 弱口令等。因系统遭遇弱口令攻击而导致数据被加密的情况，也是所有被攻击情况的首位。

钓鱼和垃圾邮件

比如 Sodinokibi 勒索病毒，就大量使用钓鱼邮件进行传播。攻击者伪装成 DHL向用户发送繁体中文邮件，提示用户的包裹出现无限期延误，需要用户查看邮件附件中的“文档”后进行联络。但实际该压缩包内是伪装成文档的勒索病毒。

利用漏洞

目前，黑客用来传播勒索病毒的系统漏洞、软件漏洞，大部分都是已被公开且厂商已经修补了的安全问题，但并非所有用户都会及时安装补丁或者升级软件，所以即使是被修复的漏洞（Nday 漏洞）仍深受黑客们的青睐。一旦有利用价值高的漏洞出现，都会很快被黑客加入到自己的攻击工具中。

常见系统漏洞

Confluence RCE 漏洞 CVE-2019-3396

WebLogic 反序列化漏洞 cve-2019-2725

Windows 内核提权漏洞 CVE-2018-8453

JBoss 反序列化漏洞 CVE-2017-12149

JBoss 默认配置漏洞 CVE-2010-0738

JBoss 默认配置漏洞 CVE-2015-7501

WebLogic 反序列化漏洞 CVE-2017-10271

“永恒之蓝”相关漏洞 CVE-2017-0146

Struts 远程代码执行漏洞 S2-052（仅扫描）CVE-2017-9805

WebLogic 任意文件上传漏洞 CVE-2018-2894

Spring Data Commons 远程代码执行漏洞 CVE-2018-1273

网站挂马

如今年 3 月份再次活跃的 Paradise勒索病毒，就是通过网站挂马的方式进行传播的。攻击者使用了在暗网上公开售卖的Fallout Exploit Kit 漏洞利用工具进行攻击，该漏洞利用工具之前还被用来传播 GandCrab和一些其它恶意软件。如果访问者的机器存在漏洞，那么在访问这些被挂马站点时，就极有可能感染木马病毒。

在使用的漏洞方面，Windows 自身漏洞和 flash 漏洞是网页挂马中，最常被使用到的漏洞。比如 CVE-2018-4878 flash 漏洞和 CVE-2018-8174 Windows VBScript 引擎远程代码执行漏洞就被用来传播 GandCrab。

破解与激活工具

如国内流行的一些系统激活工具中，多次被发现携带有下载器，rootkit 木马，远控木马等。STOP 勒索病毒便是其中一类，从去年年底开始活跃的 STOP 勒索病毒，通过捆绑在一些破解软件和激活工具中，当用户下载使用这些软件时，病毒便被激活，感染用户计算机，加密计算机中的文件。

通过U盘感染

经常使用U盘共享拷贝文件，容易造成病毒传播和交叉感染。

6.勒索病毒入侵过程

病毒入侵的本质：虽病毒类型各异，但从病毒入侵的过程是存在共性的，这与洛克希德-马丁公司提出的“网络杀伤链”理论非常契合。即整个入侵过程，一般会经历侦查跟踪、武器构建、载荷投送、漏洞利用、安装植入、命令与控制、目标达成七个阶段。

“杀伤链”这个概念源自军事领域，它是一个描述攻击环节的六阶段模型，该理论也可以用来反制此类攻击（即反杀伤链）。这就像传统的盗窃流程。小偷要先踩点再溜入目标建筑，一步步实行盗窃计划最终卷赃逃逸。

7.勒索病毒中毒特征

首先如何判断服务器中了勒索病毒呢？勒索病毒区别于其他病毒的明显特征：加密受害者主机的文档和数据，然后对受害者实施勒索，从中非法谋取私利。勒索病毒的收益极高，所以大家才称之为“勒索病毒”。

勒索病毒的主要目的既然是为了勒索，那么黑客在植入病毒完成加密后，必然会提示受害者您的文件已经被加密了无法再打开，需要支付赎金才能恢复文件。所以，勒索病毒有明显区别于一般病毒的典型特征。如果服务器出现了以下特征，即表明已经中了勒索病毒。

8.勒索病毒自救措施

当我们已经确认感染勒索病毒后，应当及时采取必要的自救措施。之所以要进行自救，主要是因为：等待专业人员的救助往往需要一定的时间，采取必要的自救措施，可以减少等待过程中，损失的进一步扩大。例如：与被感染主机相连的其他服务器也存在漏洞或是有缺陷，将有可能也被感染。所以，采取自救措施的目的是为了及时止损，将损失降到最低。

正确处置方法

(一) 隔离中招主机

当确认服务器已经被感染勒索病毒后，应立即隔离被感染主机，隔离主要包括物理隔离和访问控制两种手段，物理隔离主要为断网或断电；访问控制主要是指对访问网络资源的权限进行严格的认证和控制。

物理隔离

物理隔离常用的操作方法是断网和关机。断网主要操作步骤包括：拔掉网线、禁用网卡，如果是笔记本电脑还需关闭无线网络。

访问控制

访问控制常用的操作方法是加策略和修改登录密码。

加策略主要操作步骤为：在网络侧使用安全设备进行进一步隔离，如防火墙或终端安全监测系统；避免将远程桌面服务（RDP，默认端口为3389）暴露在公网上（如为了远程运维方便确有必要开启，则可通过VPN登录后才能访问），并关闭445、139、135等不必要的端口。

修改登录密码的主要操作为：立刻修改被感染服务器的登录密码；其次，修改同一局域网下的其他服务器密码；第三，修改最高级系统管理员账号的登录密码。修改的密码应为高强度的复杂密码，一般要求：采用大小写字母、数字、特殊符号混合的组合结构，口令位数足够长（15位、两种组合以上）。

隔离的目的，一方面是为了防止感染主机自动通过连接的网络继续感染其他服务器；另一方面是为了防止黑客通过感染主机继续操控其他服务器。

有一类勒索病毒会通过系统漏洞或弱密码向其他主机进行传播，如WannaCry勒索病毒，一旦有一台主机感染，会迅速感染与其在同一网络的其他电脑，且每台电脑的感染时间约为1-2分钟左右。所以，如果不及时进行隔离，可能会导致整个局域网主机的瘫痪。

另外，近期也发现有黑客会以暴露在公网上的主机为跳板，再顺藤摸瓜找到核心业务服务器进行勒索病毒攻击，造成更大规模的破坏。

当确认服务器已经被感染勒索病毒后，应立即隔离被感染主机，防止病毒继续感染其他服务器，造成无法估计的损失。

(二) 排查业务系统

在已经隔离被感染主机后，应对局域网内的其他机器进行排查，检查核心业务系统是否受到影响，生产线是否受到影响，并检查备份系统是否被加密等，以确定感染的范围。

业务系统的受影响程度直接关系着事件的风险等级。评估风险，及时采取对应的处置措施，避免更大的危害。

另外，备份系统如果是安全的，就可以避免支付赎金，顺利的恢复文件。

所以，当确认服务器已经被感染勒索病毒后，并确认已经隔离被感染主机的情况下，应立即对核心业务系统和备份系统进行排查。

(三) 联系专业人员

在应急自救处置后，建议第一时间联系专业的技术人士或安全从业者，对事件的感染时间、传播方式，感染家族等问题进行排查。

错误的处置方法

(一) 使用移动存储设备

当确认服务器已经被感染勒索病毒后，在中毒电脑上使用U盘、移动硬盘等移动存储设备。当电脑感染病毒时，病毒也可能通过U盘等移动存储介质进行传播。所以，当确认服务器已经被感染勒索病毒后，切勿在中毒电脑上使用U盘、移动硬盘等设备。

(二) 读写中毒主机上的磁盘文件

当确认服务器已经被感染勒索病毒后，轻信网上的各种解密方法或工具，自行操作。反复读取磁盘上的文件后反而降低数据正确恢复的概率。

访问“拒绝勒索软件”网站，该网站是一项由荷兰国家警察高科技犯罪单位、欧洲刑警组织下属欧洲网络犯罪中心, 卡巴斯基实验室和英特尔公司（英特尔安全）网络保安全公司所推动的计划，旨在帮助勒索软件的受害者重新取回其加密数据，而无需支付赎金。

但是这个网站提供的解密密钥仅仅限于已经被破解或被各国执法机构查获的勒索病毒密钥。因此只能做为一个参考，最重要的工作还是做好日常的防护工作。

9.加强管理制度建设预防勒索病毒

定期进行安全培训，做到“三不三要”

杜绝弱口令系，加强口令管理

对网络信息资产进行全面核查

培养专业的网络安全管理人才

对重要的网络服务进行远程访问限制

重要的关键业务系统必须做好备份方案

10.勒索病毒立体防护解决方案

使用单一的安全产品或是单一的技术手段（如防火墙、IPS、杀毒软件）在面对勒索病毒的入侵时，往往面临“时效、单点、溯源”三大核心问题。一旦某一点被突破，特别是新型的病毒，则会直接碰触到业务系统及数据。为此勒索病毒防护必须依赖于全面的防护思路，通过多层、多维的防护措施，构建完整立体的病毒防护体系。

第一道防线

利用防火墙、上网行为管理等拦截侦查跟踪、武器构建、载荷投送三个阶段的攻击；

第二道防线

利用WAF防火墙、反垃圾邮件系统、漏洞扫描、终端安全系统、堡垒机以及流量分析系统来拦截漏洞利用、安装植入、命令与控制三个阶段的攻击；

第三道防线

最后使用数据备份系统建立最后的保障，以确保万一被黑客目标达成攻击后，可以使用备份的数据用以恢复业务系统的运行。

注：备份是防止勒索病毒最后的保障，也是最重要的手段。做备份以注意以下几点：

A、备份文件不要保存在本机上（否则病毒会将你的备份文件同时加密）。安全备份的原则是321原则，即保存三份数据副本，存储在两种不同的介质上，其中一份在异地。

B、不要采用同步复制的方式（不然被加密的文件也会同步复制过覆盖原备份文件）。同步复制的方式固然可以将损失减少到最小，但一般只针对硬件故障，对于病毒、人为因素等逻辑错误无法恢复。