1989年，哈佛大学学生约瑟夫·L·波普制作了全球首个勒索病毒—AIDS木马，这位哈佛高材生将勒索病毒隐藏在软盘中并分发给国际卫生组织艾滋病大会的参会者。此款勒索病毒会记录用户设备重启次数，一旦超过90次就会对电脑中的文件进行加密，并要求邮寄189美元才能解密重新访问系统。虽然“名牌大学生恶作剧+邮寄支付赎金”的标签在今天看来既没有多大危害，也不够专业，但勒索病毒发起的对经济社会的攻击，在此后的30多年中逐渐演变为让人闻之色变的网络攻击浪潮。

勒索攻击又称为“赎金木马”，是指网络攻击者通过对目标数据强行加密，导致企业核心业务停摆，以此要挟受害者支付赎金进行解密。如同我们把钱放在保险箱，小偷没有撬开保险箱偷钱，反而把放保险箱的房间加了把锁。如果没有房间的钥匙，我们依然拿不到保险箱里的钱。勒索攻击发展历程并不长，在30多年的发展过程中，主要经历三个阶段：1989至2009年是勒索攻击的萌芽期，在这20年中，勒索攻击处于起步阶段，勒索攻击软件数量增长较为缓慢，且攻击力度小、危害程度低。2006年我国首次出现勒索攻击软件。2010年以后，勒索软件进入活跃期，几乎每年都有变种出现，其攻击范围不断扩大、攻击手段持续翻新。2013年以来，越来越多的攻击者要求以比特币形式支付赎金；2014年出现了第一个真正意义上针对Android平台的勒索攻击软件，标志着攻击者的注意力开始向移动互联网和智能终端转移。勒索攻击在2015年后进入高发期，2017年WannaCry勒索攻击在全球范围内大规模爆发，至少150个国家、30万名用户受害，共计造成超过80亿美元的损失，至此勒索攻击正式走入大众视野并引发全球勒索攻击典型特征与案例

近年来勒索攻击席卷全球，几乎所有国家的政府、金融、教育、医疗、制造、交通、能源等行业均受到影响，可以说有互联网的地方就可能存在勒索攻击。2021年5月，美国17个州能源系统受到勒索攻击，导致美国最大的燃料管道运营商Colonial关闭约8851公里的运输管道，犯罪分子在短时间内获取了100G数据，并锁定相关服务器等设备数据，要求支付75个比特币作为赎金（相当于440万美元）。勒索攻击已经成为未来一段时期网络安全的主要威胁。总的来看，勒索攻击有4个显著特征：

勒索攻击善于利用各种伪装达到入侵目的，常见的传播手段有借助垃圾邮件、网页广告、系统漏洞、U盘等。隐蔽性是勒索攻击的典型攻击策略。在入口选择上，攻击者以代码仓库为感染位置对源代码发动攻击；在上线选择上，宁可放弃大量的机会也不愿在非安全环境上线；在编码上，高度仿照目标公司的编码方式和命名规范以绕过复杂的测试、交叉审核、校验等环节。此外，攻击者往往在发动正式攻击之前就已控制代码仓库，间隔几个月甚至更长时间才引入第一个恶意软件版本，其潜伏时间之长再一次印证了勒索攻击的高隐蔽性。

调查发现，某些勒索攻击事件的制造者利用尚未被发现的网络攻击策略、技术和程序，不仅可以将后门偷偷嵌入代码中，而且可以与被感染系统通信而不被发现。这些策略、技术和程序隐藏极深且很难完全从受感染网络中删除，为攻击活动细节的调查取证和后续的清除工作带来巨大的挑战。此外，勒索攻击一般具有明确的攻击目标和强烈的勒索目的，勒索目的由获取钱财转向窃取商业数据和政治机密，危害性日益增强。

目前活跃在市面上的勒索攻击病毒种类繁多呈现“百花齐放”的局面，而且每个家族的勒索病毒也处于不断地更新变异之中。2016年勒索软件变种数量达247个，而2015年全年只有29个，其变体数量比上一年同期增长了752%。变体的增多除了依赖先进网络技术飞速发展以外，还与网络攻击者“反侦查”意识的增强相关。很多勒索软件编写者知道安全人员试图对其软件进行“逆向工程”，从而不断改进勒索软件变体以逃避侦查。比如爆发于2017年的WannaCry，在全球范围蔓延的同时也迅速出现了新的变种——WannaCry 2.0，与之前版本的不同是，这个变种不能通过注册某个域名来关闭传播，因而传播速度变得更快。

近年来越来越多的攻击事件表明，勒索攻击正在由被动式攻击转为主动式攻击。以工业控制系统为例，由于设计之初没有考虑到海量异构设备以及外部网络的接入，随着开放性日益增加，设备中普遍存在的高危漏洞给了勒索攻击以可乘之机，一旦侵入成功即可造成多达数十亿台设备的集体沦陷。随着远程监控和远程操作加快普及并生产海量数据，网络攻击者更容易利用系统漏洞发动远程攻击，实现盗取数据、中断生产的目的。为了成功绕过外部安装的防火墙等安全设施，不少勒索攻击诱导企业内部员工泄露敏感信息。除了针对运营管理中存在的薄弱环节，勒索攻击还在设备安装过程中利用内置漏洞进行横向渗透，一旦发现系统已有漏洞则立即感染侵入。

一方面是从电脑端到移动端。勒索病毒大多以电脑设备为攻击目标，其中Windows操作系统是重灾区。但随着移动互联网的普及，勒索攻击的战场从电脑端蔓延至移动端，并且有愈演愈烈的趋势。俄罗斯卡巴斯基实验室检测发现，2019年针对移动设备用户个人数据的攻击达67500个，相比2018年增长了50%。同年卡巴斯基移动端产品共检测到350多万个恶意安装软件包，近7万个新型移动端银行木马和6.8万多个新型移动端勒索软件木马。

另一方面是从个人用户到企业设备。个人设备在勒索软件攻击目标中一直占据较高比例，但随着传统勒索软件盈利能力的持续下降，对更高利润索取的期待驱使网络攻击者将目标重点聚焦在政府或企业的关键业务系统和服务器上。比如在今年7月16日发生的国家级勒索事件中，厄瓜多尔最大网络运营商CNT遭遇勒索软件RansomEXX的攻击，致使其业务运营、支付门户及客户支持全部陷入瘫痪，犯罪团伙声称已经取得190GB的数据，并在隐藏的数据泄露页面上分享了部分文档截图。

随着AI、5G、物联网等技术的快速普及和应用，以及加密货币的持续火爆，勒索攻击呈现出持续高发态势，全球大量知名企业都曾遭到勒索攻击并导致经济和声誉损失。据《2020年我国互联网网络安全态势综述》统计，2020年我国全年捕获勒索病毒软件78.1万余个，较2019年同比增长6.8%。据Cybersecurity Adventure统计，2021年全球勒索软件破坏成本预计将达到200亿美元，高于2015年3.25亿美元的61倍。