據外媒報道，一個名為EKAN的勒索軟件（也稱為Snake）于2019年12月首次出現，并且正在針對工業(yè)控制系統(tǒng)（ICS）發(fā)動勒索軟件攻擊。據悉，自EKANS（又名Snake）首次出現以來，來自各個安全機構的研究人員一直在對其進行分析，發(fā)現EKANS除其他事項外，能夠停止與工業(yè)控制系統(tǒng)（ICS）操作相關的許多流程應用程序。

　　對此，來自德拉戈斯的研究人員表示，盡管目前所有跡象都顯示出對控制系統(tǒng)網絡的攻擊機制相對比較原始，但靜態(tài)“殺傷力清單”中列出的過程中的特殊性表明，此前針對工業(yè)領域的勒索軟件沒有這種故意性。

　　由來自MalwareHunterTeam，SentinelOne和Dragos的研究人員分析表示，EKANS勒索軟件具有針對Windows系統(tǒng)的通用勒索軟件相關的許多相同特征，例如在目標系統(tǒng)上進行交付時，該勒索軟件首先檢查自身是否已經存在于系統(tǒng)中，如果沒有，則會強行停止較長的進程列表，然后再開始執(zhí)行相關的加密操作，并刪除受害計算機上的相關備份內容。

　　Ragos研究人員指出，雖然該款勒索軟件某些引用過程似乎與安全管理軟件Qihoo 360 Safeguard和Microsoft System Center相似，但列出的大多數過程都與數據庫信息，數據備份解決方案和ICS生產流程相關。

　　同時，專家表示，目前EKANS還無法操縱與ICS生產相關的過程，因此其破壞性僅限于使管理員無法了解控制系統(tǒng)和網絡上正在發(fā)生的事情。它對實際工業(yè)環(huán)境的影響將取決于其特定的設置，配置，過程鏈接等。根據Dragos研究人員的說法，該惡意軟件無法自行進行傳播，只能依靠攻擊者以交互方式或通過腳本啟動它。因此，目前它與大多數勒索軟件相比破壞性較小，因為黑客在整個攻擊過程中都保持對加密系統(tǒng)用戶的訪問，該勒索軟件不會重新引導，關閉或關閉遠程訪問通道。

　　目前，雖然Otorio的研究人員認為該惡意軟件是由伊朗贊助的，但據德拉戈斯的對手獵人Joe Slowik稱，這一說法缺少有說服力的證據。同時，在另一方面，似乎EKANS與MegaCortex勒索軟件的第二版本相似，后者還具有一個顯示進程的“ kill list”列表，其中還包括EKANS停止攻擊的進程。

　　基于這些信息，EKANS作為勒索軟件針對ICS的相關攻擊似乎不是唯一的，或者說它至少不是第一。因為Dragos研究人員指出，目前MegaCortex勒索軟件也被用于針對攻擊美國，加拿大和歐洲部分地區(qū)的大型公司網絡和工作站。