勒索病毒傳播至今，360反勒索服務(wù)已累計(jì)接收到上萬勒索病毒感染求助。隨著新型勒索病毒的快速蔓延，企業(yè)數(shù)據(jù)泄露風(fēng)險(xiǎn)不斷上升，勒索金額在數(shù)百萬到近億美元的勒索案件不斷出現(xiàn)。勒索病毒給企業(yè)和個(gè)人帶來的影響范圍越來越廣，危害性也越來越大。360安全大腦針對(duì)勒索病毒進(jìn)行了全方位的監(jiān)測與防御，為大量需要幫助的用戶提供360反勒索服務(wù)。

2022年5月，全球新增的活躍勒索病毒家族有：7Locker、EAF、QuickBubck、PSRansom、Cheers、RansomHouse、Mindware等家族，其中Cheers、RansomHouse、Mindware均為具有雙重勒索功能的家族。

本月最值得關(guān)注的有三個(gè)熱點(diǎn)：

基于對(duì)360反勒索數(shù)據(jù)的分析研判，360政企安全集團(tuán)高級(jí)威脅研究分析中心(CCTGA勒索軟件防范應(yīng)對(duì)工作組成員）發(fā)布本報(bào)告。

感染數(shù)據(jù)分析

根據(jù)本月勒索病毒受害者排查反饋統(tǒng)計(jì)，Magniber家族占比46.17%居首位，其次是占比15.52%的TargetCompany(Mallox)，phobos家族以10.15%位居第三。

本月因大量用戶瀏覽網(wǎng)站時(shí)有意或無意下載偽裝成Win10/win11的補(bǔ)丁/升級(jí)包的Magniber勒索病毒而中招，首次出現(xiàn)單個(gè)家族感染量占比近50%的“霸榜”現(xiàn)象。

對(duì)本月受害者所使用的操作系統(tǒng)進(jìn)行統(tǒng)計(jì)，位居前三的是：Windows 10、Windows Server 2008以及Windows 7。

2022年5月被感染的系統(tǒng)中桌面系統(tǒng)和服務(wù)器系統(tǒng)占比顯示，因Magniber勒索病毒攻擊這針對(duì)Windows 10和Windows 11，導(dǎo)致桌面PC占比上漲。

勒索病毒疫情分析

Magniber勒索病毒再升級(jí)，劍指win11

今年4月底，Magniber勒索病毒偽裝成Wndows10升級(jí)補(bǔ)丁包進(jìn)行大肆傳播，360安全大腦對(duì)其進(jìn)行了預(yù)警。

而5月初，360安全大腦再次監(jiān)測到該家族新增對(duì)Windows 11系統(tǒng)的攻擊，其主要傳播的包名也有所更新，比如：

win10-11_system_upgrade_software.msi

covid.warning.readme.xxxxxxxx.msi

其傳播方式仍然是各類論壇、破解軟件網(wǎng)站、虛假色情站等。用戶在訪問這些站點(diǎn)時(shí)，會(huì)被誘導(dǎo)至第三方網(wǎng)盤下載偽裝成補(bǔ)丁或更新的勒索病毒。此外也有部分網(wǎng)站存在自動(dòng)下載情況。

以下是該病毒近期傳播針對(duì)Windows 11的攻擊態(tài)勢圖：

遭到該勒索病毒加密后，文件后綴會(huì)被修改為隨機(jī)后綴，且每個(gè)受害者會(huì)有一個(gè)獨(dú)立的支付頁面——若不能在規(guī)定時(shí)間內(nèi)支付贖金，該鏈接將失效。若受害者能在5天內(nèi)支付贖金，則只需支付0.09個(gè)比特幣(截止該報(bào)告撰寫時(shí)，約合人民幣17908元)，而超過5天贖金將會(huì)翻倍。

新增Web應(yīng)用入侵渠道，Mallox勒索病毒迎來一波快速傳播

本月360安全大腦監(jiān)測發(fā)現(xiàn)多起Mallox勒索病毒攻擊事件。該病毒主要針對(duì)企業(yè)的Web應(yīng)用發(fā)起攻擊，包括Spring Boot、Weblogic、通達(dá)OA等。在其拿下目標(biāo)設(shè)備權(quán)限后還會(huì)嘗試在內(nèi)網(wǎng)中橫向移動(dòng)，獲取更多設(shè)備的權(quán)限，危害性極大。360提醒用戶加強(qiáng)防護(hù)，并建議使用360終端安全產(chǎn)品提供的安全補(bǔ)丁，防御查殺該病毒。

360安全大腦監(jiān)測歷史顯示，Mallox（又被稱作Target Company）于2021年10月進(jìn)入中國，早期主要通過SQLGlobeImposter渠道進(jìn)行傳播（通過獲取到數(shù)據(jù)庫口令后，遠(yuǎn)程下發(fā)勒索病毒。該渠道曾長期被GlobeImposter勒索病毒使用）。而今年GlobeImposter勒索病毒的傳播量逐漸下降，Mallox就逐漸占據(jù)了這一渠道。

除了傳播渠道之外，360通過分析近期攻擊案例發(fā)現(xiàn)攻擊者會(huì)向Web應(yīng)用中植入大量的WebShell，而這些文件的文件名中會(huì)包含“kk”的特征字符。一旦成功入侵目標(biāo)設(shè)備，攻擊者會(huì)嘗試釋放PowerCat、lCX、AnyDesk等黑客工具控制目標(biāo)機(jī)器、創(chuàng)建賬戶，并嘗試遠(yuǎn)程登錄目標(biāo)機(jī)器。此外，攻擊者還會(huì)使用fscan工具掃描設(shè)備所在內(nèi)網(wǎng)，并嘗試攻擊內(nèi)網(wǎng)中的其它機(jī)器。在獲取到最多設(shè)備權(quán)限后開始部署勒索病毒。

新增通過OA系統(tǒng)漏洞進(jìn)行傳播的7Locker勒索病毒

近日360安全大腦監(jiān)控到一款新型勒索病毒7Locker，該病毒使用java語言編寫，并通過OA系統(tǒng)漏洞進(jìn)行傳播。其本質(zhì)上是利用7z壓縮工具將文件添加密碼后進(jìn)行壓縮，被加密壓縮后的文件被新增擴(kuò)展名.7z。每個(gè)受害者通過唯一的Client Key查看具體贖金要求以及指定的贖金支付地址。

另外，根據(jù)目前已掌握的信息推測：該家族的傳播事件有很大概率是中國臺(tái)灣黑客針對(duì)中國內(nèi)陸發(fā)起的勒索攻擊。

哥斯達(dá)黎加因多個(gè)政府部門遭Conti攻擊宣布國家進(jìn)入緊急狀態(tài)

5月8日星期日，新當(dāng)選的哥斯達(dá)黎加總統(tǒng)查韋斯宣布國家進(jìn)入緊急狀態(tài)，理由是多個(gè)政府機(jī)構(gòu)正遭到Conti勒索病毒攻擊。

Conti勒索病毒最初聲稱上個(gè)月對(duì)哥斯達(dá)黎加政府進(jìn)行了攻擊。該國的公共衛(wèi)生機(jī)構(gòu)哥斯達(dá)黎加社會(huì)保障基金（CCSS）早些時(shí)候曾表示，“正在對(duì)Conti勒索病毒進(jìn)行外圍安全審查，以驗(yàn)證和防止其可能再次發(fā)動(dòng)攻擊?！?/p>

目前，Conti已發(fā)布了大約672 GB的數(shù)據(jù)，其中似乎包含屬于哥斯達(dá)黎加政府機(jī)構(gòu)的數(shù)據(jù)。

黑客信息披露

以下是本月收集到的黑客郵箱信息：

當(dāng)前，通過雙重勒索或多重勒索模式獲利的勒索病毒家族越來越多，勒索病毒所帶來的數(shù)據(jù)泄露的風(fēng)險(xiǎn)也越來越大。以下是本月通過數(shù)據(jù)泄露獲利的勒索病毒家族占比，該數(shù)據(jù)僅為未能第一時(shí)間繳納贖金或拒繳納贖金部分（已經(jīng)支付贖金的企業(yè)或個(gè)人，可能不會(huì)出現(xiàn)在這個(gè)清單中）。

以下是本月被雙重勒索病毒家族攻擊的企業(yè)或個(gè)人。若未發(fā)現(xiàn)被數(shù)據(jù)存在泄露風(fēng)險(xiǎn)的企業(yè)或個(gè)人也請第一時(shí)間自查，做好數(shù)據(jù)已被泄露準(zhǔn)備，采取補(bǔ)救措施。

本月總共有220個(gè)組織/企業(yè)遭遇勒索攻擊，其中包含中國10個(gè)組織/企業(yè)（含中國臺(tái)灣省5個(gè)組織/企業(yè)）在本月遭遇了雙重勒索/多重勒索。

表格2. 受害組織/企業(yè)

系統(tǒng)安全防護(hù)數(shù)據(jù)分析

在本月被攻擊的系統(tǒng)版本中，排行前三的依次為Windows Server 2008 、Windows 7以及Windows Server 2003。

對(duì)2022年5月被攻擊系統(tǒng)所屬地域統(tǒng)計(jì)發(fā)現(xiàn)，與之前幾個(gè)月采集到的數(shù)據(jù)進(jìn)行對(duì)比，地區(qū)排名和占比變化均不大。數(shù)字經(jīng)濟(jì)發(fā)達(dá)地區(qū)仍是攻擊的主要對(duì)象。

通過觀察2022年5月弱口令攻擊態(tài)勢，發(fā)現(xiàn)RDP弱口令攻擊和MYSQL弱口令攻擊整體無較大波動(dòng)。MSSQL弱口令攻擊雖有波動(dòng)，但依然處于常規(guī)范圍內(nèi)且整體呈上升態(tài)勢。

勒索病毒關(guān)鍵詞

以下是本月上榜活躍勒索病毒關(guān)鍵詞統(tǒng)計(jì)，數(shù)據(jù)來自360勒索病毒搜索引擎。

• devos：該后綴有三種情況，均因被加密文件后綴會(huì)被修改為devos而成為關(guān)鍵詞。但本月活躍的是phobos勒索病毒家族，該家族的主要傳播方式為：通過暴力破解遠(yuǎn)程桌面口令成功后手動(dòng)投毒。
• 360：屬于BeijngCrypt勒索病毒家族，由于被加密文件后綴會(huì)被修改為360而成為關(guān)鍵詞。該家族主要的傳播方式為：通過暴力破解遠(yuǎn)程桌面口令成功后手動(dòng)投毒，本月新增通過數(shù)據(jù)庫弱口令攻擊進(jìn)行傳播。
• locked:locked曾被多個(gè)家族使用，但在本月使用該后綴的家族是TellYouThePass勒索病毒家族。由于被加密文件后綴會(huì)被修改為locked而成為關(guān)鍵詞。該家族本月主要的傳播方式為：通過Log4j2漏洞進(jìn)行傳播。
• Magniber：
• mkp：屬于Makop勒索病毒家族，由于被加密文件后綴會(huì)被修改為mkp而成為關(guān)鍵詞。該家族主要的傳播方式為：通過暴力破解遠(yuǎn)程桌面口令成功后手動(dòng)投毒。
• bozon3:屬于TargetCompany(Mallox)勒索病毒家族，由于被加密文件后綴會(huì)被修改為bozon3。該家族傳播渠道有多個(gè)，包括匿隱僵尸網(wǎng)絡(luò)、橫向滲透以及數(shù)據(jù)庫弱口令爆破。本月新增通過入侵Web應(yīng)用進(jìn)行傳播。
• bozon:同bozon3。
• avast: 同bozon3。
• eking:屬于phobos勒索病毒家族，由于被加密文件后綴會(huì)被修改為eking而成為關(guān)鍵詞。家族的主要傳播方式為：通過暴力破解遠(yuǎn)程桌面口令成功后手動(dòng)投毒。
• rook:屬于Rook勒索病毒家族，由于被加密文件后綴會(huì)被修改為rook而成為關(guān)鍵詞。該家族的主要傳播方式為：通過匿隱僵尸網(wǎng)絡(luò)進(jìn)行傳播。本月(2022年2月)受害者大部分是因?yàn)榈较螺d網(wǎng)站下載注冊機(jī)感染的匿隱僵尸網(wǎng)絡(luò)。

解密大師

從解密大師本月解密數(shù)據(jù)看，解密量最大的是GandCrab，其次是Coffee。使用解密大師解密文件的用戶數(shù)量最高的是被Crysis家族加密的設(shè)備，其次是被CryptoJoker家族加密的設(shè)備。