2022年5月勒索病毒情況分析

自勒索病毒傳播以來，360反勒索服務已收到數萬次勒索病毒感染求助。隨著新型勒索軟件的快速傳播，企業數據泄露風險不斷上升，金額數百萬至近億美元的勒索案件不斷出現。勒索軟件對企業和個人的影響越來越廣，危害越來越大。360安全大腦對勒索病毒進行全方位監控和防禦，為大量需要幫助的用戶提供360反勒索服務。

2022年5月，全球出現了7Locker、EAF、QuickBubck、PSRansom、Cheers、RansomHouse、Mindware等新活躍的勒索軟件家族，其中Cheers、RansomHouse、Mindware都是具有雙重勒索軟件功能的家族。

基於對360反勒索數據的分析，360政企安全集團高級威脅研究分析中心(CCTGA勒索軟件防範與響應工作組成員)發布了這份報告。

根據本月勒索病毒受害者反饋統計，馬格尼伯家族以46.17%排名第壹，TargetCompany(Mallox)以15.52%排名第二，火衛壹家族以10.15%排名第三。

本月由於大量用戶在瀏覽網站時有意無意下載了偽裝成Win10/win11的補丁/升級包的Magniber勒索病毒，首次出現單個家庭感染近50%的情況。

根據本月受害者使用的操作系統統計，前三名分別是Windows 10、Windows Server 2008和Windows 7。

2022年5月，受感染系統中桌面系統和服務器系統的比例顯示，由於Magniber勒索病毒的攻擊，桌面PC的比例增加，該病毒的攻擊目標是Windows 10和Windows 11。

今年4月底，偽裝成Wndows10升級補丁包的Magniber勒索病毒被廣泛傳播，360安全大腦對其進行了警告。

5月初，360安全大腦再次監測到該家族對Windows 11系統的新攻擊，其主要包名也進行了更新，如:

win 10-11 _系統_升級_軟件. msi

covid . warning . readme . xxxxxxxx . MSI

其傳播方式依然是各種論壇、破解軟件網站、虛假色情站等等。當用戶訪問這些網站時，會被誘導從第三方網盤下載偽裝成補丁或更新的勒索軟件。另外，有些網站有自動下載。

以下是最近針對Windows 11傳播的病毒的攻擊態勢圖:

被勒索軟件加密後，文件後綴會變成隨機後綴，每個受害者都會有壹個獨立的支付頁面——如果在規定時間內無法支付贖金，鏈接將失效。如果受害者能在5天內支付贖金，只需支付0.09比特幣(截至本報告撰寫時約合人民幣17908元)，5天後贖金將翻倍。

本月，360安全大腦監測發現多起Mallox勒索病毒攻擊。該病毒主要攻擊企業Web應用，包括Spring Boot、Weblogic、Access OA等。在獲得目標設備的權限後，會試圖在內網中橫向移動，以獲得更多設備的權限，這種做法危害極大。360提醒用戶加強防護，建議使用360終端安全產品提供的安全補丁來防殺病毒。

360安全大腦監控歷史顯示，Mallox(又名目標公司)於2021 10年10月進入中國，早期主要通過SQLGlobeImposter渠道傳播(獲取數據庫密碼後，遠程分發勒索病毒)。這個渠道早就被GlobeImposter勒索軟件利用了)。今年GlobeImposter勒索軟件的傳播逐漸下降，Mallox逐漸占領了這個渠道。

除了傳播渠道，360通過分析近期的攻擊案例發現，攻擊者會在Web應用中植入大量的WebShell，這些文件的文件名中會包含“kk”的特征字符。壹旦目標設備被成功入侵，攻擊者就會嘗試釋放PowerCat、lCX、AnyDesk等黑客工具來控制目標機器，創建賬號，嘗試遠程登錄目標機器。此外，攻擊者還會使用fscan工具掃描設備所在的內網，並試圖攻擊內網中的其他機器。獲取最多設備權限後開始部署勒索軟件。

近日，360安全大腦監測到壹個新的勒索病毒7Locker，它是用java語言編寫的，通過OA系統漏洞進行傳播。本質上，它使用7z壓縮工具為文件添加密碼，然後對其進行壓縮，加密和壓縮後的文件添加了擴展名. 7z..每個受害者都可以通過唯壹的客戶端密鑰查詢具體的贖金需求和指定的贖金支付地址。

此外，根據目前掌握的信息，推測該家族通信事件有很大概率是中國臺灣省黑客針對中國內陸發動的勒索攻擊。

5月8日周日，新當選的哥斯達黎加總統烏戈·查韋斯(Hugo Chavez)宣布進入緊急狀態，理由是許多政府機構正遭到康迪勒索軟件的攻擊。

Conti勒索軟件最初聲稱上個月攻擊了哥斯達黎加政府。該國公共衛生機構哥斯達黎加社會保障基金(CCSS)早些時候表示，“康蒂勒索病毒正在接受外圍安全審查，以驗證並防止其再次攻擊。”

目前Conti已經公布了大約672 GB的數據，其中似乎包含了屬於哥斯達黎加政府機構的數據。

以下是本月收集的黑客郵件信息:

目前，通過雙重勒索或多重勒索模式獲利的勒索軟件家族越來越多，勒索軟件造成的數據泄露風險也越來越大。以下是本月通過數據泄露獲利的勒索軟件家族比例。數據只是第壹時間未能支付贖金或拒絕支付贖金的部分(已支付贖金的企業或個人可能不會出現在此列表中)。

以下公司或個人在本月遭到了雙重勒索軟件家族的攻擊。如果沒有發現數據有被泄露的風險，請第壹時間自查，做好數據被泄露的準備並采取補救措施。

本月共有220個組織/企業遭受敲詐攻擊，其中中國有10個組織/企業(包括中國臺灣省的5個組織/企業)本月遭受雙重敲詐/多重敲詐。

表二。受損組織/企業

本月被攻擊的系統版本中，排名前三的是Windows Server 2008、Windows 7和Windows Server 2003。

根據2022年5月被攻擊系統的區域統計，與前幾個月收集的數據相比，區域排名和占比變化不大。數字經濟發達地區仍是主要攻擊目標。

通過觀察2022年5月的弱口令攻擊情況，發現RDP弱口令攻擊和MYSQL弱口令攻擊整體沒有大的波動。MSSQL弱密碼攻擊雖然有波動，但仍在正常範圍內，總體呈上升趨勢。

以下是本月榜單上活躍勒索軟件的關鍵詞統計。數據來自360勒索軟件搜索引擎。

從解密高手這個月解密的數據來看，解密量最大的是GandCrab，其次是咖啡。使用解密大師解密文件的用戶數量最多，其次是CryptoJoker家族加密的設備。