2021年2月勒索病毒流行态势分析

勒索病毒传播至今，360互联网安全中心已累计接收到上万勒索病毒感染求助。随着新型勒索病毒的不断涌现，企业数据泄露事件不断上升，过万甚至上亿赎金的勒索案件不断出现。勒索病毒给企业和个人带来的影响范围将越来越广，危害性也越来越大。360安全大脑针对勒索病毒进行了全方位的监控与防御，为需要帮助的用户提供360反勒索服务。

2021年2月，国内外新增活跃勒索病毒DaddyHack、Snoopdoog、DarkWorld、HDLocker等病毒家族。其中HDLocker本月开始首次发现国内感染者。

本月新增解密：

l Magniber修改后缀为ktimyfcs

l Foinx黑客释放密钥版本

感染数据分析

针对本月勒索病毒受害者所中勒索病毒家族进行统计，phobos家族占比20.72%居首位，其次是占比14.86%的GlobeImposter，Makop家族以12.16%位居第三。

其中HelpYou为1月底至2月初期间新增的家族，Crysis家族从1月开始感染量有明显下降。Makop家族感染量逐步上升。

对本月受害者所使用的操作系统进行统计，位居前三的是:Windows 10、Windows 7和Windows Server 2008。

2020年2月被感染的系统中桌面系统和服务器系统占比显示，受攻击的系统仍主要是桌面系统。

勒索病毒疫情分析

HelpYou

360安全大脑在1月底至2月初期间监控到一款新型勒索病毒在国内开始活跃，该勒索病毒目前变种多达10个，例如修改后缀为IQ1、IQ2、IQ3、IQ0001、IQ0002、IQ_IQ等，同时会在每个文件目录下生成勒索提示信息HOW_TO_RECOVERY_FILES.txt。

HelpYou勒索病毒加密后的文件

目前该勒索病毒仅看到在国内进行传播。通过对受害者机器的现场分析发现该家族的传播不仅仅是通过传统的远程桌面弱口令暴力破解后手动投毒，还会利用通过获取到用户数据库口令后通过向受害者机器新增账户登录后手动投毒。这种多手法组合攻击和上个月提到的GlobeImposter相同，说明多手法组合攻击会在后续会越来越多，暴露在公网的设备需要做到方方面面的防御才能避免被攻击成功。

和黑客通过邮件进行沟通时黑客针对单个机器要价0.1个比特币，需要高达3万3千多人民币才能购买到解密器。

与黑客的沟通邮件内容

Egregor

2021年2月16日，法国警方与乌克兰警方联合在乌克兰抓捕了Egregor的一名成员（非团队核心成员，仅是其会员中的一员，主要负责攻击目标）。从2020年9月至今，该家族已成功感染206个目标，其中包含法国多个大型企业——例如游戏开发商Ubisoft、法国报纸Ouest France和物流巨头捷富高Gefko等企业。目前该组织的数据泄露网址已关闭无法访问。且在本月未发现被该家族攻击案例。

关于Crytek和Ubisoft被攻陷的公告

HelloKitty

早在2020年12月,就有勒索病毒团队将目光瞄准CD Projekt Red，但那次攻击的主要受害对象是使用该旗下的的游戏玩家。攻击者通过在假冒的Google Play Store上分发用勒索病毒伪装的安卓版Cyberpunk 2077。而本月CD Projet Red开发商被HelloKitty勒索病毒攻击，导致文件被加密的同时大量数据被窃取。CDPR第一时间回应拒绝支付赎金，并通过备份恢复了正常运作。不久黑客将窃取到的巫师3、Thronebreaker和Cyberpunk 2077等的源码在暗网论坛被公开拍卖，只要在该论坛有0.1BTC存款的用户均可参与拍卖。

HelloKitty勒索病毒团队在暗网售卖CDPR数据

DoppelPaymer

DoppelPaymer黑客组织的目标几乎都是大型企业，在2020年被攻击的受害者中多起案件引发社会高度关注：攻击德国医疗机构成第一起因勒索病毒攻击导致患者抢救不及时死亡案例；加密富士康1200台设备索要史上最高赎金2.3亿人民币。牵连甚广的零件制造商Visser Precision拒绝对该团队支付赎金后，其客户特斯拉、波音、SpaceX等机密文件均被泄露。

近日该勒索病毒团伙再次因成功入侵起亚美国的数据库引起广泛关注，该团伙向现代汽车集团索要2000万美元做为赎金，并承诺不会将窃取到的数据泄露。若未在规定时间内支付，赎金将会增加到3000万美金。最后如果双方无法达成支付协议，黑客将会公布在此次攻击中窃取到的重要数据。此次事件已影响了起亚美国的自助支付服务、网上平台以及电话支持系统，同时现代汽车的多个经销商站点、经销商技术人员使用的服务也出过中断，但现代似乎并未受到此次攻击事件太大影响。

黑客信息披露

以下是本月搜集到的黑客邮箱信息：

表格1. 黑客邮箱

通过双重勒索模式的运营，勒索病毒的家族越来越多的出现，同时勒索病毒所带来的数据泄露的风险也越来越大。以下是本月通过数据泄露获利的勒索病毒家族占比，该数据仅为未能第一时间缴纳赎金或拒缴纳赎金部分（因为第一时间支付赎金的企业或个人不会在暗网中公布，因此无这部分数据）。

以下是本月被双重勒索病毒家族攻击的企业或个人。若未发现被数据存在泄露风险的企业或个人也请第一时间自查，做好数据已被泄露准备，采取补救措施。

表格2. 双重勒索病毒家族攻击名单

系统安全防护数据分析

通过将2021年1月与2月的数据进行对比，本月各个系统占比变化均不大，位居前三的系统仍是Windows 7、Windows 8和Windows 10。

以下是对2021年2月被攻击系统所属地域采样制作的分部图，与之前几个月采集到的数据进行对比，地区排名和占比变化均不大。数字经济发达地区仍是攻击的主要对象。

通过观察2021年1月弱口令攻击态势发现， MSSQL和MYSQL弱口令攻击整体无较大波动。RDP弱口令攻击在本月底有较大的波动，推测这和过年期间部分机器关闭导致攻击量下降，而年后大部分机器重新开启，导致累积的攻击量上升。

勒索病毒关键词

以下是本月上榜活跃勒索病毒关键词统计，数据来自360勒索病毒搜索引擎。

l devos：该后缀有三种情况，均因被加密文件后缀会被修改为devos而成为关键词。本月活跃的是phobos勒索病毒家族，该家族的主要传播方式为：通过暴力破解远程桌面口令成功后手动投毒。

l eking: 属于phobos勒索病毒家族，由于被加密文件后缀会被修改为eking而成为关键词。该家族主要的传播方式为：通过暴力破解远程桌面口令成功后手动投毒。

l eight:同eking。

l fair: 属于Makop勒索病毒家族，由于被加密文件后缀会被修改fair而成为关键词。该家族主要的传播方式为：通过暴力破解远程桌面口令成功后手动投毒。

l ReadInstructions: 属于MedusaLocker勒索病毒家族，由于被加密文件后缀会被修改为Readinstructions而成为关键词。该家族主要的传播方式为：通过暴力破解远程桌面口令成功后手动投毒。

l globeimposter: 属于GlobeImposter勒索病毒家族，该家族主要的传播方式为：通过暴力破解远程桌面口令成功后手动投毒。

l solaso: 属于Cryptojoker勒索病毒家，由于被加密文件后缀会被修改为solaso而成为关键词，该家族的传播方式为：通过“匿隐” 僵尸网络进行传播。

l lockfiles：同ReadInstructions。

l makop：该后缀有两种情况, 均因被加密文件后缀会被修改为makop而成为关键词:

n 属于Makop勒索病毒家族，该家族主要的传播方式为：通过暴力破解远程桌面口令成功后手动投毒。

n 属于Cryptojoker勒索病毒家，通过“匿隐” 进行传播。

l globeimposter-alpha666qqz：属于GlobeImposter勒索病毒家族，由于被加密文件后缀会被修改为globeimposter-alpha666qqz而成为关键词。该家族主要的传播方式为：通过暴力破解远程桌面口令成功后手动投毒。

解密大师

从解密大师本月解密数据看，解密量最大的是CryptoJoker，其次是tesls。使用解密大师解密文件的用户数量最高的是被Crysis家族加密的设备，其次是被Stop家族加密的设备。

安全防护建议

面对严峻的勒索病毒威胁态势，360安全大脑分别为个人用户和企业用户给出有针对性的安全建议。希望能够帮助尽可能多的用户全方位的保护计算机安全，免受勒索病毒感染。

一、 针对个人用户的安全建议

对于普通用户，360安全大脑给出以下建议，以帮助用户免遭勒索病毒攻击。

(一) 养成良好的安全习惯

1) 电脑应当安装具有高级威胁防护能力和主动防御功能的安全软件，不随意退出安全软件或关闭防护功能，对安全软件提示的各类风险行为不要轻易采取放行操作。

2) 可使用安全软件的漏洞修复功能，第一时间为操作系统和浏览器，常用软件打好补丁，以免病毒利用漏洞入侵电脑。

3) 尽量使用安全浏览器，减少遭遇挂马攻击、钓鱼网站的风险。

4) 重要文档、数据应经常做备份，一旦文件损坏或丢失，也可以及时找回。

5) 电脑设置的口令要足够复杂，包括数字、大小写字母、符号且长度至少应该有8位，不使用弱口令，以防攻击者破解。

(二) 减少危险的上网操作

1) 不要浏览来路不明的色情、赌博等不良信息网站，此类网站经常被用于发起挂马、钓鱼攻击。

2) 不要轻易打开陌生人发来的邮件附件或邮件正文中的网址链接。也不要轻易打开扩展名为js 、vbs、wsf、bat、cmd、ps1等脚本文件和exe、scr、com等可执行程序，对于陌生人发来的压缩文件包，更应提高警惕，先使用安全软件进行检查后再打开。

3) 电脑连接移动存储设备（如U盘、移动硬盘等），应首先使用安全软件检测其安全性。

4) 对于安全性不确定的文件，可以选择在安全软件的沙箱功能中打开运行，从而避免木马对实际系统的破坏。

(三) 采取及时的补救措施

1) 安装360安全卫士并开启反勒索服务，一旦电脑被勒索软件感染，可以通过360反勒索服务寻求帮助，以尽可能的减小自身损失。

二、 针对企业用户的安全建议

(一) 企业安全规划建议

对企业信息系统的保护，是一项系统化工程，在企业信息化建设初期就应该加以考虑，建设过程中严格落实，防御勒索病毒也并非难事。对企业网络的安全建设，我们给出下面几方面的建议。

1) 安全规划

l 网络架构，业务、数据、服务分离，不同部门与区域之间通过VLAN和子网分离，减少因为单点沦陷造成大范围的网络受到攻击。

l 内外网隔离，合理设置DMZ区域，对外提供服务的设备要做严格管控。减少企业被外部攻击的暴露面。

l 安全设备部署，在企业终端和网络关键节点部署安全设备，并日常排查设备告警情况。

l 权限控制，包括业务流程权限与人员账户权限都应该做好控制，如控制共享网络权限，原则上以最小权限提供服务。降低因为单个账户沦陷而造成更大范围影响。

l 数据备份保护，对关键数据和业务系统做备份，如离线备份，异地备份，云备份等，避免因为数据丢失、被加密等造成业务停摆，甚至被迫向攻击者妥协。

2) 安全管理

l 账户口令管理，严格执行账户口令安全管理，重点排查弱口令问题，口令长期不更新问题，账户口令共用问题，内置、默认账户问题。

l 补丁与漏洞扫描，了解企业数字资产情况，将补丁管理做为日常安全维护项目，关注补丁发布情况，及时更新系统、应用系统、硬件产品安全补丁。定期执行漏洞扫描，发现设备中存在的安全问题。

l 权限管控，定期检查账户情况，尤其是新增账户。排查账户权限，及时停用非必要权限，对新增账户应有足够警惕，做好登记管理。

l 内网强化，进行内网主机加固，定期排查未正确进行安全设置，未正确安装安全软件设备，关闭设备中的非必要服务，提升内网设备安全性。

3) 人员管理

l 人员培训，对员工进行安全教育，培养员工安全意识，如识别钓鱼邮件、钓鱼页面等。

l 行为规范，制定工作行为规范，指导员工如何正常处理数据，发布信息，做好个人安全保障。如避免员工将公司网络部署，服务器设置发布到互联网之中。

(二) 发现遭受勒索病毒攻击后的处理流程

1) 发现中毒机器应立即关闭其网络和该计算机。关闭网络能阻止勒索病毒在内网横向传播，关闭计算机能及时阻止勒索病毒继续加密文件。

2) 联系安全厂商，对内部网络进行排查处理。

3) 公司内部所有机器口令均应更换，你无法确定黑客掌握了内部多少机器的口令。

(三) 遭受勒索病毒攻击后的防护措施

1) 联系安全厂商，对内部网络进行排查处理。

2) 登录口令要有足够的长度和复杂性，并定期更换登录口令

3) 重要资料的共享文件夹应设置访问权限控制，并进行定期备份

4) 定期检测系统和软件中的安全漏洞，及时打上补丁。

a) 是否有新增账户

b) Guest是否被启用

c) Windows系统日志是否存在异常

d) 杀毒软件是否存在异常拦截情况

5) 登录口令要有足够的长度和复杂性，并定期更换登录口令

6) 重要资料的共享文件夹应设置访问权限控制，并进行定期备份

7) 定期检测系统和软件中的安全漏洞，及时打上补丁。

三、 不建议支付赎金

最后——无论是个人用户还是企业用户，都不建议支付赎金！

支付赎金不仅变相鼓励了勒索攻击行为，而且解密的过程还可能会带来新的安全风险。可以尝试通过备份、数据恢复、数据修复等手段挽回部分损失。比如：部分勒索病毒只加密文件头部数据，对于某些类型的文件（如数据库文件），可以尝试通过数据修复手段来修复被加密文件。如果不得不支付赎金的话，可以尝试和黑客协商来降低赎金价格，同时在协商过程中要避免暴露自己真实身份信息和紧急程度，以免黑客漫天要价。若对方窃取了重要数据并以此为要挟进行勒索，则应立即采取补救措施——修补安全漏洞并调整相关业务，尽可能将数据泄露造成的损失降到最低。