Part 1、11月勒索状况概览

11月，大型企业遭受勒索病毒打击的事件依然高频发生，勒索病毒对政企机构的精准攻击形式依然严峻。对比10月份的勒索病毒情况，Globelmposter勒索病毒的活动明显增强，并且该病毒围绕目标优质化、攻击精准化、赎金定制化的策略，给中招企业带来了极高的经济损失。

1、受害者地区分布

美创安全实验室威胁平台显示，11月份国内遭受勒索病毒的攻击中，江苏、浙江、上海、广东、北京最为严重，其它省份也有遭受到不同程度攻击，总体来看，经济发达地区仍是被攻击的主要对象。

2、受害者所在城市分布

美创安全实验室威胁平台显示，11月份中招者排名前八的地区中南京地区占比高达19%，其次是广州占15%，上海占13%。

3、勒索病毒行业分布

美创安全实验室威胁平台显示，11月份国内受勒索病毒影响的行业排名前三的是传统行业、医疗行业、教育行业。此外，互联网、政府机构、金融、能源也遭到勒索病毒攻击影响。

4、勒索病毒家族分布

下图是美创安全实验室对勒索病毒监测后所计算出的11月份勒索病毒家族流行度占比分布图。Globeimposter家族占比28%居首位；其次是占比17%的Phobos；Sodinokibi家族以占比16%位居第三。

5、勒索病毒传播方式

下图为勒索病毒传播的各种方式的占比情况。可以看出勒索病毒的主要攻击方式依然以远程桌面入侵为主，其次为通过海量的垃圾邮件传播，或利用网站挂马和高危漏洞等方式传播，整体攻击方式呈现多元化的特征。

Part 2、本月勒索病毒TOP榜

1、Globelmposter

Globelmposter勒索病毒首次出现在2017年5月，一直处于活跃阶段。该病毒最著名的是“十二主神”和“十二生肖”系列，其加密后的文件扩展名分别为“希腊十二主神+数字”和“十二生肖+数字”的形式。近日，Globelmposter又出了最新变种，加密后缀为“.CXH”系列。GlobeImposter病毒主要通过RDP远程桌面弱口令进行攻击，一旦密码过于简单，被攻击者暴力破解后，攻击者就会将勒索病毒植入，加密机器上的文件。

2、Phobos

Phobos勒索软件家族从2019年开始在全球流行，并持续更新以致出现了大量变种。该病毒主要通过RDP暴力破解和钓鱼邮件等方式扩散到企业与个人用户中，感染数量持续增长。该勒索病毒使用“RSA+AES”算法加密文件，并在加密后创建两种类型的勒索信，一种为txt格式，另一种为hta格式。

3、Sodinokibi

Sodinokibi勒索病毒首次出现于2019年4月底。在Sodinokibi勒索病毒活动的初期，曾通过漏洞利用的手法来进行攻击，被披露的漏洞利用包括Confluence漏洞(CVE-2019-3396)、UAF漏洞(CVE-2018-4878)、Weblogic反序列化漏洞（CVE-2019-2725）等。或许是漏洞利用的目标范围较小，攻击过程较为复杂，从2019年7月份开始，该勒索病毒的攻击手法逐渐演变成较为迅速的RDP爆破。主要攻击过程为，先使用扫描爆破等方式，获取到内网中一台较为薄弱的主机权限，再上传黑客工具包对内网进行扫描爆破或密码抓取，选择重要的服务器和PC进行加密，可谓一台失陷，全网遭殃。

Part 3、本月大型勒索事件回顾

1、某企业遭Globelmposter攻击关闭网络

江苏某企业在11月2日遭到网络攻击。据了解，此次网络攻击共感染了8台服务器，其中有4台是核心服务器，服务器中的重要文件已无法正常打开，并添加了“.Globeimposter-Zeta865qqz”后缀，通过该后缀可确定此次攻击的病毒为GlobeImposter勒索病毒。该公司内部人员表示，在发现问题后，处于高度谨慎，关闭了外部系统的接入点，并立即开始调查和解决问题。

在线点评：

1. 美创安全实验室威胁平台显示，Globeimposter勒索病毒在近期非常活跃，在被加密的目录下会生成一个名为“HOW_TO_BACK_FILES”的文件。

2. 国内各行业饱受Globelmposter勒索病毒的侵害,涉及行业有医疗、政府、能源、贸易等，其中，对医疗行业危害最大。美创安全实验室提醒广大用户，警防此病毒攻击！

3、某汽车公司成为Zeppelin勒索软件的受害者

11月4日，某汽车公司宣称遭到遭到Zeppelin勒索病毒攻击。该攻击导致1台数据库服务器被加密，影响了部分关键业务的运行。Zeppelin勒索病毒超高的可配置性，可以部署为.dll或.exe文件，也可以封装进PowerShell加载器。除了会加密文件外，它还会终止许多种程序，包括了备份、数据库和邮件服务器相关的程序。Zeppelin勒索病毒一旦成功入侵服务器，便会释放病毒程序，加密服务器中的重要文件，并将由字母或数字组成的文件扩展名附加到每个被加密文件中，例如“.8C4-01A-DA3”。

在线点评：

1. Zeppelin是一款基于Delphi的“恶意软件即服务”（RaaS），其前身为勒索软件Vega

（VegaLocker），于2019年初首次被发现。

2. Zeppelin勒索病毒采用AES-256算法加密文件，然后使用受害者的公共RSA密钥对AES密钥进行加密，再使用随机生成的32字节RC4密钥进一步对其进行混淆。加密后，使得文件无法再打开，并将由字母或数字组成的文件扩展名附加到每个加密文件中。

3、某港口工程公司遭勒索病毒攻击

11月10日，某港口工程公司遭勒索病毒攻击，十几台服务器中招。服务器中的所有文件都被添加了.id`XXXXXXXX-XXXX`.`geerban@email.tg`.

Devos后缀，并且无法正常打开。通过该后缀可确定该勒索病毒为Phobos勒索病毒，该勒索病毒主要通过暴力破解远程桌面密码，拿到密码后手动投毒传播。通过远程登录控制受害的电脑，且这些勒索黑客非常狡猾，他们会采取非常规的登录形式，让系统无法记录登录事件的IP地址。

在线点评：

1. Phobos通过RDP暴力破解和钓鱼邮件等方式扩散到企业与个人用户中，感染数量持续增长。

2. 美创安全实验室威胁平台近期监控到这款勒索病毒最新的变种样本，病毒变种样本主要以devos、devoe、devil、dever、dewar、calix、actin、acton、actor、acuff、acute等加密后缀为主。

4、Wannacry勒索病毒攻击某政企机构

11月16日，WannaCry勒索软件团伙攻击了某政企机构，加密了1台文件服务器，并在文件末尾添加了“.WNCRY”后缀。WannaCry利用Windows系统的SMB漏洞获取系统的最高权限，该软件通过恶意代码扫描开放445端口的Windows系统。被扫描到的Windows系统，只要开机上线，不需要用户进行任何操作，即可通过SMB漏洞上传WannaCry勒索病毒等恶意程序。

在线点评：

WannaCry是一种“蠕虫式”勒索病毒软件，由不法分子利用NSA泄露方程式工具包的危险漏洞“EternalBlue”（永恒之蓝）进行传播。该蠕虫感染计算机后会向计算机中植入敲诈者病毒，导致电脑大量文件被加密。

5、浙江某医院遭到Sodinkokibi勒索病毒攻击

11月28日，浙江某医院宣布遭受勒索病毒攻击，攻击者设法渗透了其IT网络，用恶意软件感染了某些重要服务器。在该医院发现攻击并采取措施加以遏制之后，攻击者也要求大笔赎金以帮助受害者恢复被加密的数据。据了解，受感染的服务器中的文件都被添加了“.d7ecba”后缀。根据对被加密样本的分析，可以确定此次攻击的病毒为Sodinokibi勒索病毒。

在线点评：

1. Sodinokibi勒索病毒被称为GandCrab勒索病毒的接班人，该病毒已经在全球大范围传播。美创安全实验室提醒广大用户，警防此病毒攻击！

2. Sodinokibi勒索病毒的传播途径主要有：①Web漏洞，曾利用Confluence漏洞(CVE-2019-3397)、UAF漏洞(CVE-2018-4878)、Weblogic反序列化漏洞（CVE-2019-2725）；②带有链接或附件的恶意垃圾邮件或网络钓鱼活动；③使用RIG漏洞利用工具包传播；④通过暴力破解获取到远程桌面的密码后手动投毒，并由被攻陷机器作为跳板，攻击其他内网机器。

3. Sodinokibi病毒执行后，除了加密文件外，同时会进行删除源文件、修改系统配置、删除卷影副本、增加后缀名为随机字母数字共7位等多种恶意行为，并在桌面上留下勒索信息文档，提示受害者如何缴纳赎金获取解密工具。

Part 4、勒索病毒攻击趋势

1、从普通用户转向中大型政企

现在的勒索病毒，从广泛而浅层的普通用户，明显转向了中大型政企机构、行业组织。很多企业系统因为管理的原因，或系统版本较低，不能及时安装补丁等客观因素，导致企业网络更容易被入侵，而企业数据的高价值，这便导致企业受害者倾向于支付赎金挽回数据。

2、变种多样化

各个不同的勒索病毒组织之间竞争会越来越激烈，这也会促使这些勒索病毒黑客组织不断更新，推出更多的新型的勒索病毒，同时也会加大在勒索病毒方面的运营手段。

3、赎金定制化

随着用户安全意识提高、安全软件防御能力提升，勒索病毒入侵成本越来越高，攻击者更偏向于向不同企业开出不同价格的勒索赎金，定制化的赎金方案能有效提升勒索成功率，直接提升勒索收益。

4、勒索传播场景多样化

过去勒索病毒传播主要以钓鱼邮件、RDP口令爆破为主，现在勒索病毒更多利用了高危漏洞、鱼叉式攻击，或水坑攻击等非常专业的黑客攻击方式传播，乃至通过软件供应链传播，大大提高了入侵成功率和病毒影响面。

5、威胁公开机密数据成为勒索新手段

当企业有完善的数据备份方案，拒绝缴纳赎金时，勒索团伙则采取另一种手段：威胁公开受害者的机密文件来勒索。Sodinokibi勒索团伙曾在黑客论坛发声，称如果被攻击者拒绝缴纳赎金，则会将其商业信息出售给其竞争对手。数据泄露对大型企业而言，带来的损失可能更加严重，不仅会造成严重的经济损失，还会使企业形象受损，造成严重的负面影响。

6、勒索病毒多平台扩散

目前受到的勒索病毒攻击主要是windows系统，但也陆续出现了针对MacOS、Linux等平台的勒索病毒，随着windows的防范措施完善和攻击者永不满足的贪欲，未来勒索病毒在其他平台的影响力也会逐步增加。预测勒索病毒运营团队会把更多的目光转向针对云服务器提供商或运营商，对云上的数据进行加密勒索。

7、中文定制化

中国作为拥有10亿多网民的网络应用大国，毫无疑问成为勒索病毒攻击的重要目标，一部分勒索病毒运营者开始在勒索信、暗网服务页面提供中文语言界面。

8、伪勒索，数据破坏

有些勒索家族在感染目标中不断搜寻敏感信息，包括军事机密、银行信息、欺诈、刑事调查文件，行动举止完全不像为了图财。此外，有些“勒索病毒”会对文件玩了命似的多次加密，甚至对文件进行无法修复的破坏，完全断了收赎金的后路。

Part 5、防御方法

面对严峻的勒索病毒威胁态势，美创安全实验室提醒广大用户，勒索病毒以防为主，注意日常防范措施，以尽可能免受勒索病毒感染。

1、针对个人用户的安全建议

养成良好的安全习惯

1)使用安全浏览器，减少遭遇挂马攻击、钓鱼网站的风险。

2)重要的文档、数据定期进行非本地备份，一旦文件损坏或丢失，也可以及时找回。

3)使用高强度且无规律的密码，要求包括数字、大小写字母、符号，且长度至少为8位的密码。不使用弱口令，以防止攻击者破解。

4)安装具有主动防御的安全软件，不随意退出安全软件或关闭防护功能，对安全软件提示的各类风险行为不要轻易才去放行操作。

5)及时给电脑打补丁，修复漏洞，防止攻击者通过漏洞入侵系统。

6)尽量关闭不必要的端口，如139、445、3389等端口。如果不使用，可直接关闭高危端口，降低被攻击的风险。

减少危险的上网操作

7)浏览网页时提高警惕，不浏览来路不明的色情、赌博等不良信息网站，此类网站经常被用于发起挂马、钓鱼攻击。

8)不要点击来源不明的邮件附件，不从不明网站下载软件，警惕伪装为浏览器更新或者flash更新的病毒。

9)电脑连接移动存储设备（如U盘、移动硬盘）时，应首先使用安全软件检测其安全性。

2、针对企业用户的安全建议

1)及时给办公终端和服务器打补丁，修复漏洞，包括操作系统以及第三方应用的补丁，防止攻击者通过漏洞入侵系统。

2)尽量关闭不必要的端口，如139、445、3389等端口。如果不使用，可直接关闭高危端口，降低被漏洞攻击的风险。

3)不对外提供服务的设备不要暴露于公网之上，对外提供服务的系统，应保持较低权限。

4)企业用户应采用高强度且无规律的密码来登录办公系统或服务器，要求包括数字、大小写字母、符号，且长度至少为8位的密码，并定期更换口令。对于各类系统和软件中的默认账户，应该及时修改默认密码，同时清理不再使用的账户。

5)对重要的数据文件定期进行非本地备份，一旦文件损坏或丢失，也可以及时找回。

6)尽量关闭不必要的文件共享。

7)提高安全运维人员职业素养，定期进行木马病毒查杀。

8)安装诺亚防勒索软件，防御未知勒索病毒。

Part 6、美创诺亚防勒索防护能力介绍

为了更好的应对已知或未知勒索病毒的威胁，美创通过对大量勒索病毒的分析，基于零信任、守白知黑原则，创造性的研究出针对勒索病毒的终端产品【诺亚防勒索系统】。诺亚防勒索在不关心漏洞传播方式的情况下，可防护任何已知或未知的勒索病毒。以下为诺亚防勒索针对这款勒索病毒的防护效果。

美创诺亚防勒索可通过服务端统一下发策略并更新。默认策略可保护office文档【如想保护数据库文件可通过添加策略一键保护】。

无诺亚防勒索防护的情况下：在test目录下，添加以下文件，若服务器中了勒索病毒，该文件被加密，增加“.198-89F-E84”加密后缀，并且无法正常打开。

开启诺亚防勒索的情况下：双击执行病毒文件，当勒索病毒尝试加密被保护文件，即test目录下的文件时，诺亚防勒索提出警告并拦截该行为。

查看系统上被测试的文件，可被正常打开，成功防护恶意软件对被保护文件的加密行为。

开启堡垒模式的情况下：为保护系统全部文件，可一键开启诺亚防勒索的堡垒模式。堡垒模式主要针对亚终端，例如ATM机，ATM机的终端基本不太会更新，那么堡垒模式提供一种机制：任何开启堡垒模式之后再进入终端的可执行文件都将被阻止运行，从而实现诺亚防勒索的最强防护模式。

运行在堡垒模式下，执行该病毒，立刻被移除到隔离区，因此可阻止任何未知勒索病毒的执行。