据美创安全实验室威胁平台数据统计，勒索病毒感染趋势在4月下半月急剧上升，形式依旧严峻。勒索软件相比于其他恶意软件，破坏力更大，一旦遭遇勒索，企业将面临业务中断、高额赎金的风险。

1、4月勒索病毒概览

PART1.受害者所在地区

美创安全实验室威胁平台显示，4月份国内遭受勒索病毒的攻击中，江苏、浙江、上海、广东、北京最为严重，其它省份也有遭受到不同程度攻击，总体来看，数字经济发达地区和人口密集地区受病毒家族影响更严重一些。

PART2.勒索病毒影响行业

美创安全实验室威胁平台显示，勒索病毒针对传统行业、医疗行业、教育行业的攻击均出现显著增长。尤其是针对医疗行业，勒索病毒并未“手下留情”。由于这些行业的业务对数据文件依赖较大，安全防护薄弱，系统设施脆弱等因素，极易成为勒索病毒的主要攻击目标。

PART3.勒索病毒家族分布

下图是美创安全实验室对勒索病毒监测后所计算出的4月份勒索病毒家族流行度占比分布图。将近50%的勒索软件攻击是由四种最常见的勒索软件变种（Phobos、Globeimposter、Zeppelin）进行的，他们大部分攻击是利用RDP爆破作为攻击入口。

PART4.勒索病毒传播方式

下图为勒索病毒传播的各种方式的占比情况。可以看出勒索病毒的主要攻击方式依然以远程桌面入侵为主，其次为通过海量的垃圾邮件传播，或利用网站挂马和高危漏洞等方式传播，整体攻击方式呈现多元化的特征。攻击者使用的攻击媒介表明了他们所偏爱的目标规模。Phobos勒索病毒家族几乎是通过不安全的RDP配置来专门针对小型企业，而对于大型企业，攻击者通常会采用网络钓鱼邮件作为初始攻击。

2、4月勒索病毒TOP榜

PART1.Phobos

Phobos 勒索软件家族主要针对企业。它以勒索软件即服务（RaaS）包的形式在黑市出售。也就是说，没有任何技术知识的犯罪分子也可以借助于工具包创建自己的勒索软件变种，并对他们的目标发起攻击。Phobos勒索软件从2019年开始在全球流行，在近期的活跃力度逐渐加大，多个行业受到不同程度的影响。该病毒主要通过RDP暴力破解和钓鱼邮件等方式扩散到企业与个人用户中，感染数量持续增长。

PART2.Globelmposter

GlobeImposter 勒索者病毒出现的时间较早，最开始出现于2017年4月。与那些只着眼于大规模企业的勒索者病毒不同，GlobeImposter 勒索者病毒的开发团伙近期开始袭击各种不同规模的目标企业，甚至包括一些小型企业。GlobeImposter病毒主要通过RDP远程桌面弱口令进行攻击，一旦密码过于简单，被攻击者暴力破解后，攻击者就会将勒索病毒植入，加密机器上的文件，且加密手法也是勒索病毒中常见的RSA+AES加密算法，以下是勒索信息文件示例之一：

PART3.Zeppelin

Zeppelin首次出现在2019年11月，是Vega勒索病毒的后代。Zeppelin勒索病毒具有很高的可配置性，可以部署为EXE、DLL或使用PowerShell加载器加载。该勒索病毒采用AES-256算法加密文件。加密后，使得文件无法再打开，并将由字母或数字组成的文件扩展名附加到每个加密文件中。然后，Zeppelin会留下勒索信息文档!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT，要求受害者联系电子邮件并支付高额的勒索费以恢复其加密文件。

3、4月勒索事件回顾

PART1.南京某企业遭攻击，多台服务器沦陷

4月2月，南京某企业遭到Lockbit勒索病毒攻击。据了解，此次攻击共感染了7台服务器，服务器中的重要数据无法正常打开，严重影响了关键业务的运行。该病毒出现于2019年末，传播方式主要利用RDP口令爆破。经分析，该病毒使用RSA+AES算法加密文件。

在线点评：

1.勒索病毒以防为主，针对重要的文档、数据定期需进行非本地备份，一旦文件损坏或丢失，可从备份中进行恢复。

2.企业需要加强自身的信息安全管理能力——尤其是弱口令、漏洞、文件共享和远程桌面的管理，以应对勒索病毒的威胁。

PART2.河南某医院成为勒索软件受害者

河南某医院在4月15日遭遇勒索病毒攻击，1台重要的数据库服务器被加密。该服务器上的所有文件都被加密，并添加了“.`F8913061`.`helpforyou@firemail.cc`.fireee”扩展名。通过后缀可确定该病毒为Makop勒索病毒，该病毒主要通过恶意邮件进行传播。其医院内部人员在发现攻击时，立即关闭了部分网络，成功阻止了勒索病毒的蔓延。该医院没有联系攻击者，并已经从备份中成功恢复了系统。

在线点评：

1.makop勒索病毒出现于2020年1月下旬，目前已知主要通过恶意邮件渠道传播。

2.Makop勒索病毒使用RSA+AES的方式加密文件。加密时会尝试结束后台应用的进程，以独占文件完成加密；排除部分加密白名单文件不加密；病毒会尝试加密有写权限的网络共享文件；加密结束后，会删除系统卷影信息，以防止用户通过文件恢复功能找回文件。

3.Makop勒索病毒近期在国内开始活跃，各政企机构务必提高警惕，做好安全防范措施。

PART3.Dharma病毒攻击某化学纤维制造商

4月17日，南京某企业遭到勒索病毒攻击，该企业主要从事化学纤维制造。此次攻击导致1台服务器中招，服务器上的文件都被添加了“.id-1A26C180.`filerecovery@zimbabwe.su`.LAO”后缀。根据加密后缀可以确定该病毒为Dharma勒索病毒。该勒索病毒主要通过垃圾邮件进行传播，这些邮件中嵌入了欺骗性消息，例如伪装成发票和其他假文件类型的附件。

在线点评：

1.Dharma勒索病毒又称 CrySiS， 首次出现是在2016年，Dharma的主要攻击方式有三种：①通过带有恶意文件的垃圾邮件进行传播；②攻击可正常下载的程序和安装包以传播勒索软件③对远程桌面协议（RDP）展开针对性攻击。

2.Dharma勒索病毒在近期异常活跃，变种繁多。

PART4.黑龙江某医药企业遭Globeimposter攻击

4月20日，黑龙江某医药企业披露遭遇勒索软件攻击，攻击者设法渗透了其IT网络，用恶意软件感染了1台服务器。据了解，此次攻击的病毒为GlobeImposter勒索病毒，该病毒会将数据库、文档等重要文件进行加密，严重危害业务安全。目前，尚不清楚攻击者是否从该企业窃取了数据。

在线点评：

1.Globeimposter病毒一般是通过弱口令攻击，因此局域网机器不要使用相同密码和过于简单的密码，尽量使用复杂密码。如果不需要远程操作，可关闭远程桌面功能，关闭相应端口。

2.GlobeImposter病毒在完成加密后，会生产一个名为“HOW_TO_BACK_FILES”的勒索便条。

3.GlobeImposter是一个变种繁多的勒索病毒家族，并攻击了国内多家大型医院和政企事业单位，美创安全实验室提醒广大用户，警防此病毒攻击！

4勒索病毒攻击趋势

PART1.双重勒索成为新常态

为了应对日益沿用的勒索病毒攻击，企业部署的备份方案明显增多，当遭遇勒索病毒加密系统时，会首选自行恢复，而拒绝缴纳赎金。攻击者为避免勒索失败，采取了新的策略：先窃取敏感数据，之后再对企业资产进行加密。如果企业拒绝缴纳赎金解密，就在暗网上公开企业部门敏感数据进一步实施勒索，如果企业依然拒绝缴纳赎金，攻击者就会直接公开所窃取的企业敏感数据，或将窃取的数据进行出售。

PART2.无文件攻击成为新趋势

2020年新增的勒索样本大多数采用无文件攻击技术，据不完全统计，2020年成功入侵的攻击事件中，80%都是通过无文件攻击完成，传统的防病毒工具对此攻击收效甚微。

PART3.传播媒介多样化

勒索病毒主要通过钓鱼邮件、网络共享文件、恶意内部人员、社交网络、弹窗和可移动存储介质等进行传播。随着威胁行为者不断对其攻击媒介进行改进，通过电子邮件传播的勒索软件攻击数量正在逐步减少。现在勒索病毒更多利用曝出的各种技术漏洞，以及人员的漏洞、鱼叉式攻击，或水坑攻击等非常专业的黑客攻击方式传播，乃至通过软件供应链传播，都大大加大了入侵成功率和病毒影响面，未来勒索软件传播媒介将更趋多样化。

PART4.定向攻击，迫使受害者就范

活跃的勒索软件团伙，越来越多地将高价值的大型政企机构作为重点打击对象。为了追求利益最大化，多数情况下，攻击者并不满足于加密企业内的一台机器。攻击者往往在攻陷企业一台网络资产之后，会利用该资产持续渗透攻陷更多资产，之后大量植入文件加密模块，从而迫使企业在系统大面积瘫痪的情况下缴纳赎金。

PART5.工控物联网安全，市政、医疗、制造行业将继续成为重灾区

2020年工控物联网安全威胁和攻击持续增长的主要原因是工控攻击技术的工具化，针对工控系统的入侵和攻击工具呈现快速增长趋势，使得针对OT网络和工控系统的攻击门槛大幅降低。加上世界各国都在积极部署5G网络支撑物联网向更多领域渗透发展，针对物联网设备的攻击将更具破坏性，黑客不仅可加密设备上储存的文件，还可完全接管设备或其内部网络。

PART6.僵尸网络与勒索病毒互相勾结

僵尸网络是一种通过多重传播手段，将大量主机感染bot程序，从而在控制者和感染僵尸网络程序之间所形成的一对多控制的网络，僵尸网络拥有丰富的资源（肉鸡），勒索病毒团伙与其合作可迅速提升其勒索规模，进而直接有效增加勒索收益。

PART7.勒索赎金定制化

随着用户安全意识提高、安全软件防御能力提升，勒索病毒入侵成本越来越高，攻击者更偏向于向不同企业开出不同价格的勒索赎金，定制化的赎金方案能有效提升勒索成功率，直接提升勒索收益。

PART8.中文定制化

中国作为拥有12亿多网民的网络应用大国，毫无疑问成为勒索病毒攻击的重要目标，一部分勒索病毒运营者开始在勒索信、暗网服务页面提供中文语言界面。

5防御方法

面对严峻的勒索病毒威胁态势，美创安全实验室提醒广大用户，勒索病毒以防为主，注意日常防范措施，以尽可能免受勒索病毒感染。

PART1.

针对个人用户的安全建议

养成良好的安全习惯：

1)使用安全浏览器，减少遭遇挂马攻击、钓鱼网站的风险。

2)重要的文档、数据定期进行非本地备份，一旦文件损坏或丢失，也可以及时找回。

3)使用高强度且无规律的密码，要求包括数字、大小写字母、符号，且长度至少为8位的密码。不使用弱口令，以防止攻击者破解。

4)安装具有主动防御的安全软件，不随意退出安全软件或关闭防护功能，对安全软件提示的各类风险行为不要轻易才去放行操作。

5)及时给电脑打补丁，修复漏洞，防止攻击者通过漏洞入侵系统。

6)尽量关闭不必要的端口，如139、445、3389等端口。如果不使用，可直接关闭高危端口，降低被攻击的风险。

减少危险的上网操作：

7)浏览网页时提高警惕，不浏览来路不明的色情、赌博等不良信息网站，此类网站经常被用于发起挂马、钓鱼攻击。

8)不要点击来源不明的邮件附件，不从不明网站下载软件，警惕伪装为浏览器更新或者flash更新的病毒。

9)电脑连接移动存储设备（如U盘、移动硬盘）时，应首先使用安全软件检测其安全性。

PART2.

针对企业用户的安全建议

1)及时给办公终端和服务器打补丁，修复漏洞，包括操作系统以及第三方应用的补丁，防止攻击者通过漏洞入侵系统。

2)尽量关闭不必要的端口，如139、445、3389等端口。如果不使用，可直接关闭高危端口，降低被漏洞攻击的风险。

3)不对外提供服务的设备不要暴露于公网之上，对外提供服务的系统，应保持较低权限。

4)企业用户应采用高强度且无规律的密码来登录办公系统或服务器，要求包括数字、大小写字母、符号，且长度至少为8位的密码，并定期更换口令。对于各类系统和软件中的默认账户，应该及时修改默认密码，同时清理不再使用的账户。

5)对重要的数据文件定期进行非本地备份，一旦文件损坏或丢失，也可以及时找回。

6)尽量关闭不必要的文件共享。

7)提高安全运维人员职业素养，定期进行木马病毒查杀。

8)安装诺亚防勒索软件，防御未知勒索病毒。

6、诺亚防勒索防护能力

为了更好的应对已知或未知勒索病毒的威胁，美创通过对大量勒索病毒的分析，基于零信任、守白知黑原则，创造性的研究出针对勒索病毒的终端产品【诺亚防勒索系统】。诺亚防勒索在不关心漏洞传播方式的情况下，可防护任何已知或未知的勒索病毒。以下为诺亚防勒索针对这款勒索病毒的防护效果。

美创诺亚防勒索可通过服务端统一下发策略并更新。默认策略可保护office文档【如想保护数据库文件可通过添加策略一键保护】。

无诺亚防勒索防护的情况下：在test目录下，添加以下文件，若服务器中了勒索病毒，该文件被加密，增加“.198-89F-E84”加密后缀，并且无法正常打开。

开启诺亚防勒索的情况下：双击执行病毒文件，当勒索病毒尝试加密被保护文件，即test目录下的文件时，诺亚防勒索提出警告并拦截该行为。

查看系统上被测试的文件，可被正常打开，成功防护恶意软件对被保护文件的加密行为。

开启堡垒模式的情况下：为保护系统全部文件，可一键开启诺亚防勒索的堡垒模式。堡垒模式主要针对亚终端，例如ATM机，ATM机的终端基本不太会更新，那么堡垒模式提供一种机制：任何开启堡垒模式之后再进入终端的可执行文件都将被阻止运行，从而实现诺亚防勒索的最强防护模式。

运行在堡垒模式下，执行该病毒，立刻被移除到隔离区，因此可阻止任何未知勒索病毒的执行。