本月，美创安全实验室威胁平台监测到勒索病毒持续激增，非但没有半点消退迹象，反而愈发顽固。

2021年12月

勒索病毒状况总览

美创安全实验室威胁平台显示，勒索病毒攻击在地区分布方面，依旧以数字经济发达地区和人口密集地区为主。

根据美创安全实验室威胁平台统计的数据显示，数据价值较高的传统行业、医疗、教育、政府机构遭受攻击较为严重。此外，互联网、政府机构、金融、能源也遭到勒索病毒攻击影响。

下图是美创安全实验室对勒索病毒监测后所计算出的12月份勒索病毒家族流行度占比分布图。将近50%的勒索软件攻击是由三种最常见的勒索软件变种（Phobos、Lockbit、BeijingCrypt）进行的。

下图为勒索病毒传播的各种方式的占比情况。可以看出勒索病毒的主要攻击方式依然以远程桌面入侵为主，其次为通过海量的垃圾邮件传播，或利用网站挂马和高危漏洞等方式传播，整体攻击方式呈现多元化的特征。

2021年12月

勒索病毒排行榜

Phobos勒索软件从2019年开始在全球流行，并一直保持着很高的活跃度，并常年占据勒索病毒榜单前三，其不断推出新变种，并频繁通过RDP暴破、钓鱼邮件等方式对企业单位及个人用户进行攻击，使受害者遭受数据财产的严重损失，影响十分恶劣。

Lockbit勒索病毒出现于2019年末，主要利用PDP爆破传播。该病毒使用RSA+AES算法加密文件，加密过程采用了IOCP完成端口+AES-NI指令集提升其病毒工作效率，从而实现对文件的高性能加密流程。

BeijingCrypt勒索家族最早出现于2020年7月初，主要通过暴力破解远程桌面口令后手动投毒。其主要攻击地区为中国，早期传播因修改文件后缀为.beijing而被命名为BeijingCrypt。攻击者向受害者索要4500美元到5000美元不等的等价虚拟货币作为赎金。BeijingCrypt在近期出现的新变种会将被加密文件后缀修改为“.520”。

2021年12月

国内大型勒索事件回顾

12月4日，安徽某企业遭BeijingCrypt勒索病毒攻击。在攻击期间，勒索软件操纵者设法获得对内部域管理的控制权后，在服务器上安装了BeijingCrypt勒索软件，并添加了“.520”扩展名。

在线点评：

1. BeijingCrypt勒索软件可以作为某些合法软件应用程序出现，例如，在弹出窗口中建议用户执行一些必要的软件更新，诱使用户手动下载和安装BeijingCrypt勒索病毒。

2. 主机在感染勒索病毒后，除了自身会被加密，勒索病毒往往还会利用这台主机去攻击同一局域网内的其他主机，所以当发现一台主机已被感染，应尽快采取响应措施，以尽可能减少损失。

12月8日，上海某企业的服务器遭遇了Makop勒索家族变种的攻击，企业内部服务器上的数据被加密锁定，所有文件后缀均被改为“.`tSupport@privatemail.com`.makop”后缀。为了防止攻击进一步蔓延，该企业关闭了部分系统，这也导致其部分业务受到影响。

在线点评：

1. makop勒索病毒出现于2020年1月下旬，目前已知主要通过恶意邮件渠道传播。

2. Makop勒索病毒使用RSA+AES的方式加密文件。加密时会尝试结束后台应用的进程，以独占文件完成加密；排除部分加密白名单文件不加密；病毒会尝试加密有写权限的网络共享文件；加密结束后，会删除系统卷影信息，以防止用户通过文件恢复功能找回文件。

内蒙古某企业在12月20日披露遭遇Magniber勒索软件攻击，导致部分业务中断。据知情人士称，攻击者加密了1台重要的文件服务器，服务器中的文件都被添加了统一的异常后缀。Magniber是一种利用IE漏洞的无文件勒索病毒，自2017年被发现，主要针对韩国及亚太地区的用户开展攻击，前期主要在韩国活跃，近期国内发现已有多家企业终端遭受其攻击加密。

在线点评：

1. Magniber勒索病毒自今年3月以来一直利用CVE-2021-26411漏洞进行分发，直到9月16日，安全人员发现其改为利用CVE-2021-40444漏洞，这是9月14日微软官方发布的漏洞规则（利用漏洞仅在Win10环境中更改，其他环境中仍使用 CVE-2021-26411）。攻击者可以通过构造恶意网页诱使用户进行访问，从而在用户机器上执行任意命令。

2. 这两个IE漏洞在近期被频繁利用攻击，美创安全实验室建议用户不要随意点击来历不明的网页链接或者邮件，并尽快做好相关的漏洞修复和终端加固工作。

12月26日，南京某企业遭遇勒索病毒攻击，攻击者设法渗透了其IT网络，用恶意软件感染了两台重要服务器。据了解，此次攻击的病毒为Phobos勒索病毒，该病毒会将数据库、文档等重要文件进行加密，严重危害业务安全。

在线点评：

1. 美创安全实验室近期捕获了一起Phobos勒索病毒的新变种，其通过伪装成正常的程序安装包，将勒索病毒主体加密保存到配置文件中的方式，绕过杀软检测。

2. 勒索病毒越来越多的开始借鉴APT攻击中的一些高级技术，以提高攻击成功的概率，用户在使用电脑时更加需要增强安全意识，注意防范。

勒索病毒发展趋势

勒索团伙一直在尝试使用各种方法对受害公司施加压力，以增加其获取赎金的可能性，除了常见的二重勒索策略（文件加密和数据泄露）之外，还有另外一种危害极大，但易于发起，且攻击成本极低的勒索策略，也就是所谓的分布式拒绝服务攻击（DDOS）。由文件加密、数据泄露操作、DDOS攻击组成的三重勒索策略，不仅能加密受害者电脑文件，还能对外出售敏感数据，并利用被感染电脑发送恶意网络流量，以此影响受害者系统的带宽或运行速度，若同时实施这三种攻击，所带来的后果将是非常严重且不可逆转的。

受疫情影响，钓鱼软件攻击也变得活跃：从去年开始就出现大量使用新冠疫情相关内容做为钓鱼诱饵的攻击。例如“疫苗、口罩供应不足”、“健康调查报告”、“冠状病毒最新信息”等，攻击者总是能找到最引人关注的话题，诱骗被攻击者打开钓鱼邮件。

2020年新增的勒索样本大多数采用无文件攻击技术，据不完全统计，2020年成功入侵的攻击事件中，80%都是通过无文件攻击完成，传统的防病毒工具对此攻击收效甚微。

勒索病毒攻击对象已经不限于个人PC、防护能力较弱的传统企业、政府、学校网站，万物互联时代的工厂、工业设备、智能摄像头、路由器等诸多设备都将被当成攻击目标。黑客通常通过IoT设备来访问公司网络，每个连接的设备都是黑客安装IoT勒索软件的潜在入口。

勒索病毒

自救措施介绍

勒索软件具有强破坏性。一旦运行起来，用户很快就会发现其特征，如部分进程突然结 束、文件不能打开、文件后缀被篡改、屏保壁纸被更换等。

当我们已经确认感染勒索病毒后，应当及时采取必要的自救措施。之所以要进行自救，主要是因为：等待专业人员的救助往往需要一定的时间，采取必要的自救措施，可以减少等待过程中，损失的进一步扩大。

（一）隔离中招主机

当确认服务器已经被感染勒索病毒后，应立即隔离被感染主机，防止病毒继续感染其他服务器，造成无法估计的损失。隔离主要包括物理隔离和访问控制两种手段，物理隔离主要为断网或断电；访问控制主要是指对访问网络资源的权限进行严格的认证和控制。

1）  物理隔离

物理隔离常用的操作方法是断网和关机。断网主要操作步骤包括：拔掉网线、禁用网卡，如果是笔记本电脑还需关闭无线网络。

2）  访问控制

加策略防止其他主机接入，关闭感染主机开放端口如 445、135、139、3389 等。修改感染主机及同局域网下所有主机密码，密码采用大小写字母、数字、特殊符号混合的长密码。

（二）排查业务系统

在已经隔离被感染主机后，应对局域网内的其他机器进行排查，检查核心业务系统是否受到影响，生产线是否受到影响，并检查备份系统是否被加密等，以确定感染的范围。

（三）联系专业人员

在应急自救处置后，建议第一时间联系专业的技术人士或安全从业者，对事件的感染时间、传播方式，感染家族等问题进行排查。

勒索病毒

防御方法总结介绍

面对严峻的勒索病毒威胁态势，美创安全实验室提醒广大用户，勒索病毒以防为主，注意日常防范措施，以尽可能免受勒索病毒感染。

1. 针对个人用户的安全建议

1）养成良好的安全习惯

①使用安全浏览器，减少遭遇挂马攻击、钓鱼网站的风险。

②重要的文档、数据定期进行非本地备份，一旦文件损坏或丢失，也可以及时找回。

③使用高强度且无规律的密码，要求包括数字、大小写字母、符号，且长度至少为8位的密码。不使用弱口令，以防止攻击者破解。

④安装具有主动防御的安全软件，不随意退出安全软件或关闭防护功能，对安全软件提示的各类风险行为不要轻易才去放行操作。

⑤及时给电脑打补丁，修复漏洞，防止攻击者通过漏洞入侵系统。

⑥尽量关闭不必要的端口，如139、445、3389等端口。如果不使用，可直接关闭高危端口，降低被攻击的风险。

2）减少危险的上网操作

⑦浏览网页时提高警惕，不浏览来路不明的色情、赌博等不良信息网站，此类网站经常被用于发起挂马、钓鱼攻击。

⑧不要点击来源不明的邮件附件，不从不明网站下载软件，警惕伪装为浏览器更新或者flash更新的病毒。

⑨电脑连接移动存储设备（如U盘、移动硬盘）时，应首先使用安全软件检测其安全性。

2. 针对企业用户的安全建议

①及时给办公终端和服务器打补丁，修复漏洞，包括操作系统以及第三方应用的补丁，防止攻击者通过漏洞入侵系统。

②尽量关闭不必要的端口，如139、445、3389等端口。如果不使用，可直接关闭高危端口，降低被漏洞攻击的风险。

③不对外提供服务的设备不要暴露于公网之上，对外提供服务的系统，应保持较低权限。

④企业用户应采用高强度且无规律的密码来登录办公系统或服务器，要求包括数字、大小写字母、符号，且长度至少为8位的密码，并定期更换口令。对于各类系统和软件中的默认账户，应该及时修改默认密码，同时清理不再使用的账户。

⑤对重要的数据文件定期进行非本地备份，一旦文件损坏或丢失，也可以及时找回。

⑥尽量关闭不必要的文件共享。

⑦提高安全运维人员职业素养，定期进行木马病毒查杀。

⑧部署美创数据库防火墙，可专门针对RushQL数据库勒索病毒进行防护。

⑨安装诺亚防勒索软件，防御未知勒索病毒。

美创诺亚防勒索

防护能力介绍

为了更好的应对已知或未知勒索病毒的威胁，美创通过对大量勒索病毒的分析，基于零信任、守白知黑原则，创造性的研究出针对勒索病毒的终端产品【诺亚防勒索系统】。诺亚防勒索在不关心漏洞传播方式的情况下，可防护任何已知或未知的勒索病毒。以下为诺亚防勒索针对勒索病毒的防护效果。

美创诺亚防勒索可通过服务端统一下发策略并更新。默认策略可保护office文档【如想保护数据库文件可通过添加策略一键保护】。

无诺亚防勒索防护的情况下：在test目录下，添加以下文件，若服务器中了勒索病毒，该文件被加密，增加“.TIYSV”加密后缀，并且无法正常打开。

开启诺亚防勒索的情况下：双击执行病毒文件，当勒索病毒尝试加密被保护文件，即test目录下的文件时，诺亚防勒索提出警告并拦截该行为。

查看系统上被测试的文件，可被正常打开，成功防护恶意软件对被保护文件的加密行为。

开启堡垒模式的情况下：为保护系统全部文件，可一键开启诺亚防勒索的堡垒模式。堡垒模式主要针对亚终端，例如ATM机，ATM机的终端基本不太会更新，那么堡垒模式提供一种机制：任何开启堡垒模式之后再进入终端的可执行文件都将被阻止运行，从而实现诺亚防勒索的最强防护模式。

运行在堡垒模式下，执行该病毒，立刻被移除到隔离区，因此可阻止任何已知或未知勒索病毒的执行。