提交需求
*
*

*
*
*
立即提交
点击”立即提交”,表明我理解并同意 《美创科技隐私条款》
免费试用
400-811-3777

logo

    产品与服务
    解决方案
    技术支持
    合作发展
    关于美创
    申请试用
      热门阅读
      1

      2025中国互联网产业年会丨《中国互联网产业绿色算力发展倡议》正式发布

      2025-02-07

       2

      美创用户专访 | 精细化管理:医疗行业数据分类分级的策略与实践

      2025-01-10

       3

      容灾演练双月报|美创助力某特大型通信基础设施央企顺利完成多个核心系统异地容灾演练

      2025-01-10

       4

      国家级|美创、徐医附院共建项目入选工信部《2024年网络安全技术应用典型案例拟支持项目名单》

      2024-12-20

       5

      全球数据跨境流动合作倡议

      2024-11-22
      相关文章

      每周安全速递³⁴⁴ | 维多利亚的秘密因网络安全事件推迟2025年一季度财报发布

      2025-06-06

      每周安全速递³⁴³ | Everest勒索软件泄露可口可乐员工数据

      2025-05-30

      每周安全速递³⁴² | 勒索组织El Dorado攻击中东薪资服务商BSH间接导致博通员工敏感数据泄露

      2025-05-23

      每周安全速递³⁴¹ | 摩尔多瓦执法机关逮捕涉嫌DoppelPaymer勒索软件攻击的嫌疑人

      2025-05-16

      每周安全速递³⁴⁰ | 黑客利用配置不当的K8s集群部署挖矿软件

      2025-04-30
      美创科技发布《2022年10月勒索病毒威胁报告
      发布时间:2022-11-09 作者:美创科技安全实验室 阅读次数: 591 次
      勒索软件作为最具破坏性且传播广泛的一种恶意软件,旨在加密目标设备上的文件,阻止目标访问,并索要赎金以换取解密密钥。本月,破坏性勒索事件依旧高发,勒索攻击形势严峻,企业被勒索病毒攻击的事件层出不穷。




      勒索病毒状况总览


      2022年10月

       0
      受害者所在地区分布
      本月国内遭受勒索病毒攻击的地区分布图如下所示,数字经济发达地区仍是攻击的主要对象,与上个月相比,无较大波动。


       0
      勒索病毒影响行业分布


      从行业划分来看,数据价值较高的传统行业、医疗、教育、政府机构遭受攻击较为严重。


      0
      勒索病毒家族分布

      下图是美创安全实验室对勒索病毒监测后所计算出的10月份勒索病毒家族流行度占比分布图,将近50%的勒索软件攻击是由三种最常见的勒索软件变种(Phobos、Lockbit、Mallox)进行的。


       0

      勒索病毒传播方式

      下图为勒索病毒传播的各种方式的占比情况。根据统计可以看出,可以看出勒索病毒的主要攻击方式依然以远程桌面入侵为主,其次为通过海量的垃圾邮件传播,或利用网站挂马和高危漏洞等方式传播,整体攻击方式呈现多元化的特征。





      勒索病毒TOP榜


      2022年10月

       01 
      Phobos


      Phobos勒索软件从2019年开始在全球流行,并一直保持着很高的活跃度,并常年占据勒索病毒榜单前三,其不断推出新变种,并频繁通过RDP暴破、钓鱼邮件等方式对企业单位及个人用户进行攻击,使受害者遭受数据财产的严重损失,影响十分恶劣。


       02 
      Lockbit


      Lockbit勒索病毒出现于2019年末,并于2021年6月推出了Lockbit 2.0版本。2.0版本引入了卷影复制和日志文件删除等新功能,使受害者更难恢复。2022年6月,LockBit勒索病毒家族再次完成升级,并于2022年7月推出LockBit3.0正式版本。最新版的病毒主要在免杀方式又做了更进一步的加强,持续优化了安全软件的对抗能力。


       03 
      Mallox
      Mallox(又被称作Target Company)最早出现于2021年7月中旬,并在2021年10月开始进入国内。其采用RaaS(勒索软件即服务)模式运营,将企业作为其攻击目标。Mallox病毒主要针对企业的Web应用发起攻击,包括Spring Boot、Weblogic、通达OA等,在拿下目标设备权限后还会尝试在内网中横向移动,获取更多设备的权限,危害性极大。


      国内大型勒索事件回顾


      2022年10月

       01 
      Lockbit 3.0勒索病毒针对国内某企业发起攻击
      国内某企业反馈其遭遇LockBit 3.0勒索病毒攻击,其内部几乎所有的服务器上的文件都被加密无法打开,影响了部分业务的运行。该企业内部人员还表示,已中断了部分网络进行隔离。LockBit 3.0勒索病毒会加密图片、文档、数据库和其他文件,仅保留系统数据。

      在线点评:

      1.LockBit勒索软件团伙自 2019 年 9 月推出勒索软件即服务 (RaaS) 模式以来一直十分活跃,并在各大俄语黑客论坛招募威胁行为者进行破坏和攻击,并为他们提供技术支持。


      2.LockBit 3.0是LockBit 勒索软件的新变种。它加密文件,修改文件名,更改桌面墙纸,并在桌面上放置一个文本文件(名为“ [random_string].README.txt ”)。LockBit 3.0 将文件名及其扩展名替换为随机动态和静态字符串。
       02 
      辽宁某企业遭Conti勒索病毒攻击

      10月中旬,辽宁某企业遭到勒索病毒攻击,在攻击期间,勒索软件操控者设法获得对内部服务器的控制权后,在服务器上安装了勒索软件,并添加了“.LGIAD”扩展名。通过对被加密样本的分析以及检测,可判断此次攻击的病毒为Conti勒索病毒家族旗下的变种。

      在线点评:

      1.企业需要加强自身的信息安全管理能力——尤其是弱口令、漏洞、文件共享和远程桌面的管理,以应对勒索病毒的威胁。

      2.若企业内部不慎感染了勒索病毒,将有可能在短时间内造成大面积文件加密,造成不可挽回的损失。

       03 
      河南某企业感染Phobos勒索病毒
      河南某企业遭遇Phobos勒索软件攻击,导致数十台服务器沦陷。在该企业发现攻击并采取措施加以遏制之后,攻击者也要求大笔赎金以帮助受害者恢复被加密的数据。据该企业内部人士称,此次攻击影响了部分业务的运行,因为部分重要数据存储在该数据库系统中无法获得。

      在线点评:

      1.Phobos勒索病毒在运行过程中会进行自复制,并在注册表添加自启动项,如果没有清除系统中残留的病毒体,很可能会遭遇二次加密。

      2.主机在感染勒索病毒后,除了自身会被加密,勒索病毒往往还会利用这台主机去攻击同一局域网内的其他主机,所以当发现一台主机已被感染,应尽快采取响应措施,以尽可能减少损失。


      自救措施介绍


      勒索病毒

      勒索软件具有强破坏性。一旦运行起来,用户很快就会发现其特征,如部分进程突然结束、文件不能打开、文件后缀被篡改、屏保壁纸被更换等。
      当我们已经确认感染勒索病毒后,应当及时采取必要的自救措施。之所以要进行自救,主要是因为:等待专业人员的救助往往需要一定的时间,采取必要的自救措施,可以减少等待过程中,损失的进一步扩大。

      (一)隔离中招主机

      当确认服务器已经被感染勒索病毒后,应立即隔离被感染主机,防止病毒继续感染其他服务器,造成无法估计的损失。隔离主要包括物理隔离和访问控制两种手段,物理隔离主要为断网或断电;访问控制主要是指对访问网络资源的权限进行严格的认证和控制。
      1)  物理隔离
      物理隔离常用的操作方法是断网和关机。断网主要操作步骤包括:拔掉网线、禁用网卡,如果是笔记本电脑还需关闭无线网络。
      2)  访问控制
      加策略防止其他主机接入,关闭感染主机开放端口如 445、135、139、3389 等。修改感染主机及同局域网下所有主机密码,密码采用大小写字母、数字、特殊符号混合的长密码。

      (二)排查业务系统

      在已经隔离被感染主机后,应对局域网内的其他机器进行排查,检查核心业务系统是否受到影响,生产线是否受到影响,并检查备份系统是否被加密等,以确定感染的范围。

      (三)联系专业人员

      在应急自救处置后,建议第一时间联系专业的技术人士或安全从业者,对事件的感染时间、传播方式,感染家族等问题进行排查。



      防御方法介绍


      勒索病毒

      面对严峻的勒索病毒威胁态势,美创安全实验室提醒广大用户,勒索病毒以防为主,注意日常防范措施,以尽可能免受勒索病毒感染:

      ① 及时给办公终端和服务器打补丁,修复漏洞,包括操作系统以及第三方应用的补丁,防止攻击者通过漏洞入侵系统。

      ② 尽量关闭不必要的端口,如139、445、3389等端口。如果不使用,可直接关闭高危端口,降低被漏洞攻击的风险。

      ③ 不对外提供服务的设备不要暴露于公网之上,对外提供服务的系统,应保持较低权限。

      ④ 企业用户应采用高强度且无规律的密码来登录办公系统或服务器,要求包括数字、大小写字母、符号,且长度至少为8位的密码,并定期更换口令。

      ⑤ 数据备份保护,对关键数据和业务系统做备份,如离线备份,异地备份,云备份等, 避免因为数据丢失、被加密等造成业务停摆,甚至被迫向攻击者妥协。

      ⑥ 敏感数据隔离,对敏感业务及其相关数据做好网络隔离。避免双重勒索病毒在入侵后轻易窃取到敏感数据,对公司业务和机密信息造成重大威胁。

      ⑦ 尽量关闭不必要的文件共享。

      ⑧ 提高安全运维人员职业素养,定期进行木马病毒查杀。

      ⑨ 部署美创数据库防火墙,可专门针对RushQL数据库勒索病毒进行防护。

      ⑩ 安装诺亚防勒索软件,防御未知勒索病毒。



      美创诺亚防勒索


      防护能力介绍

      为了更好地应对已知或未知勒索病毒的威胁,美创通过对大量勒索病毒的分析,基于零信任、守白知黑原则,创造性地研究出针对勒索病毒的终端产品【诺亚防勒索系统】。诺亚防勒索在不关心漏洞传播方式的情况下,可防护任何已知或未知的勒索病毒。以下为诺亚防勒索针对勒索病毒的防护效果。

      美创诺亚防勒索可通过服务端统一下发策略并更新。默认策略可保护office文档【如想保护数据库文件可通过添加策略一键保护】。

      无诺亚防勒索防护的情况下:

      在test目录下,添加以下文件,若服务器中了勒索病毒,该文件被加密,增加统一的异常后缀,并且无法正常打开。

      开启诺亚防勒索的情况下:

      双击执行病毒文件,当勒索病毒尝试加密被保护文件,即test目录下的文件时,诺亚防勒索提出警告并拦截该行为。

      查看系统上被测试的文件,可被正常打开,成功防护恶意软件对被保护文件的加密行为。


      开启堡垒模式的情况下:

      为保护系统全部文件,可一键开启诺亚防勒索的堡垒模式。堡垒模式主要针对亚终端,例如ATM机,ATM机的终端基本不太会更新,那么堡垒模式提供一种机制:任何开启堡垒模式之后再进入终端的可执行文件都将被阻止运行,从而实现诺亚防勒索的最强防护模式。

      运行在堡垒模式下,执行该病毒,立刻被移除到隔离区,因此可阻止任何已知或未知勒索病毒的执行。



      上一条:《入侵生命周期细分实践指南系列》:域策略修改攻击
      下一条:新型勒索病毒Monster正在国内悄然传播!!!
      返回
      关注或联系美创
      官方订阅号 官方订阅号
      官方服务号 官方服务号
      第59号 第59号
      服务热线:400-811-3777
      商务合作:marketing@mchz.com.cn
      友情链接 中央网信办 公安部 工信部 CNCERT 中国信通院 中国软件测评中心 国家工业信息安全发展研究中心 赛迪研究院
      Copyright © 2024 杭州美创科技股份有限公司 All rights reserved.
      浙公网安备 33010502006954号 浙ICP备12021012号-1 网站地图 网站声明及隐私保护政策
      免费试用
      服务热线

      马上咨询

      400-811-3777

      回到顶部