2021年全球制造业、服务业、建筑、金融、能源、医疗、工控和政府组织机构等频遭勒索软件攻击，给全球产业产值造成严重损失。勒索软件已然成为了全球企业和组织面临的主要网络威胁，一旦遭遇勒索，企业将面临业务中断、高额赎金、数据和信息被窃取公开售卖的风险。

本文将对我国目前勒索病毒的危害情况进行梳理分析。

2021年

勒索病毒状况总览

美创安全实验室威胁平台显示，2021年勒索病毒的攻击次数在4月份最多，主要是由于Phobos勒索家族集中爆发造成的。

从被攻击系统所属地域来看，江苏、浙江、上海、广东、北京最为严重，其它省份也有遭受到不同程度攻击。总体来看，数字经济发达地区和人口密集地区受病毒家族影响更严重一些。

下图是美创安全实验室对勒索病毒监测后所计算出的2021年勒索病毒家族流行度占比分布图。将近50%的勒索软件攻击是由三种最常见的勒索软件变种（Phobos、Globeimposter、LockBit）进行的。

美创安全实验室威胁平台显示，传统行业、医疗行业、教育行业延续着以往的高频攻击。值得关注的是，互联网和政府机构受到勒索病毒攻击的频率正逐步升高。

2021年

勒索病毒TOP5

Phobos勒索软件从2019年开始在全球流行，并一直保持着很高的活跃度，并常年占据勒索病毒榜单前三，其不断推出新变种，并频繁通过RDP暴破、钓鱼邮件等方式对企业单位及个人用户进行攻击，使受害者遭受数据财产的严重损失，影响十分恶劣。该勒索病毒使用“RSA+AES”算法加密文件，并在加密后创建两种类型的勒索信，一种为txt格式，另一种为hta格式。

02、Globelmposter

GlobeImposter 勒索者病毒出现的时间较早，最开始出现于2017年8月。与那些只着眼于大规模企业的勒索者病毒不同，GlobeImposter 勒索者病毒的开发团伙近期开始袭击各种不同规模的目标企业，甚至包括一些小型企业。GlobeImposter病毒主要通过RDP远程桌面弱口令进行攻击，一旦密码过于简单，被攻击者暴力破解后，攻击者就会将勒索病毒植入，加密机器上的文件，且加密手法也是勒索病毒中常见的RSA+AES加密算法，以下是勒索信息文件示例之一：

03、Lockbit

LockBit勒索软件家族被发现于2019年9月，2021年6月发布了2.0版本，通过钓鱼邮件、利用其他恶意软件、漏洞利用和远程桌面协议（RDP）暴力破解进行传播。其背后组织成员声称Lockbit2.0勒索软件和Stealbit信息窃取程序在加密文件和窃取数据方面是如今市面上速度最快的，并且与LockBit在2019年的版本功能对比，添加了Active Directory (AD) 组策略对跨Windows域的设备进行自动加密功能。

LockBit 2.0是一款新型的勒索软件，使用勒索软件即服务（RaaS）模式。目前，该恶意软件已被用于针对全球多个行业的勒索软件攻击。采用“威胁曝光企业数据+加密数据勒索”双重勒索策略，在此基础上，于2021年8月增加了DDoS攻击威胁，构成三重勒索。

04、Zeppelin

Zeppelin勒索病毒于2019年初首次发现。Zeppelin勒索病毒具有很高的可配置性，可以部署为EXE、DLL或使用PowerShell加载器加载。该勒索病毒采用AES-256算法加密文件。加密后，使得文件无法再打开，并将由字母或数字组成的文件扩展名附加到每个加密文件中。然后，Zeppelin会留下勒索信息文档，要求受害者联系电子邮件并支付高额的勒索费以恢复其加密文件。

05、BeijingCrypt

BeijingCrypt勒索家族最早出现于2020年7月初，主要通过暴力破解远程桌面口令后手动投毒。其主要攻击地区为中国，早期传播因修改文件后缀为.beijing而被命名为BeijingCrypt。攻击者向受害者索要4500美元到5000美元不等的等价虚拟货币作为赎金。BeijingCrypt在近期出现的新变种会将被加密文件后缀修改为“.520”。

2021年

国内大型勒索事件盘点

01、内蒙古某医院遭
勒索病毒攻击15台服务器沦陷

2021年3月，位于内蒙古的某医院宣布遭到勒索病毒攻击，攻击者设法渗透了其IT网络，并用恶意软件感染了部分重要机器。在医院在发现攻击后，立即采取措施加以遏制。知情人士称，攻击者在内部网络上部署了勒索软件，并对其网络上的15多台设备进行了加密。加密设备时，勒索软件将由字母和数字组成的扩展名附加到加密文件中，并创建了一个名为!!! ALL YOUR FILES AREENCRYPTED !!!.TXT的勒索便条。

02、福建某企业遭重创
被勒索巨额赎金
2021年8月，福建某企业勒索团伙宣布遭到勒索软件攻击，攻击者渗透了其内部网络后，用恶意软件感染了多台服务器，并所要上百万的巨额赎金。该企业在发现攻击后，立即采取措施加以遏制。经过排查，确认至少20-30台机器被感染。被感染的机器中的所有文件都被添加了“.lockbit”后缀，并且已无法正常打开，通过后缀可确定该病毒为Lockbit勒索病毒。

03、Phobos攻击南京某企业
服务器大面积沦陷

2021年9月，南京某企业反馈其内部几乎所有的服务器上的文件都被加密无法打开，这也导致了部分业务的瘫痪。据了解，加密文件的拓展名为“.Devos”。通过对被加密样本的分析以及检测，可判断此次攻击的病毒为Phobos勒索病毒。该勒索病毒主要通过爆破远程桌面，拿到密码后进行手动投毒。同时受害者机器上被发现大量工具，从工具看该勒索病毒传播在还在不断攻击内网其他机器以及想通过抓取密码的方式获取更多机器的密码。

04、勒索团伙攻击国内某医院
索要8000美元赎金
2021年10月，国内某医院的服务器遭到勒索团伙攻击，十多台服务器中招。服务器中的所有文件都被添加了“.`dawhack@email.tg`.Devos”后缀，并且已经无法正常打开。通过该后缀可确定此次攻击的病毒为Phobos勒索病毒。据了解，勒索软件团伙Phobos索要每台计算机8000美元的赎金。

05、浙江某企业遭
Globelmposter勒索病毒攻击

2021年11月，浙江某企业披露遭遇勒索软件攻击，据知情人士称，攻击者对多台设备进行了加密。为了防止攻击进一步蔓延，该公司关闭了部分系统，使得部分员工无法进行工作。据了解，设备中的文件被添加了“.Globeimposter-Beta666qqz”后缀，并且无法正常打开。通过后缀可确定该病毒为GlobeImposter勒索病毒。该病毒主要通过RDP远程桌面弱口令进行攻击，由于很多用户设置的密码过于简单，很容易被攻击者暴力破解，并将勒索病毒植入机器中加密文件。

2021年

勒索病毒特点总结

先从最初的单一加密勒索演化到“双重勒索”，即在加密前攻击者会先窃取大量受害者敏感数据，威胁受害者如果不缴纳赎金则公开数据。而近期演化出的“三重勒索”模式，则是在双重勒索的基础上增加了DDoS攻击威胁。

02、传播媒介趋于多元化

勒索病毒主要通过钓鱼邮件、网络共享文件、恶意内部人员、社交网络、弹窗和可移动存储介质等进行传播。随着威胁行为者不断对其攻击媒介进行改进，通过电子邮件传播的勒索软件攻击数量正在逐步减少。现在勒索病毒更多利用曝出的各种技术漏洞，以及人员的漏洞、鱼叉式攻击，或水坑攻击等非常专业的黑客攻击方式传播，乃至通过软件供应链传播，都大大加大了入侵成功率和病毒影响面。

03、精准打击，迫使受害者就范

勒索团伙在攻击目标时会先进行侦查，利用开源监视工具识别高价值目标，或寻找易受攻击的目标，当选取攻击目标后，通过分析目标公司的收入状况，制定公司承受范围内的赎金金额。如果一些初始访问代理已经入侵了目标公司，勒索团伙将会与其建立合作，购买访问权限，利用现有的恶意软件后门实现横向移动和全域入侵。

勒索病毒

自救措施介绍

勒索软件具有强破坏性。一旦运行起来，用户很快就会发现其特征，如部分进程突然结 束、文件不能打开、文件后缀被篡改、屏保壁纸被更换等。

当我们已经确认感染勒索病毒后，应当及时采取必要的自救措施。之所以要进行自救，主要是因为：等待专业人员的救助往往需要一定的时间，采取必要的自救措施，可以减少等待过程中，损失的进一步扩大。

（一）隔离中招主机

当确认服务器已经被感染勒索病毒后，应立即隔离被感染主机，防止病毒继续感染其他服务器，造成无法估计的损失。隔离主要包括物理隔离和访问控制两种手段，物理隔离主要为断网或断电；访问控制主要是指对访问网络资源的权限进行严格的认证和控制。

1）  物理隔离

物理隔离常用的操作方法是断网和关机。断网主要操作步骤包括：拔掉网线、禁用网卡，如果是笔记本电脑还需关闭无线网络。

2）  访问控制

加策略防止其他主机接入，关闭感染主机开放端口如 445、135、139、3389 等。修改感染主机及同局域网下所有主机密码，密码采用大小写字母、数字、特殊符号混合的长密码。

（二）排查业务系统

在已经隔离被感染主机后，应对局域网内的其他机器进行排查，检查核心业务系统是否受到影响，生产线是否受到影响，并检查备份系统是否被加密等，以确定感染的范围。

（三）联系专业人员

在应急自救处置后，建议第一时间联系专业的技术人士或安全从业者，对事件的感染时间、传播方式，感染家族等问题进行排查。

勒索病毒

防御方法总结介绍

面对严峻的勒索病毒威胁态势，美创安全实验室提醒广大用户，勒索病毒以防为主，注意日常防范措施，以尽可能免受勒索病毒感染。

1. 针对个人用户的安全建议

1）养成良好的安全习惯

①使用安全浏览器，减少遭遇挂马攻击、钓鱼网站的风险。

②重要的文档、数据定期进行非本地备份，一旦文件损坏或丢失，也可以及时找回。

③使用高强度且无规律的密码，要求包括数字、大小写字母、符号，且长度至少为8位的密码。不使用弱口令，以防止攻击者破解。

④安装具有主动防御的安全软件，不随意退出安全软件或关闭防护功能，对安全软件提示的各类风险行为不要轻易才去放行操作。

⑤及时给电脑打补丁，修复漏洞，防止攻击者通过漏洞入侵系统。

⑥尽量关闭不必要的端口，如139、445、3389等端口。如果不使用，可直接关闭高危端口，降低被攻击的风险。

2）减少危险的上网操作

⑦浏览网页时提高警惕，不浏览来路不明的色情、赌博等不良信息网站，此类网站经常被用于发起挂马、钓鱼攻击。

⑧不要点击来源不明的邮件附件，不从不明网站下载软件，警惕伪装为浏览器更新或者flash更新的病毒。

⑨电脑连接移动存储设备（如U盘、移动硬盘）时，应首先使用安全软件检测其安全性。

2. 针对企业用户的安全建议

①及时给办公终端和服务器打补丁，修复漏洞，包括操作系统以及第三方应用的补丁，防止攻击者通过漏洞入侵系统。

②尽量关闭不必要的端口，如139、445、3389等端口。如果不使用，可直接关闭高危端口，降低被漏洞攻击的风险。

③不对外提供服务的设备不要暴露于公网之上，对外提供服务的系统，应保持较低权限。

④企业用户应采用高强度且无规律的密码来登录办公系统或服务器，要求包括数字、大小写字母、符号，且长度至少为8位的密码，并定期更换口令。对于各类系统和软件中的默认账户，应该及时修改默认密码，同时清理不再使用的账户。

⑤对重要的数据文件定期进行非本地备份，一旦文件损坏或丢失，也可以及时找回。

⑥尽量关闭不必要的文件共享。

⑦提高安全运维人员职业素养，定期进行木马病毒查杀。

⑧部署美创数据库防火墙，可专门针对RushQL数据库勒索病毒进行防护。

⑨安装诺亚防勒索软件，防御未知勒索病毒。

美创诺亚防勒索

防护能力介绍

为了更好的应对已知或未知勒索病毒的威胁，美创通过对大量勒索病毒的分析，基于零信任、守白知黑原则，创造性的研究出针对勒索病毒的终端产品【诺亚防勒索系统】。诺亚防勒索在不关心漏洞传播方式的情况下，可防护任何已知或未知的勒索病毒。以下为诺亚防勒索针对勒索病毒的防护效果。

美创诺亚防勒索可通过服务端统一下发策略并更新。默认策略可保护office文档【如想保护数据库文件可通过添加策略一键保护】。

无诺亚防勒索防护的情况下：在test目录下，添加以下文件，若服务器中了勒索病毒，该文件被加密，增加“.TIYSV”加密后缀，并且无法正常打开。

开启诺亚防勒索的情况下：双击执行病毒文件，当勒索病毒尝试加密被保护文件，即test目录下的文件时，诺亚防勒索提出警告并拦截该行为。

查看系统上被测试的文件，可被正常打开，成功防护恶意软件对被保护文件的加密行为。

开启堡垒模式的情况下：为保护系统全部文件，可一键开启诺亚防勒索的堡垒模式。堡垒模式主要针对亚终端，例如ATM机，ATM机的终端基本不太会更新，那么堡垒模式提供一种机制：任何开启堡垒模式之后再进入终端的可执行文件都将被阻止运行，从而实现诺亚防勒索的最强防护模式。

运行在堡垒模式下，执行该病毒，立刻被移除到隔离区，因此可阻止任何已知或未知勒索病毒的执行。

点击阅读原文，即可下载1-12月及年度威胁报告

（提取码：kpf4，永久有效）