美创科技发布《2022年4月勒索病毒威胁报告》-





首页 产品与服务 解决方案 客户案例 技术支持 合作发展 关于美创 用户退出 合作商登录 用户登录 申请试用

行业解决方案政府解决方案金融解决方案医疗解决方案教育解决方案能源解决方案物流交通解决方案

售后服务文档中心年度培训

渠道政策申请成为合作伙伴渠道专区

公司动态行业资讯安全研究

热门阅读

2025中国互联网产业年会丨《中国互联网产业绿色算力发展倡议》正式发布

2025-02-07

美创用户专访 | 精细化管理：医疗行业数据分类分级的策略与实践

2025-01-10

容灾演练双月报｜美创助力某特大型通信基础设施央企顺利完成多个核心系统异地容灾演练

2025-01-10

国家级｜美创、徐医附院共建项目入选工信部《2024年网络安全技术应用典型案例拟支持项目名单》

2024-12-20

全球数据跨境流动合作倡议

2024-11-22

每周安全速递³²⁹｜Phorpiex僵尸网络传播LockBit勒索软件

2025-02-08

每周安全速递³²⁸｜勒索软件攻击者通过Microsoft Teams对组织进行“语音钓鱼”

2025-01-24

每周安全速递³²⁷｜新型远程控制木马NonEuclid感染Windows系统

2025-01-17

每周安全速递³²⁶｜卡西欧确认8500人数据在10月勒索病毒攻击中泄露

2025-01-13

每周安全速递³²⁵｜Cl0p勒索软件团伙即将公开60多名遭受Cleo攻击的受害者名单

2025-01-03

美创科技发布《2022年4月勒索病毒威胁报告》

发布时间：2022-05-11 阅读次数： 274 次

自2015年起，勒索病毒开始有存在感。发展至今，勒索产业链已极其完善，勒索病毒传播快、范围广，已然成为了全球网络安全最大的威胁。本月，美创安全实验室威胁平台监测到多起勒索病毒攻击事件，发现TellYouThePass勒索病毒间歇性发起过多次勒索攻击，并新增利用Spring漏洞和向日葵漏洞发起攻击。

勒索病毒状况总览

01 受害者所在地区分布

本月国内遭受勒索病毒攻击的地区分布图如下所示，数字经济发达地区仍是攻击的主要对象，与上个月相比，无较大波动。

02 勒索病毒影响行业分布

从行业划分来看，传统行业、医疗行业、教育行业的感染延续了以往的高占比。

03 勒索病毒家族分布

下图是美创安全实验室对勒索病毒监测后所计算出的4月份勒索病毒家族流行度占比分布图。Phobos、TellYouThePass、Mallox三大勒索病毒家族的受害者占比最多。同时，本月新增的部分活跃勒索家族有Pandora、FarAttack、Venus等。

04 勒索病毒传播方式

下图为勒索病毒传播的各种方式的占比情况。根据统计可以看出，可以看出勒索病毒的主要攻击方式依然以远程桌面入侵为主，其次为通过海量的垃圾邮件传播，或利用网站挂马和高危漏洞等方式传播，整体攻击方式呈现多元化的特征。

勒索病毒TOP榜

01 Phobos

Phobos勒索软件从2019年开始在全球流行，并一直保持着很高的活跃度，并常年占据勒索病毒榜单前三，其不断推出新变种，并频繁通过RDP暴破、钓鱼邮件等方式对企业单位及个人用户进行攻击，使受害者遭受数据财产的严重损失，影响十分恶劣。

02 TellYouThePass

Tellyouthepass勒索病毒出现于2020年7月，主要以集成各种漏洞利用工具来进行传播，曾经利用过MS16-032内核提权、“永恒之蓝”等漏洞，在2021年底Apache Log4j2组件漏洞曝光后，迅速集成了武器库，发动了大批量的攻击，并针对Linux平台开发了对应版本进行加密。同时，该病毒使用RSA+AES的方式对受害服务器文件进行加密。

03 Mallox

Mallox勒索病毒从去年10月开始活跃，并已经开始对国内目标进行攻击，中毒后主机文件会被加密上“.mallox”后缀。Mallox勒索病毒首先会加一层C#外壳并使用apt攻击中常见的“白加黑”技术绕过安全软件；其次该病毒具备主动传播能力，中毒后可通过文件共享实现蠕虫式传播；最后病毒使用了与“秒搜神器”everything相同的文件检索技术，实现对文件的快速检索及加密。基于以上特点，如果企业内部不慎感染了Mallox勒索病毒，将有可能在短时间内造成大面积文件加密，造成不可挽回的损失。

国内大型勒索事件回顾

01 天津某企业遭RushQL勒索病毒攻击

位于天津的某企业披露其在4月初遭到RushQL勒索病毒攻击，导致部分数据库被加密。RushQL是针对数据库的勒索病毒，相比其他勒索病毒而言，RushQL专门针对数据库设计、并且具备一定潜伏期和隐蔽性，危害极大。

在线点评：

1. RushQL数据库勒索病毒是由“SQL RUSHTeam”组织发起，因此该病毒被命名为RushQL，此病毒早在2016年11月就已出现。

2. 勒索病毒以防为主，建议加强信息安全管理，拒绝使用盗版软件，定期巡检，以及做好数据库容灾和备份管理工作。

02 Makop勒索病毒攻击郑州某企业

郑州某企业其在4月7日遭到网络攻击，导致他们在调查攻击时关闭了部分网络。据内部知情人士透露，攻击导致服务器中的所有文件都被加密，并添加了“.`back23@vpn.tg`.makop”扩展名。通过该扩展名可确定病毒为Makop勒索病毒，该病毒主要通过恶意邮件渠道传播。

在线点评：

Makop勒索病毒使用RSA+AES的方式加密文件。加密时会尝试结束后台应用的进程，以独占文件完成加密；排除部分加密白名单文件不加密；病毒会尝试加密有写权限的网络共享文件；加密结束后，会删除系统卷影信息，以防止用户通过文件恢复功能找回文件。

03 浙江某厂商遭勒索病毒攻击

4月中旬，浙江某厂商遭遇勒索软件攻击。该厂商内部人员透露，攻击团伙设法渗透了其IT网络，用恶意软件感染了部分重要服务器。据了解，服务器中的重要文件已无法正常打开，并添加了“.locked”后缀，通过该后缀可确定此次攻击的病毒为TellYouThePass勒索病毒。该厂商人员在发现问题后，处于高度谨慎，关闭了外部系统的接入点。

在线点评：

1. 该勒索病毒家族热衷于使用各类热门漏洞武器攻击传播。

2. 若企业内部不慎感染了TellYouThePass勒索病毒，将有可能在短时间内造成大面积文件加密，造成不可挽回的损失。

04 江苏某企业遭Mallox病毒袭击

4月23日，江苏某企业遭Mallox勒索病毒攻击。在攻击期间，勒索软件操纵者设法获得对内部域管理的控制权后，在服务器上安装了Mallox勒索软件，并要求提供高额的赎金以解密文件。该企业在发现攻击后，立刻采取相关措施防止病毒进一步扩散。

在线点评：

1. Mallox勒索病毒近期有所活跃。

2. Mallox勒索病毒传播渠道有多个，包括匿隐僵尸网络、横向渗透以及数据库弱口令爆破。

自救措施介绍

勒索软件具有强破坏性。一旦运行起来，用户很快就会发现其特征，如部分进程突然结束、文件不能打开、文件后缀被篡改、屏保壁纸被更换等。当我们已经确认感染勒索病毒后，应当及时采取必要的自救措施。之所以要进行自救，主要是因为：等待专业人员的救助往往需要一定的时间，采取必要的自救措施，可以减少等待过程中，损失的进一步扩大。

（一） 隔离中招主机

当确认服务器已经被感染勒索病毒后，应立即隔离被感染主机，防止病毒继续感染其他服务器，造成无法估计的损失。隔离主要包括物理隔离和访问控制两种手段，物理隔离主要为断网或断电；访问控制主要是指对访问网络资源的权限进行严格的认证和控制。

1）物理隔离物理隔离常用的操作方法是断网和关机。断网主要操作步骤包括：拔掉网线、禁用网卡，如果是笔记本电脑还需关闭无线网络。

2）访问控制加策略防止其他主机接入，关闭感染主机开放端口如 445、135、139、3389 等。修改感染主机及同局域网下所有主机密码，密码采用大小写字母、数字、特殊符号混合的长密码。

（二）排查业务系统

在已经隔离被感染主机后，应对局域网内的其他机器进行排查，检查核心业务系统是否受到影响，生产线是否受到影响，并检查备份系统是否被加密等，以确定感染的范围。

（三）联系专业人员

在应急自救处置后，建议第一时间联系专业的技术人士或安全从业者，对事件的感染时间、传播方式，感染家族等问题进行排查。

防御方法介绍

面对严峻的勒索病毒威胁态势，美创安全实验室提醒广大用户，勒索病毒以防为主，注意日常防范措施，以尽可能免受勒索病毒感染：

①　及时给办公终端和服务器打补丁，修复漏洞，包括操作系统以及第三方应用的补丁，防止攻击者通过漏洞入侵系统。

②　尽量关闭不必要的端口，如139、445、3389等端口。如果不使用，可直接关闭高危端口，降低被漏洞攻击的风险。