2022年4月勒索病毒形势分析

自勒索病毒蔓延以来，360反勒索服务已收到上万起勒索病毒感染求助。 随着新型勒索病毒的快速传播，企业数据泄露风险持续上升，勒索金额从数百万美元到近亿美元不等的勒索案件不断出现。 勒索病毒对企业和个人的影响越来越广，危害越来越大。 360安全中心对勒索软件进行了全方位的监控和防御，为需要帮助的用户提供360反勒索软件服务。

2022年4月，全球新增活跃的勒索病毒家族包括：Onyx、Industrial Spy、BlackBasta、Pipikaki、BlockZ、Phantom、Blaze等家族，其中Onyx、Industrial Spy、BlackBasta为双勒索病毒家族。

本月值得关注的热点有3个：

1、Magniber勒索软件再次活跃，大量用户下载了伪装成Windows 10的更新程序，导致文件被加密。

2、新型勒索病毒Onyx勒索病毒直接破坏大文件。

3、风力涡轮机公司Nordex和Snap-on遭到Conti勒索集团的攻击，发现黑客利用泄露的Conti源代码对俄罗斯企业进行了攻击。

4. 美国牙医协会遭到 Black Basta 勒索软件的攻击。

基于对360反勒索软件数据的分析研判，360政企安全集团高级威胁研究与分析中心（CCTGA勒索软件防御与应对工作组成员）发布了本报告。

感染数据分析

根据本月勒索病毒受害者中勒索病毒家族统计，TargetCompany（Mallox）家族以14.95%排名第一，Rook以14.71%紧随其后，phobos家族以12.99%排名第三。

本月沟通量排名前五的家庭采用了不同的沟通方式。 勒索病毒在多样化的同时，传播渠道也多样化。 在：

• TargetCompany（Mallox）通过暴力破解成功获取数据库密码后，直接投放远程工具投毒或勒索软件，同时具备在内网横向移动的能力。

• Rook利用第三方软件携带恶意代码进行传播，

•Phobos 使用蛮力破解远程桌面密码，然后将其投毒。

•TellYouThePass 使用各种Nday 漏洞进行传播。

•Magniber通过在网页上挂马并伪装成软件升级进行传播。

根据本月受害者使用的操作系统统计，排名前三的分别是：Windows 10、Windows Server 2012、Windows 7。

2022年4月受感染系统中桌面系统和服务器系统的占比显示，受攻击的系统类型仍以桌面系统为主。 与上月相比，无较大波动。

勒索病毒流行分析Magniber伪装成Windows 10升级包传播

360安全中心监测到Magniber在4月底再次活跃。 该传播不仅利用之前的网页挂马，还通过伪装成Windows 10升级包的方式诱使用户下载运行。 通常受害者通过论坛、破解软件网站等下载文件时会跳转到第三方云盘，下载时通常会下载一个Windows 10升级包，也可能会跳转到色情、广告、购物等网站。

被勒索软件加密后，文件后缀为随机后缀，每个受害者都会有一个独立的支付页面。 如果无法在规定时间内支付赎金，链接将失效。 如果受害者能够在5天内支付赎金，则只需支付0.075比特币（约合人民币18244元），5天后赎金将翻倍。 360安全大脑对受害者进行抽样追踪发现，该家庭的支付率极低，180名受害者中只有1名受害者支付了赎金。

新型勒索软件Onyx勒索软件直接破坏大文件。

新型勒索软件Onyx目前正在广泛传播，它会直接破坏大文件，而不是对它们进行加密。 这样，即使受害者支付了赎金，也无法解密这些损坏的文件。

与当今大多数勒索软件一样，Onyx 作者在加密文件之前从他们的设备中窃取数据。 然后，这些数据被用于双重勒索计划——如果不支付赎金，他们威胁要公开发布敏感数据。 截至目前，该勒索团伙已在其网站上泄露了6家机构的数据，其中5家机构来自美国。

但在加密方面，该勒索病毒的手法较为“独特”。 它加密文件大小小于 200MB 的文件，但用随机垃圾数据覆盖大于 200MB 的文件内容而不是加密它们。 由于这只是随机创建的数据比特币病毒黑客是谁，因此包括攻击者在内的任何人都无法解密这些大而损坏的文件。 即使受害者支付了赎金，也只能恢复较小的加密文件。

根据源代码分析，该功能并非程序设计错误，而是病毒作者故意为之。 因此，建议受害者不要支付赎金。

美国牙科协会遭受 Black Basta 勒索软件攻击

4 月 22 日，美国牙科协会 (ADA) 遭受网络攻击，导致被攻击的服务器被迫下线。 这次攻击严重破坏了其各种在线服务、电话、电子邮件和网络通信等功能。 ADA 网站目前只显示一个公式，表明他们的网站正在努力让系统恢复运行。

一个名为 Black Basta 的新勒索软件团伙声称对此次攻击负责，并开始泄露据称在 ADA 攻击期间被盗的数据。 该团伙的数据泄露网站声称已经泄露了大约 2.8 GB 的数据，它还表示这是攻击中被盗数据的 30%。 这些数据包括 W2 表格、NDA、会计电子表格以及数据泄露页面上共享的屏幕截图中有关 ADA 的成员信息。

Conti团伙未受源代码泄露影响，对多家公司发起勒索攻击

Conti勒索团伙在俄乌冲突爆发后，其内部数据多次泄露，包括勒索病毒的源代码。 近日，一个名为NB65的黑客组织利用Conti泄露的勒索软件源代码创建了自己的勒索软件，并利用其对俄罗斯组织进行网络攻击，窃取其数据并在线泄露，声称这些攻击是由于俄罗斯入侵造成的乌克兰。 迄今为止，声称已成为黑客组织目标的俄罗斯实体包括文件管理运营商 Tensor、俄罗斯航天局 Roscosmos 和国有俄罗斯电视台和广播电台 VGTRK 等。

Conti 勒索集团并未受到数据泄露的影响，仍在发起勒索攻击，例如：

1. 4月初，Conti勒索软件对风电巨头Nordex发起勒索攻击。 攻击时间导致该公司被迫关闭其 IT 系统并禁用对其设备的远程访问。

2. 2022 年 4 月 7 日，Snap-on 在检测到其网络中存在可疑活动后披露了数据泄露事件，这导致他们关闭了所有系统以进行检查和维护。 经过调查，Snap-on 发现攻击者在 2022 年 3 月 1 日至 3 月 3 日期间窃取了其员工的个人数据。

3. 在线零售和摄影平台Shutterfly发布数据泄露事件，称事件与后者在Conti勒索软件攻击中窃取员工信息有关。 据 Shutterfly 称，由于勒索软件攻击，其网络于 2021 年 12 月 3 日遭到入侵。 在勒索软件攻击期间，攻击者可以访问公司的网络并成功窃取其中的数据和文件。

黑客信息泄露

以下是本月收集到的黑客邮箱信息：

表 1. 黑客电子邮件

目前，利用双重勒索或多重勒索方式获利的勒索病毒家族越来越多，勒索病毒带来的数据泄露风险也越来越大。 以下是本月从数据泄露中获利的勒索软件家族占比。 此数据仅包括那些未能支付赎金或拒绝立即支付赎金的人（已支付赎金的公司或个人可能不会出现在此列表中）。

以下是本月受到双重勒索软件家族攻击的企业或个人。 如果不存在数据泄露风险，企业或个人也应尽快进行自查，做好数据泄露准备，并采取补救措施。

本月共有325家组织/企业遭受勒索软件攻击，其中中国5家组织/企业本月遭遇双重勒索/多重勒索攻击。

表 2. 受影响的组织/企业

系统安全防护数据分析

360系统安全产品，系统安全防护功能全部对服务器下发，只有在发现非服务器版系统被攻击时才会下发防护。 本月受攻击的系统版本中，排名前三的分别是Windows Server 2008、Windows 7和Windows Server 2012。

根据2022年4月被攻击系统所属区域统计，与前几个月收集的数据相比，区域排名和占比变化不大。 数字经济发达地区仍是攻击的主要目标。

通过观察2022年4月的弱口令攻击情况，发现RDP弱口令攻击和MY​​SQL弱口令攻击整体上没有大的波动。 MSSQL弱口令攻击虽然有波动，但没有大的变化，总体呈下降趋势。

勒索软件关键词

以下为本月榜单活跃勒索关键词统计，数据来自360勒索搜索引擎。

•Locked：locked已经被多个家族使用，但本月使用该后缀的家族是TellYouThePass勒索家族。 由于加密文件的后缀会变成locked，所以就变成了关键字。 本月该家族的主要传播方式为：通过Log4j2漏洞进行传播。

•devos：这个后缀有3种情况，都变成关键字，因为加密文件的后缀会变成devos。 然而，本月活跃的是 phobos 勒索软件家族。 该家族的主要传播方式为：通过暴力破解远程桌面密码成功后手动中毒。

•rook：属于Rook勒索病毒家族，由于加密后的文件后缀会变成rook而成为关键字。 该家族的主要传播方式是：通过隐身僵尸网络传播。 大部分受害者本月（2022年2月）到下载网站下载被注册机感染的隐藏僵尸网络。

•bozon：属于TargetCompany(Mallox)勒索病毒家族，加密后的文件后缀会改为bozon。 该家族存在多种传播途径，包括隐藏僵尸网络、横向渗透、数据库弱口令爆破等。

•eking：属于phobos勒索病毒家族，由于加密后的文件后缀会变成eking，所以成为关键字。 该家族的主要传播方式为：通过暴力破解远程桌面密码成功后手动投毒。

• Avast：与bozon 相同。

•lockbit：属于LockBit勒索病毒家族比特币病毒黑客是谁，由于被加密文件的后缀会变成lockbit而成为关键词。 这个家族的加密也可能涉及数据泄露的风险。 该家族群体庞大，攻击手段多样化，不仅限于弱口令爆破，还包括漏洞利用、钓鱼邮件等进行传播。

•mkp：属于Makop勒索病毒家族，由于被加密文件的后缀会变成mkp，所以成为关键字。 该家族的主要传播方式为：通过暴力破解远程桌面密码成功后手动投毒。

•360：属于BeijngCrypt勒索病毒家族，因被加密文件的后缀会更改为360而成为关键词。该家族的主要传播方式为：通过暴力破解远程桌面密码成功后手动投毒，以及本月，它通过弱数据库密码攻击新传播。

解密高手

从解密大师本月解密的数据来看，Sodinokibi的解密量最大，其次是Coffee。 使用Stop系列加密的设备使用Decryptor解密文件的用户最多，其次是Coffee系列加密的设备。