报告编号：B6-2021-070901

报告来源：360高级威胁研究分析中心

报告作者：360高级威胁研究分析中心

更新日期：2021-07-09

勒索病毒传播至今，360反勒索服务已累计接收到上万勒索病毒感染求助。随着新型勒索病毒的快速蔓延，企业数据泄露风险不断上升，数百万甚至上亿赎金的勒索案件不断出现。勒索病毒给企业和个人带来的影响范围越来越广，危害性也越来越大。360安全大脑针对勒索病毒进行了全方位的监控与防御，为需要帮助的用户提供360反勒索服务。

2021年6月，全球新增的活跃勒索病毒家族有:Spyro、APISWiper、ChupaCabra、Vice Society、Findnotfile、 Red Epsilon，Hive、Grief、Prometheus、ElonMusKnow等。其中：

- Red Epsilon家族利用Microsoft Exchange服务器漏洞对网络上的机器进行攻击，在攻击成功后还会在被攻陷设备中部署远程控制木马（Remote Utilities）。

- 采用RaaS运营模式的HimalayA家族，仅需RaaS服务收费200美元便为其成员免费提供加密器，同时该团伙还宣称不会对医疗机构以及非盈利组织发动攻击。

- Hive、Grief、Prometheus、ElonMusKnow家族均采用双重勒索模式运营。Hive已在暗网发布2个组织数据；ElonMusKnow虽已有数据泄露网站但尚未公布任何组织数据；Grief已在暗网发布4个组织数据；Prometheus则为REvil团队的衍生品。

针对本月勒索病毒受害者所感染勒索病毒家族进行统计，Stop家族占比24.66%居首位，其次是占比21.92%的phobos，GlobeImposter家族以12.79%位居第三。

本月因下载破解软件/激活工具导致感染Stop勒索病毒的受害者仍有上升态势，建议用户应尽量避免下载破解软件或者激活工具。

对本月被攻击设备所使用的操作系统进行统计，位居前三的是：Windows 10、Windows 7、以及Windows Server 2008。

2021年6月被感染的系统中桌面系统和服务器系统占比显示，受攻击的系统类型仍以桌面系统为主，与上月相比无较大波动。本月仍有用户因NAS设备被攻击导致文件被加密，建议受害者立即将设备登录口令修改为更高复杂度口令，若使用的NAS设备是威联通产品，还应及时对HBS多媒体软件进行升级。

1.Avaddon关闭并发布密钥

近日BleepingComputer收到一条冒充FBI的匿名信，该信息包含一个密码和一个指向受密码保护的ZIP文件链接，并声明该密钥属于Avaddon勒索病毒家族。共计接收到2934个解密密钥，目前Avaddon所有的暗网地址均无法访问，猜测该家族已停止运营。

最近一段时间，Avaddon一直在向他们的受害者施压，要求他们快速付款，并接受用户报价且未做出任何反击。这一情况反应出该家族运营者急于拿到赎金。由于该家族突如其来的关闭，为该家族提供过DDOS服务的X-DDOS在俄罗斯网络犯罪论坛XSS发起索赔。目前XSS论坛已将Avaddon账户删除。目前360解密大师已支持该家族的解密支持，受害者可使用解密大师解密被该家族加密的文件。

2.Lorenz算法漏洞导致部分可解

近日荷兰网络安全公司Tesorion发布了Lorenz勒索软件的免费解密工具。受害者可通过该工具恢复部分有固定格式的文件，例如Office文档、PDF文件、某些类型的图片和电影文件。同时该勒索家族的加密器被曝出加密文件时存在问题，可能会导致数据丢失，也就意味着即使支付赎金文件也可能找不回。

Lorenz勒索软件是一个在2021年4月份新增的家族。主要针对企业进行攻击，目前为止该家族已在其数据泄露网站公开12名受害者信息。其中加拿大邮政局因其供应商Commmport Communications遭遇Lorenz攻击，44名加拿大邮政局商业客户信息和95万名收件人信息遭到泄露。其索要的赎金相当之高，价格均在50万美元到70万美元之间。

近日有消息曝出Babuk勒索软件的生成器被人上传到VirusTotal，这导致更多的潜在病毒制作/传播者可使用该生成器制作并传播勒索病毒。该生成器可通过自定义选择生成勒索的运行环境。生成的病毒可在Windows系统或基于ARM平台的系统中运行并进行加密工作。整体操作流程非常简单，只需提供一个文件夹名即可在该文件夹下替使用者分别生成加密器和解密器。

此前该团伙在4月份攻击过华盛顿警方后就宣布退出勒索舞台，转为单纯售卖窃取数据团伙。目前该数据泄露网站已对外公开，并发布过多名受害者数据。目前已有威胁者利用该生成器生成的加密器发起攻击，之前该家族想受害者索要的金额一般在数十万美元，最近发现的勒索提示信息看，其索要金额一般为210美元。

本月Paradise作者已将其源码发布在网络犯罪论坛(XSS)上，曾在该网络犯罪论坛回帖过的账户均有权限下载该源码。安全研究员Tom Malka发现该源码的注释采用的是俄语，很大程度上能证明俄语为该勒索病毒开发人员的母语。

该家族于2017年9月开始传播，并在2018年1月以后开始采用RaaS（勒索即服务）模式运营。该家族病毒在2019年11月之前的版本由于存在算法漏洞，被多家安全公司成功破解并发布解密工具。但其对算法漏洞在后续的版本中进行了修复，安全人员也未再找到可供利用的算法问题。此次发布的源码为修改后无法技术破解的版本，这就意味着其他网络不法分子也可以通过修改其开源代码制作属于自己的勒索病毒。

本月Clop勒索病毒家族频繁被报道，针对整个事件先做一个大概的时间线回顾：

- 6月17日：乌克兰、韩国和美国联合行动，在乌克兰拘留多名与Clop勒索软件相关人员，关闭该组织发动过攻击的服务器基础设施，并缴获了计算机、智能手机和服务器设备、18.5万美元现金以及多量豪车。

- 6月23日：曝出Clop勒索软件仍在继续运作，并在暗网发布受害者数据。

- 6月24日：警方通过和Binance币安交易所进行合作，成功锁定为Clop勒索软件洗钱的团伙。

- 6月25日：被抓的洗钱团伙为FANCYCAT，该团伙不仅为多个非法活动提供洗钱服务，还曾高调的发动过网络攻击（例如Clop和Petya勒索软件攻击），涉及金额高达5亿美元。此次抓捕行动总共抓获了6名犯罪嫌疑人，但暗网数据泄露网站仍在正常运行，证明被抓捕人员仅为Clop勒索软件招募的一个分支，并非主力。

5月31日全球最大的牛肉生厂商JBS遭遇Sodinokibi(REvil)勒索软件攻击，北美和澳大利亚的部分IT系统被加密，导致JBS被迫关闭部分食品生产站点。虽然该公司被加密的文件中除了两个特定的数据库外，大部分都有备份的，可通过备份进行恢复，但考虑到若不支付赎金被黑客窃取的数据将被在暗网公开，最终选择向黑客支付赎金。

Sodinokibi(REvil)勒索团伙最初想JBS索要的2250万美元，但经过一些系列的谈判，黑客最终统一将赎金降低到1100万美元。针对此次攻击的调查仍在继续，初步调查结果证实，没有公司、客户或员工数据受到损害。

5月23日，台湾计算机内存制造商ADATA遭遇Ragnar Locker勒索软件攻击，迫使ADATA关闭相关受影响设备。在释放勒索软件之前，该团伙还从ADATA内部窃取了多达1.5TB的数据，目前已有700多GB的数据已被公开发布在暗网中。

从该泄露数据网站提供的下载链接发现，该团伙选择使用MEGA来存储非法获取到的数据，但遭到MEGA抵制——不仅禁止掉对该数据的访问，还将该犯罪团伙账户关闭。目前大部分数据已无法下载。但从之前公开的截图看，攻击者从受害者内部已窃取到该公司的专有商业信息、机密文件、原理图、财务数据、Gitlab和SVN源代码、法律文件、员工信息、保密协议等。

最近还捕获该家族的一个测试版本，从测试版本生成的勒索提示信息看，此版本为针对企业的版本。

colonial遭DarkSide勒索病毒攻击后，美国全国各地燃料短缺且价格飙升，引起美国政府高度重视，进而采取了一系列措施来打击勒索病毒犯罪。近日FBI通过找到DarkSide存储比特币密钥的云服务器。成功将该账户中的63.7个比特币转出到其他账户，该赎金来自colonial向DarKSide支付的440万美元中的230万美元。

据称DarkSide黑客团队使用的是Coinbase钱包，FBI和司法部门通过对Coinbase发布强制执行命令，获取到的DarkSide的钱包地址和私钥(Coinbase是一家寻求继续在美国开展合法业务的公司)。加上之前被XSS网络犯罪论坛锁定的22.081个比特币，该团伙已知的直接损失已达 85.781个比特币。

以下是本月收集到的黑客邮箱信息：

表格1. 黑客邮箱

当前，通过双重勒索模式获利的勒索病毒家族越来越多，勒索病毒所带来的数据泄露的风险也越来越大。以下是本月通过数据泄露获利的勒索病毒家族占比，该数据仅为未能第一时间缴纳赎金或拒缴纳赎金部分（因为第一时间联系并支付赎金的企业或个人不会在暗网中公布，因此无这部分数据）。

以下是本月被双重勒索病毒家族攻击的企业或个人。若未发现被数据存在泄露风险的企业或个人也请第一时间自查，做好数据已被泄露准备，采取补救措施。

表格2. 存在数据泄露风险的受害者名单

通过将2021年5月与6月的数据进行对比，本月各个系统占比变化均不大，位居前三的系统仍是Windows 7、Windows 8和Windows 10。

以下是对2021年6月被攻击系统所属地域采样制作的分部图，与之前几个月采集到的数据进行对比，地区排名和占比变化均不大。数字经济发达地区仍是攻击的主要对象。

通过观察2021年6月弱口令攻击态势发现，RDP和MYSQL弱口令攻击整体无较大波动。MSSQL弱口令攻击虽然在6月一直呈现上升趋势，这和本月发现多个勒索病毒家族利用MSSQL弱口令远程投毒有一定关系,其中GlobeImposter家族已是多次发下利用该方式进行投毒，本月还发现phobos、CryLock勒索病毒家族也将该方式作为传播渠道之一。

以下是本月上榜活跃勒索病毒关键词统计，数据来自360勒索病毒搜索引擎。

- devos：该后缀有三种情况，均因被加密文件后缀会被修改为devos而成为关键词。但月活跃的是phobos勒索病毒家族，该家族的主要传播方式为：通过暴力破解远程桌面口令成功后手动投毒。

- Makop：该后缀有两种情况, 均因被加密文件后缀会被修改为makop而成为关键词:

- 属于Makop勒索病毒家族，该家族主要的传播方式为：通过暴力破解远程桌面口令成功后手动投毒。

- 属于Cryptojoker勒索病毒家，通过“匿隐” 进行传播。

- eking：属于phobos勒索病毒家族，由于被加密文件后缀会被修改为eking而成为关键词。该家族主要的传播方式为：通过暴力破解远程桌面口令成功后手动投毒。

- Lockbit：Lckbit勒索病毒家族，由于被加密文件后缀会被修改为lockbit而成为关键词。该家族主要的传播方式为：通过暴力破解远程桌面口令成功后手动投毒。

- pahd：属于Stop勒索病毒家族，由于被加密文件后缀会被修改为paha而成为关键词。该家族主要的传播方式为：伪装成破解软件或者激活工具进行传播。

- sspq：同pahd。

- paas：同pahd。

- GlobeImposter-Alpha865qqz：属于GlobeImposter勒索病毒家族，由于被加密文件后缀会被修改为GlobeImposter-Alpha865qqz而成为关键词。该家族的传播渠道主要有两个，第一个是通过暴力破解获取到远程桌面后手动投毒，第二个是获取到mssql数据库密码后，通过数据库向用户机器投毒。

- roger:同eking。

- Stop:属于Stop勒索病毒家族，该家族主要的传播方式为：伪装成破解软件或者激活工具进行传播。

解密大师 从解密大师本月解密数据看，解密量最大的是GandCrab，其次是CryptoJoker。使用解密大师解密文件的用户数量最高的是被Crysis家族加密的设备，其次是被CryptoJoker家族加密的设备。 !

面对严峻的勒索病毒威胁态势，360安全大脑分别为个人用户和企业用户给出有针对性的安全建议。希望能够帮助尽可能多的用户全方位的保护计算机安全，免受勒索病毒感染。

对于普通用户，360安全大脑给出以下建议，以帮助用户免遭勒索病毒攻击。

养成良好的安全习惯

1. 电脑应当安装具有高级威胁防护能力和主动防御功能的安全软件，不随意退出安全软件或关闭防护功能，对安全软件提示的各类风险行为不要轻易采取放行操作。

2. 可使用安全软件的漏洞修复功能，第一时间为操作系统和浏览器，常用软件打好补丁，以免病毒利用漏洞入侵电脑。

3. 尽量使用安全浏览器，减少遭遇挂马攻击、钓鱼网站的风险。

4. 重要文档、数据应经常做备份，一旦文件损坏或丢失，也可以及时找回。

5. 电脑设置的口令要足够复杂，包括数字、大小写字母、符号且长度至少应该有8位，不使用弱口令，以防攻击者破解。

减少危险的上网操作

1. 不要浏览来路不明的色情、赌博等不良信息网站，此类网站经常被用于发起挂马、钓鱼攻击。

2. 不要轻易打开陌生人发来的邮件附件或邮件正文中的网址链接。也不要轻易打开扩展名为js 、vbs、wsf、bat、cmd、ps1等脚本文件和exe、scr、com等可执行程序，对于陌生人发来的压缩文件包，更应提高警惕，先使用安全软件进行检查后再打开。

3. 电脑连接移动存储设备（如U盘、移动硬盘等），应首先使用安全软件检测其安全性。

4. 对于安全性不确定的文件，可以选择在安全软件的沙箱功能中打开运行，从而避免木马对实际系统的破坏。

采取及时的补救措施

1. 安装360安全卫士并开启反勒索服务，一旦电脑被勒索软件感染，可以通过360反勒索服务寻求帮助，以尽可能的减小自身损失。

企业安全规划建议

对企业信息系统的保护，是一项系统化工程，在企业信息化建设初期就应该加以考虑，建设过程中严格落实，防御勒索病毒也并非难事。对企业网络的安全建设，我们给出下面几方面的建议。

1. 安全规划

- 网络架构，业务、数据、服务分离，不同部门与区域之间通过VLAN和子网分离，减少因为单点沦陷造成大范围的网络受到攻击。

- 内外网隔离，合理设置DMZ区域，对外提供服务的设备要做严格管控。减少企业被外部攻击的暴露面。

- 安全设备部署，在企业终端和网络关键节点部署安全设备，并日常排查设备告警情况。

- 权限控制，包括业务流程权限与人员账户权限都应该做好控制，如控制共享网络权限，原则上以最小权限提供服务。降低因为单个账户沦陷而造成更大范围影响。

- 数据备份保护，对关键数据和业务系统做备份，如离线备份，异地备份，云备份等，避免因为数据丢失、被加密等造成业务停摆，甚至被迫向攻击者妥协。

2. 安全管理

- 账户口令管理，严格执行账户口令安全管理，重点排查弱口令问题，口令长期不更新问题，账户口令共用问题，内置、默认账户问题。

- 补丁与漏洞扫描，了解企业数字资产情况，将补丁管理做为日常安全维护项目，关注补丁发布情况，及时更新系统、应用系统、硬件产品安全补丁。定期执行漏洞扫描，发现设备中存在的安全问题。

- 权限管控，定期检查账户情况，尤其是新增账户。排查账户权限，及时停用非必要权限，对新增账户应有足够警惕，做好登记管理。

- 内网强化，进行内网主机加固，定期排查未正确进行安全设置，未正确安装安全软件设备，关闭设备中的非必要服务，提升内网设备安全性。

3. 人员管理

- 人员培训，对员工进行安全教育，培养员工安全意识，如识别钓鱼邮件、钓鱼页面等。

- 行为规范，制定工作行为规范，指导员工如何正常处理数据，发布信息，做好个人安全保障。如避免员工将公司网络部署，服务器设置发布到互联网之中。

发现遭受勒索病毒攻击后的处理流程

1. 发现中毒机器应立即关闭其网络和该计算机。关闭网络能阻止勒索病毒在内网横向传播，关闭计算机能及时阻止勒索病毒继续加密文件。

2. 联系安全厂商，对内部网络进行排查处理。

3. 公司内部所有机器口令均应更换，你无法确定黑客掌握了内部多少机器的口令。

遭受勒索病毒攻击后的防护措施

1. 联系安全厂商，对内部网络进行排查处理。

2. 登录口令要有足够的长度和复杂性，并定期更换登录口令

3. 重要资料的共享文件夹应设置访问权限控制，并进行定期备份

4. 定期检测系统和软件中的安全漏洞，及时打上补丁。

1. 是否有新增账户

2. Guest是否被启用

3. Windows系统日志是否存在异常

4. 杀毒软件是否存在异常拦截情况

1. 登录口令要有足够的长度和复杂性，并定期更换登录口令

2. 重要资料的共享文件夹应设置访问权限控制，并进行定期备份

3. 定期检测系统和软件中的安全漏洞，及时打上补丁。

最后——无论是个人用户还是企业用户，都不建议支付赎金！

支付赎金不仅变相鼓励了勒索攻击行为，而且解密的过程还可能会带来新的安全风险。可以尝试通过备份、数据恢复、数据修复等手段挽回部分损失。比如：部分勒索病毒只加密文件头部数据，对于某些类型的文件（如数据库文件），可以尝试通过数据修复手段来修复被加密文件。如果不得不支付赎金的话，可以尝试和黑客协商来降低赎金价格，同时在协商过程中要避免暴露自己真实身份信息和紧急程度，以免黑客漫天要价。若对方窃取了重要数据并以此为要挟进行勒索，则应立即采取补救措施——修补安全漏洞并调整相关业务，尽可能将数据泄露造成的损失降到最低。

​若想了解更多产品信息或有相关业务需求，可移步至http://360.net。

针对微软本次安全更新，360AISA已基于流量侧提供对应检测能力更新，请AISA用户联系techsupport@360.cn获取更新，尽快升级检测引擎和规则，做好安全防护工作。

Windows用户可通过360安全卫士实现对应补丁安装、漏洞修复、恶意软件查杀，其他平台的用户可以根据修复建议列表中的安全建议进行安全维护。

360CERT建议广大用户使用360安全卫士定期对设备进行安全检测，以做好资产自查以及防护工作。

360本地安全大脑是将360云端安全大脑核心能力本地化部署的一套开放式全场景安全运营平台，实现安全态势、监控、分析、溯源、研判、响应、管理的智能化安全运营赋能。360本地安全大脑已支持对相关漏洞利用的检测，请及时更新网络神经元（探针）规则和本地安全大脑关联分析规则，做好防护。

360终端安全管理系统软件是在360安全大脑极智赋能下，以大数据、云计算等新技术为支撑，以可靠服务为保障，集防病毒与终端安全管控功能于一体的企业级安全产品。

360终端安全管理系统已支持对相关漏洞进行检测和修复，建议用户及时更新漏洞库并安装更新相关补丁。

2021-07-09 360CERT发布通告