2022年5月勒索病毒态势分析

勒索病毒传播至今，360反勒索服务已累计接收到上万勒索病毒感染求助。随着新型勒索病毒的快速蔓延，企业数据泄露风险不断上升，勒索金额在数百万到近亿美元的勒索案件不断出现。勒索病毒给企业和个人带来的影响范围越来越广，危害性也越来越大。360安全大脑针对勒索病毒进行了全方位的监测与防御，为大量需要帮助的用户提供360反勒索服务。

2022年5月，全球新增的活跃勒索病毒家族有：7Locker、EAF、QuickBubck、PSRansom、Cheers、RansomHouse、Mindware等家族，其中Cheers、RansomHouse、Mindware均为具有双重勒索功能的家族。

基于对360反勒索数据的分析研判，360政企安全集团高级威胁研究分析中心(CCTGA勒索软件防范应对工作组成员）发布本报告。

根据本月勒索病毒受害者排查反馈统计，Magniber家族占比46.17%居首位，其次是占比15.52%的TargetCompany(Mallox)，phobos家族以10.15%位居第三。

本月因大量用户浏览网站时有意或无意下载伪装成Win10/win11的补丁/升级包的Magniber勒索病毒而中招，首次出现单个家族感染量占比近50%的“霸榜”现象。

对本月受害者所使用的操作系统进行统计，位居前三的是：Windows 10、Windows Server 2008以及Windows 7。

2022年5月被感染的系统中桌面系统和服务器系统占比显示，因Magniber勒索病毒攻击这针对Windows 10和Windows 11，导致桌面PC占比上涨。

今年4月底，Magniber勒索病毒伪装成Wndows10升级补丁包进行大肆传播，360安全大脑对其进行了预警。

而5月初，360安全大脑再次监测到该家族新增对Windows 11系统的攻击，其主要传播的包名也有所更新，比如：

win10-11_system_upgrade_software.msi

covid.warning.readme.xxxxxxxx.msi

其传播方式仍然是各类论坛、破解软件网站、虚假色情站等。用户在访问这些站点时，会被诱导至第三方网盘下载伪装成补丁或更新的勒索病毒。此外也有部分网站存在自动下载情况。

以下是该病毒近期传播针对Windows 11的攻击态势图：

遭到该勒索病毒加密后，文件后缀会被修改为随机后缀，且每个受害者会有一个独立的支付页面——若不能在规定时间内支付赎金，该链接将失效。若受害者能在5天内支付赎金，则只需支付0.09个比特币(截止该报告撰写时，约合人民币17908元)，而超过5天赎金将会翻倍。

本月360安全大脑监测发现多起Mallox勒索病毒攻击事件。该病毒主要针对企业的Web应用发起攻击，包括Spring Boot、Weblogic、通达OA等。在其拿下目标设备权限后还会尝试在内网中横向移动，获取更多设备的权限，危害性极大。360提醒用户加强防护，并建议使用360终端安全产品提供的安全补丁，防御查杀该病毒。

360安全大脑监测 历史 显示，Mallox（又被称作Target Company）于2021年10月进入中国，早期主要通过SQLGlobeImposter渠道进行传播（通过获取到数据库口令后，远程下发勒索病毒。该渠道曾长期被GlobeImposter勒索病毒使用）。而今年GlobeImposter勒索病毒的传播量逐渐下降，Mallox就逐渐占据了这一渠道。

除了传播渠道之外，360通过分析近期攻击案例发现攻击者会向Web应用中植入大量的WebShell，而这些文件的文件名中会包含“kk”的特征字符。一旦成功入侵目标设备，攻击者会尝试释放PowerCat、lCX、AnyDesk等黑客工具控制目标机器、创建账户，并尝试远程登录目标机器。此外，攻击者还会使用fscan工具扫描设备所在内网，并尝试攻击内网中的其它机器。在获取到最多设备权限后开始部署勒索病毒。

近日360安全大脑监控到一款新型勒索病毒7Locker，该病毒使用java语言编写，并通过OA系统漏洞进行传播。其本质上是利用7z压缩工具将文件添加密码后进行压缩，被加密压缩后的文件被新增扩展名.7z。每个受害者通过唯一的Client Key查看具体赎金要求以及指定的赎金支付地址。

另外，根据目前已掌握的信息推测：该家族的传播事件有很大概率是中国台湾黑客针对中国内陆发起的勒索攻击。

5月8日星期日，新当选的哥斯达黎加总统查韦斯宣布国家进入紧急状态，理由是多个政府机构正遭到Conti勒索病毒攻击。

Conti勒索病毒最初声称上个月对哥斯达黎加政府进行了攻击。该国的公共卫生机构哥斯达黎加 社会 保障基金（CCSS）早些时候曾表示，“正在对Conti勒索病毒进行外围安全审查，以验证和防止其可能再次发动攻击。”

目前，Conti已发布了大约672 GB的数据，其中似乎包含属于哥斯达黎加政府机构的数据。

以下是本月收集到的黑客邮箱信息：

当前，通过双重勒索或多重勒索模式获利的勒索病毒家族越来越多，勒索病毒所带来的数据泄露的风险也越来越大。以下是本月通过数据泄露获利的勒索病毒家族占比，该数据仅为未能第一时间缴纳赎金或拒缴纳赎金部分（已经支付赎金的企业或个人，可能不会出现在这个清单中）。

以下是本月被双重勒索病毒家族攻击的企业或个人。若未发现被数据存在泄露风险的企业或个人也请第一时间自查，做好数据已被泄露准备，采取补救措施。

本月总共有220个组织/企业遭遇勒索攻击，其中包含中国10个组织/企业（含中国台湾省5个组织/企业）在本月遭遇了双重勒索/多重勒索。

表格2. 受害组织/企业

在本月被攻击的系统版本中，排行前三的依次为Windows Server 2008 、Windows 7以及Windows Server 2003。

对2022年5月被攻击系统所属地域统计发现，与之前几个月采集到的数据进行对比，地区排名和占比变化均不大。数字经济发达地区仍是攻击的主要对象。

通过观察2022年5月弱口令攻击态势，发现RDP弱口令攻击和MYSQL弱口令攻击整体无较大波动。MSSQL弱口令攻击虽有波动，但依然处于常规范围内且整体呈上升态势。

以下是本月上榜活跃勒索病毒关键词统计，数据来自360勒索病毒搜索引擎。

从解密大师本月解密数据看，解密量最大的是GandCrab，其次是Coffee。使用解密大师解密文件的用户数量最高的是被Crysis家族加密的设备，其次是被CryptoJoker家族加密的设备。

~

面对5月12号爆发在各高校的电脑勒索比特币的病毒,该如何解决呢?_百度...
答：本次全球爆发的勒索病毒是利用Windows系统的漏洞，通过445端口传播的。也就是说，如果你是：未打补丁、并且开启445端口的Windows系统，只要联网就有非常大的几率被感染。1、如果你是mac系统、linux系统、开启更新的win10系统（win10早在今年3月就打了本次漏洞的补丁），不用担心你不会中。2、如果你是...

2022年五月疫情十月疫情区别
答：十月疫情的比五月疫情形势严峻，本轮疫情毒株传播隐匿性强，传播速度快，毒性相对减弱，很容易在人群中造成隐匿性传播，引起疫情的扩散。再加上天气转凉，气候变化是自然因素中的重要因素之一。寒潮、低温等气候变化，对疫情防控总体来说是不利的。病毒耐冷不耐热，而且相对湿度大，病毒存活时间长；相对湿度...

2022年10月15日广州市新冠肺炎疫情情况(广州市5月份新冠肺炎疫情)_百度...
答：2022年10月15日广州市新冠肺炎疫情情况2022年10月15日0时至24时，全市新增20例本土确诊病例，均在风险区域密切接触者或重点人员排查中发现;新增16例本土无症状感染者，其中15例均在风险区域密切接触者或重点人员排查中发现、1例在外市感染者的密切接触者排查中发现。新增境外输入确诊病例5例和境外输入无...

2022年9月25日广州市新冠肺炎疫情情况(广州市5月份新冠肺炎疫情)_百度...
答：2022年9月25日广州市新冠肺炎疫情情况2022年9月25日0时至24时，全市新增2例本土确诊病例，均在已纳入集中隔离管控的密接人员排查中发现。新增境外输入确诊病例10例，境外输入无症状感染者11例。截至2022年9月25日24时，全市累计报告新冠肺炎阳性感染者7119例。其中确诊病例3550例，尚在院治疗92例;无...

2022年11月2日广州市新冠肺炎疫情情况(5月21日广州新冠肺炎疫情)_百度...
答：2022年11月2日广州市新冠肺炎疫情情况2022年11月2日0时至24时，全市新增本土确诊病例50例，其中25例在集中隔离场所隔离观察人员排查中发现、18例在居家隔离观察人员排查中发现、5例在高风险区域管控人员排查中发现、2例在区域核酸筛查中发现;新增本土无症状感染者323例，其中59例在集中隔离场所隔离观察...

2022年10月5日广州市新冠肺炎疫情情况(广州市5月份新冠肺炎疫情)_百度...
答：2022年10月5日广州市新冠肺炎疫情情况2022年10月5日0时至24时，广州全市新增10例本土确诊病例，其中9例在纳入隔离观察人员排查中发现，1例在外省来穗就诊人员排查中发现;新增13例本土无症状感染者，其中12例在纳入隔离观察人员排查中发现，1例在外省来穗就诊人员排查中发现;另有4例此前已公布的本土无...

2022年重大新闻事件摘抄10条5月
答：3、从5月3日晚举行的郑州市新冠肺炎疫情发布会上了解到，按照疫情态势，郑州划定了封控区域，封控区严格实行“区域封闭、足不出户、服务上门”措施，居民基本生活物资供应由社区负责收集需求、帮助购买、配送到户。4、从5月3日晚举行的郑州市新冠肺炎疫情发布会上了解到，除保障城市运行的救护车、消防...

勒索病毒发生的原因?
答：5、升级防病毒软件到最新的防病毒库,阻止已存在的病毒样本攻击; 6、定期异地备份计算机中重要的数据和文件,万一中病毒可以进行恢复。 勒索病毒全球爆发,勒索病毒怎么防范处理 防范个PI,这病毒太弱了,根本没必要。DEF盘全给他格式化就行了。 勒索病毒是谁弄的 勒索病毒据说是从NSA(美国国家安全局)里面泄露出来的...

勒索病毒如何传播?
答：2017年5月14日,WannaCry 勒索病毒出现了变种:WannaCry 2.0,取消Kill Switch 传播速度或更快。截止2017年5月15日,WannaCry造成至少有150个国家受到网络攻击,已经影响到金融,能源,医疗等行业,造成严重的危机管理问题。中国部分Window操作系统用户遭受感染,校园网用户首当其冲,受害严重,大量实验室数据和毕业设计被锁定加密...

勒索病毒最全系列补丁下载 Windows系统各版本勒索病毒防范全攻略_百 ...
答：5月12日起,Onion、WNCRY两类敲诈者病毒变种在全国乃至全世界大范围内出现爆发态势,大量个人和企业、机构用户中招。与以往不同的是,这次的新变种病毒添加了NSA(美国国家安全局)黑客工具包中的永恒之蓝0day漏洞利用,通过445端口(文件共享)在内网进行蠕虫式感染传播。 没有安装安全软件或及时更新系统补丁的其他内网用户极...