據美創安全實驗室威脅平臺數據統計，勒索病毒的感染量在本月呈現了較為明顯的上升趨勢。并且，越來越多的網絡犯罪分子轉向暗網“泄密網站”，以發布敏感數據為由，要挾受害者支付贖金。

2022年3月勒索病毒狀況總覽

一、受害者所在地區分布

本月國內遭受勒索病毒攻擊的地區分布圖如下所示，數字經濟發達地區仍是攻擊的主要對象。

二、勒索病毒影響行業分布

從行業劃分來看，傳統行業、醫療、教育、政府機構等行業仍是感染勒索病毒的重災區。

三、勒索病毒家族分布

下圖是美創安全實驗室對勒索病毒監測后所計算出的3月份勒索病毒家族流行度占比分布圖。Makop、Phobos、TellYouThePass三大勒索病毒家族的受害者占比最多。Makop以23%的受害者占比成為本月最“毒”家族。

四、勒索病毒傳播方式

下圖為勒索病毒傳播的各種方式的占比情況。根據統計可以看出，可以看出勒索病毒的主要攻擊方式依然以遠程桌面入侵為主，其次為通過海量的垃圾郵件傳播，或利用網站掛馬和高危漏洞等方式傳播，整體攻擊方式呈現多元化的特征。

2022年3月勒索病毒TOP榜

一、Makop

Makop勒索病毒出現于2020年1月下旬，目前已知主要通過惡意郵件渠道傳播。Makop病毒加密的方式，是通過本地生成一個隨機的AES BLOB，使用RSA公鑰對其進行加密后放到被加密文件尾部，同時用上述隨機AES密碼對文件內容進行加密，全盤加密完成后對內存中使用到的隨機AES BLOB進行了清理。

二、Phobos

Phobos勒索軟件從2019年開始在全球流行，并一直保持著很高的活躍度，并常年占據勒索病毒榜單前三，其不斷推出新變種，并頻繁通過RDP暴破、釣魚郵件等方式對企業單位及個人用戶進行攻擊，使受害者遭受數據財產的嚴重損失，影響十分惡劣。

三、TellYouThePass

TellYouThePass勒索病毒在2020年就已經出現活動跡象，主要以集成各種漏洞利用工具來進行傳播，曾經利用過MS16-032內核提權、“永恒之藍”等漏洞，在2021年底Apache Log4j2組件漏洞曝光后，迅速集成了武器庫，發動了大批量的攻擊，并針對Linux平臺開發了對應版本進行加密。

2022年3月國內大型勒索事件回顧

一、鄭州某企業遭Phobos勒索病毒攻擊

鄭州某企業在3月3日遭遇勒索病毒攻擊，攻擊導致服務器中的所有文件都被加密，并添加了“.[Keyforfiles@mailfence.com].Devos”擴展名。通過該擴展名可確定病毒為Phobos勒索病毒。其內部人員在發現攻擊時，立即關閉了部分網絡，成功阻止了勒索病毒的蔓延。

在線點評：

1. Phobos勒索病毒在運行過程中會進行自復制，并在注冊表添加自啟動項，如果沒有清除系統中殘留的病毒體，很可能會遭遇二次加密。

2. 勒索病毒越來越多的開始借鑒APT攻擊中的一些高級技術，以提高攻擊成功的概率，用戶在使用電腦時更加需要增強安全意識，注意防范。

二、LockBit勒索病毒攻擊南京某企業

3月17日，南京某企業遭到LockBit勒索病毒攻擊。據了解，此次攻擊感染了多臺服務器，服務器中的重要數據無法正常打開，嚴重影響了部分業務的運行。據了解，LockBit勒索軟件團伙自 2019 年 9 月推出勒索軟件即服務 (RaaS) 模式以來一直十分活躍，并在各大俄語黑客論壇招募威脅行為者進行破壞和攻擊，并為他們提供技術支持。

在線點評：

1. 在新一版的LockBit勒索軟件中，該團伙重新設計了 Tor 站點并徹底升級了惡意軟件，添加了更多高級功能，包括通過 Active Directory 組策略跨 Windows 域自動加密設備等。

2. 勒索病毒以防為主，針對重要的文檔、數據定期需進行非本地備份，一旦文件損壞或丟失，可從備份中進行恢復。

三、福建某企業遭遇Makop勒索軟件攻擊

福建某企業披露，該企業在3月中下旬遭到勒索軟件攻擊。攻擊者設法滲透了其IT網絡，用惡意軟件感染了某些重要機器。經過排查，確認部分服務器被感染，被感染的機器中的所有文件都被添加了“.mkp”后綴。根據后綴名可判斷此次攻擊的勒索病毒屬于Makop勒索病毒。該企業內部人員表示，已中斷了部分網絡進行隔離。

在線點評：

1. Makop勒索病毒主要通過惡意郵件渠道傳播。

2. Makop勒索病毒使用RSA+AES的方式加密文件。加密時會嘗試結束后臺應用的進程，以獨占文件完成加密；排除部分加密白名單文件不加密；病毒會嘗試加密有寫權限的網絡共享文件；加密結束后，會刪除系統卷影信息，以防止用戶通過文件恢復功能找回文件。

四、濟南某企業遭到TellYouThePass勒索病毒攻擊

3月29日，濟南某企業宣布遭遇網絡攻擊。在網絡攻擊期間，黑客設法獲得對內部域管理的控制權后，在多臺服務器上安裝了TellYouThePass勒索軟件，并添加了“.locked”擴展名。該公司內部消息人士稱，此次攻擊影響了其信息技術和運營技術系統。

在線點評：

1. 該勒索病毒家族熱衷于使用各類熱門漏洞武器攻擊傳播，同時使用RSA+AES的方式對文件進行加密。

2. 若企業內部不慎感染了TellYouThePass勒索病毒，將有可能在短時間內造成大面積文件加密，造成不可挽回的損失。

勒索病毒自救措施介紹

勒索軟件具有強破壞性。一旦運行起來，用戶很快就會發現其特征，如部分進程突然結束、文件不能打開、文件后綴被篡改、屏保壁紙被更換等。

當我們已經確認感染勒索病毒后，應當及時采取必要的自救措施。之所以要進行自救，主要是因為：等待專業人員的救助往往需要一定的時間，采取必要的自救措施，可以減少等待過程中，損失的進一步擴大。

（一）隔離中招主機

當確認服務器已經被感染勒索病毒后，應立即隔離被感染主機，防止病毒繼續感染其他服務器，造成無法估計的損失。隔離主要包括物理隔離和訪問控制兩種手段，物理隔離主要為斷網或斷電；訪問控制主要是指對訪問網絡資源的權限進行嚴格的認證和控制。

1）物理隔離

物理隔離常用的操作方法是斷網和關機。斷網主要操作步驟包括：拔掉網線、禁用網卡，如果是筆記本電腦還需關閉無線網絡。

2）訪問控制

加策略防止其他主機接入，關閉感染主機開放端口如 445、135、139、3389 等。修改感染主機及同局域網下所有主機密碼，密碼采用大小寫字母、數字、特殊符號混合的長密碼。

（二）排查業務系統

在已經隔離被感染主機后，應對局域網內的其他機器進行排查，檢查核心業務系統是否受到影響，生產線是否受到影響，并檢查備份系統是否被加密等，以確定感染的范圍。

（三）聯系專業人員

在應急自救處置后，建議第一時間聯系專業的技術人士或安全從業者，對事件的感染時間、傳播方式，感染家族等問題進行排查。

勒索病毒防御方法介紹

面對嚴峻的勒索病毒威脅態勢，美創安全實驗室提醒廣大用戶，勒索病毒以防為主，注意日常防范措施，以盡可能免受勒索病毒感染。

①及時給辦公終端和服務器打補丁，修復漏洞，包括操作系統以及第三方應用的補丁，防止攻擊者通過漏洞入侵系統。

②盡量關閉不必要的端口，如139、445、3389等端口。如果不使用，可直接關閉高危端口，降低被漏洞攻擊的風險。

③不對外提供服務的設備不要暴露于公網之上，對外提供服務的系統，應保持較低權限。

④企業用戶應采用高強度且無規律的密碼來登錄辦公系統或服務器，要求包括數字、大小寫字母、符號，且長度至少為8位的密碼，并定期更換口令。

⑤數據備份保護，對關鍵數據和業務系統做備份，如離線備份，異地備份，云備份等， 避免因為數據丟失、被加密等造成業務停擺，甚至被迫向攻擊者妥協。

⑥敏感數據隔離，對敏感業務及其相關數據做好網絡隔離。避免雙重勒索病毒在入侵后輕易竊取到敏感數據，對公司業務和機密信息造成重大威脅。

⑦盡量關閉不必要的文件共享。

⑧提高安全運維人員職業素養，定期進行木馬病毒查殺。

⑨部署美創數據庫防火墻，可專門針對RushQL數據庫勒索病毒進行防護。

⑩安裝諾亞防勒索軟件，防御未知勒索病毒。

美創諾亞防勒索防護能力介紹

為了更好地應對已知或未知勒索病毒的威脅，美創通過對大量勒索病毒的分析，基于零信任、守白知黑原則，創造性地研究出針對勒索病毒的終端產品【諾亞防勒索系統】。諾亞防勒索在不關心漏洞傳播方式的情況下，可防護任何已知或未知的勒索病毒。以下為諾亞防勒索針對勒索病毒的防護效果。

美創諾亞防勒索可通過服務端統一下發策略并更新。默認策略可保護office文檔【如想保護數據庫文件可通過添加策略一鍵保護】。

無諾亞防勒索防護的情況下：

在test目錄下，添加以下文件，若服務器中了勒索病毒，該文件被加密，增加統一的異常后綴，并且無法正常打開。

開啟諾亞防勒索的情況下：

雙擊執行病毒文件，當勒索病毒嘗試加密被保護文件，即test目錄下的文件時，諾亞防勒索提出警告并攔截該行為。

查看系統上被測試的文件，可被正常打開，成功防護惡意軟件對被保護文件的加密行為。

開啟堡壘模式的情況下：

為保護系統全部文件，可一鍵開啟諾亞防勒索的堡壘模式。堡壘模式主要針對亞終端，例如ATM機，ATM機的終端基本不太會更新，那么堡壘模式提供一種機制：任何開啟堡壘模式之后再進入終端的可執行文件都將被阻止運行，從而實現諾亞防勒索的最強防護模式。

運行在堡壘模式下，執行該病毒，立刻被移除到隔離區，因此可阻止任何已知或未知勒索病毒的執行。