自2015年起，勒索病毒開始有存在感。發展至今，勒索產業鏈已極其完善，勒索病毒傳播快、范圍廣，已然成為了全球網絡安全最大的威脅。本月，美創安全實驗室威脅平臺監測到多起勒索病毒攻擊事件，發現TellYouThePass勒索病毒間歇性發起過多次勒索攻擊，并新增利用Spring漏洞和向日葵漏洞發起攻擊。

勒索病毒狀況總覽

 01 受害者所在地區分布

本月國內遭受勒索病毒攻擊的地區分布圖如下所示，數字經濟發達地區仍是攻擊的主要對象，與上個月相比，無較大波動。

 02 勒索病毒影響行業分布

從行業劃分來看，傳統行業、醫療行業、教育行業的感染延續了以往的高占比。

 03 勒索病毒家族分布

下圖是美創安全實驗室對勒索病毒監測后所計算出的4月份勒索病毒家族流行度占比分布圖。Phobos、TellYouThePass、Mallox三大勒索病毒家族的受害者占比最多。同時，本月新增的部分活躍勒索家族有Pandora、FarAttack、Venus等。

 04 勒索病毒傳播方式

下圖為勒索病毒傳播的各種方式的占比情況。根據統計可以看出，可以看出勒索病毒的主要攻擊方式依然以遠程桌面入侵為主，其次為通過海量的垃圾郵件傳播，或利用網站掛馬和高危漏洞等方式傳播，整體攻擊方式呈現多元化的特征。

勒索病毒TOP榜

 01 Phobos

Phobos勒索軟件從2019年開始在全球流行，并一直保持著很高的活躍度，并常年占據勒索病毒榜單前三，其不斷推出新變種，并頻繁通過RDP暴破、釣魚郵件等方式對企業單位及個人用戶進行攻擊，使受害者遭受數據財產的嚴重損失，影響十分惡劣。

 02 TellYouThePass

Tellyouthepass勒索病毒出現于2020年7月，主要以集成各種漏洞利用工具來進行傳播，曾經利用過MS16-032內核提權、“永恒之藍”等漏洞，在2021年底Apache Log4j2組件漏洞曝光后，迅速集成了武器庫，發動了大批量的攻擊，并針對Linux平臺開發了對應版本進行加密。同時，該病毒使用RSA+AES的方式對受害服務器文件進行加密。

 03 Mallox

Mallox勒索病毒從去年10月開始活躍，并已經開始對國內目標進行攻擊，中毒后主機文件會被加密上“.mallox”后綴。Mallox勒索病毒首先會加一層C#外殼并使用apt攻擊中常見的“白加黑”技術繞過安全軟件；其次該病毒具備主動傳播能力，中毒后可通過文件共享實現蠕蟲式傳播；最后病毒使用了與“秒搜神器”everything相同的文件檢索技術，實現對文件的快速檢索及加密?；谝陨咸攸c，如果企業內部不慎感染了Mallox勒索病毒，將有可能在短時間內造成大面積文件加密，造成不可挽回的損失。

國內大型勒索事件回顧

 01 天津某企業遭RushQL勒索病毒攻擊

位于天津的某企業披露其在4月初遭到RushQL勒索病毒攻擊，導致部分數據庫被加密。RushQL是針對數據庫的勒索病毒，相比其他勒索病毒而言，RushQL專門針對數據庫設計、并且具備一定潛伏期和隱蔽性，危害極大。

在線點評： 

1. RushQL數據庫勒索病毒是由“SQL RUSHTeam”組織發起，因此該病毒被命名為RushQL，此病毒早在2016年11月就已出現。

2. 勒索病毒以防為主，建議加強信息安全管理，拒絕使用盜版軟件，定期巡檢，以及做好數據庫容災和備份管理工作。

 02 Makop勒索病毒攻擊鄭州某企業

鄭州某企業其在4月7日遭到網絡攻擊，導致他們在調查攻擊時關閉了部分網絡。據內部知情人士透露，攻擊導致服務器中的所有文件都被加密，并添加了“.[back23@vpn.tg].makop”擴展名。通過該擴展名可確定病毒為Makop勒索病毒，該病毒主要通過惡意郵件渠道傳播。

在線點評：

Makop勒索病毒使用RSA+AES的方式加密文件。加密時會嘗試結束后臺應用的進程，以獨占文件完成加密；排除部分加密白名單文件不加密；病毒會嘗試加密有寫權限的網絡共享文件；加密結束后，會刪除系統卷影信息，以防止用戶通過文件恢復功能找回文件。

 03 浙江某廠商遭勒索病毒攻擊

4月中旬，浙江某廠商遭遇勒索軟件攻擊。該廠商內部人員透露，攻擊團伙設法滲透了其IT網絡，用惡意軟件感染了部分重要服務器。據了解，服務器中的重要文件已無法正常打開，并添加了“.locked”后綴，通過該后綴可確定此次攻擊的病毒為TellYouThePass勒索病毒。該廠商人員在發現問題后，處于高度謹慎，關閉了外部系統的接入點。

在線點評：

1. 該勒索病毒家族熱衷于使用各類熱門漏洞武器攻擊傳播。

2. 若企業內部不慎感染了TellYouThePass勒索病毒，將有可能在短時間內造成大面積文件加密，造成不可挽回的損失。

 04 江蘇某企業遭Mallox病毒襲擊

4月23日，江蘇某企業遭Mallox勒索病毒攻擊。在攻擊期間，勒索軟件操縱者設法獲得對內部域管理的控制權后，在服務器上安裝了Mallox勒索軟件，并要求提供高額的贖金以解密文件。該企業在發現攻擊后，立刻采取相關措施防止病毒進一步擴散。

在線點評：

1. Mallox勒索病毒近期有所活躍。

2. Mallox勒索病毒傳播渠道有多個，包括匿隱僵尸網絡、橫向滲透以及數據庫弱口令爆破。

自救措施介紹

勒索軟件具有強破壞性。一旦運行起來，用戶很快就會發現其特征，如部分進程突然結束、文件不能打開、文件后綴被篡改、屏保壁紙被更換等。當我們已經確認感染勒索病毒后，應當及時采取必要的自救措施。之所以要進行自救，主要是因為：等待專業人員的救助往往需要一定的時間，采取必要的自救措施，可以減少等待過程中，損失的進一步擴大。

（一） 隔離中招主機

當確認服務器已經被感染勒索病毒后，應立即隔離被感染主機，防止病毒繼續感染其他服務器，造成無法估計的損失。隔離主要包括物理隔離和訪問控制兩種手段，物理隔離主要為斷網或斷電；訪問控制主要是指對訪問網絡資源的權限進行嚴格的認證和控制。

1）  物理隔離物理隔離常用的操作方法是斷網和關機。斷網主要操作步驟包括：拔掉網線、禁用網卡，如果是筆記本電腦還需關閉無線網絡。

2）  訪問控制加策略防止其他主機接入，關閉感染主機開放端口如 445、135、139、3389 等。修改感染主機及同局域網下所有主機密碼，密碼采用大小寫字母、數字、特殊符號混合的長密碼。

（二）排查業務系統

在已經隔離被感染主機后，應對局域網內的其他機器進行排查，檢查核心業務系統是否受到影響，生產線是否受到影響，并檢查備份系統是否被加密等，以確定感染的范圍。

（三）聯系專業人員

在應急自救處置后，建議第一時間聯系專業的技術人士或安全從業者，對事件的感染時間、傳播方式，感染家族等問題進行排查。

防御方法介紹

面對嚴峻的勒索病毒威脅態勢，美創安全實驗室提醒廣大用戶，勒索病毒以防為主，注意日常防范措施，以盡可能免受勒索病毒感染：

①　及時給辦公終端和服務器打補丁，修復漏洞，包括操作系統以及第三方應用的補丁，防止攻擊者通過漏洞入侵系統。

②　盡量關閉不必要的端口，如139、445、3389等端口。如果不使用，可直接關閉高危端口，降低被漏洞攻擊的風險。

③　不對外提供服務的設備不要暴露于公網之上，對外提供服務的系統，應保持較低權限。

④　企業用戶應采用高強度且無規律的密碼來登錄辦公系統或服務器，要求包括數字、大小寫字母、符號，且長度至少為8位的密碼，并定期更換口令。

⑤　數據備份保護，對關鍵數據和業務系統做備份，如離線備份，異地備份，云備份等， 避免因為數據丟失、被加密等造成業務停擺，甚至被迫向攻擊者妥協。

⑥　敏感數據隔離，對敏感業務及其相關數據做好網絡隔離。避免雙重勒索病毒在入侵后輕易竊取到敏感數據，對公司業務和機密信息造成重大威脅。

⑦　盡量關閉不必要的文件共享。

⑧　提高安全運維人員職業素養，定期進行木馬病毒查殺。

⑨　部署美創數據庫防火墻，可專門針對RushQL數據庫勒索病毒進行防護。

⑩　安裝諾亞防勒索軟件，防御未知勒索病毒。

美創諾亞防勒索

防護能力介紹

為了更好地應對已知或未知勒索病毒的威脅，美創通過對大量勒索病毒的分析，基于零信任、守白知黑原則，創造性地研究出針對勒索病毒的終端產品【諾亞防勒索系統】。諾亞防勒索在不關心漏洞傳播方式的情況下，可防護任何已知或未知的勒索病毒。以下為諾亞防勒索針對勒索病毒的防護效果。

美創諾亞防勒索可通過服務端統一下發策略并更新。默認策略可保護office文檔【如想保護數據庫文件可通過添加策略一鍵保護】。

無諾亞防勒索防護的情況下：

在test目錄下，添加以下文件，若服務器中了勒索病毒，該文件被加密，增加統一的異常后綴，并且無法正常打開。

開啟諾亞防勒索的情況下：

雙擊執行病毒文件，當勒索病毒嘗試加密被保護文件，即test目錄下的文件時，諾亞防勒索提出警告并攔截該行為。

查看系統上被測試的文件，可被正常打開，成功防護惡意軟件對被保護文件的加密行為。

開啟堡壘模式的情況下：

為保護系統全部文件，可一鍵開啟諾亞防勒索的堡壘模式。堡壘模式主要針對亞終端，例如ATM機，ATM機的終端基本不太會更新，那么堡壘模式提供一種機制：任何開啟堡壘模式之后再進入終端的可執行文件都將被阻止運行，從而實現諾亞防勒索的最強防護模式。

運行在堡壘模式下，執行該病毒，立刻被移除到隔離區，因此可阻止任何已知或未知勒索病毒的執行。