9月勒索病毒風(fēng)云再起：NAS類設(shè)備受黑客“特殊照顧”，Crysis家族再填“新丁”

可能在很多用戶看來，勒索病毒的危害僅限于加密文件與破壞系統(tǒng)。但實(shí)際上，勒索病毒由于攻擊形式不受限、輻射范圍廣、影響領(lǐng)域深，使全球成千上萬的服務(wù)器、數(shù)據(jù)庫都可能淪為攻擊目標(biāo)，所以其所造成的破壞效果往往是難以預(yù)估的。

360安全大腦發(fā)布的《2020年9月勒索病毒疫情分析》顯示，就在剛剛過去的九月中，不僅phobos、Crysis、GlobeImposter等傳統(tǒng)勒索病毒家族肆虐網(wǎng)絡(luò)，合力創(chuàng)下57.49%的感染量占比;同時(shí)，自今年開始以來，越來越多的勒索病毒攻擊會(huì)伴隨著數(shù)據(jù)泄露風(fēng)險(xiǎn)，為網(wǎng)絡(luò)安全領(lǐng)域帶來了更為嚴(yán)峻的挑戰(zhàn)。

Ech0raix勒索病毒躋身榜單前十

Crysis勒索病毒家族再填“新丁”

在9月勒索病毒家族占比方面，phobos家族繼續(xù)“惡意”強(qiáng)勁，以23.89%的感染量占比領(lǐng)跑榜單。而占比17.00%的Crysis家族與占比16.60%的GlobeImposter家族則緊隨其后，分居榜單二、三位置。同時(shí)，針對(duì)NAS(網(wǎng)絡(luò)附屬存儲(chǔ))設(shè)備進(jìn)行攻擊的Ech0raix勒索病毒在本月再度活躍，一舉躋身榜單前十。

作為一款比較特殊的針對(duì)NAS (網(wǎng)絡(luò)附屬存儲(chǔ))設(shè)備進(jìn)行攻擊的勒索病毒，Ech0Raix勒索病毒在國內(nèi)最早出現(xiàn)于2019年6月，通過nDay漏洞和暴力破解手段進(jìn)行傳播。而在9月中，由于大部分用戶的登錄口令太弱，致使該病毒在國內(nèi)出現(xiàn)了第二次的規(guī)模性攻擊。一旦用戶不幸中招，該病毒將在加密文件后會(huì)將文件后綴修改為encrypt，并向受害者索要0.005~0.06個(gè)比特幣。

因此，從當(dāng)月被感染設(shè)備數(shù)據(jù)來看，NAS類設(shè)備再次受到了黑客的“特殊照顧”。

此外，常年穩(wěn)居感染量占比榜單前三的Crysis勒索病毒家族，在本月也出現(xiàn)新變種。作為持續(xù)活躍時(shí)間最長(zhǎng)的勒索病毒之一，該勒索病毒的變種已累計(jì)高達(dá)數(shù)百種，這和其源代碼在被暗網(wǎng)被公開售賣有很大關(guān)系。該家族大部分均要求受害者通過郵件與黑客進(jìn)行聯(lián)系，但在本月發(fā)現(xiàn)一個(gè)變種是通過暗網(wǎng)地址以及telegram進(jìn)行聯(lián)系的。在通過暗網(wǎng)地址進(jìn)行聯(lián)系時(shí)，如果中招用戶回復(fù)響應(yīng)不及時(shí)，且沒有保存之前對(duì)話記錄，每次打開都將是一個(gè)全新的對(duì)話。

而在中招用戶通過telegram聯(lián)系黑客時(shí)，不僅存在大量賬戶名類似的高仿賬戶，偽裝成該勒索病毒傳播者騙取贖金。

還有部分騙子，在中招用戶提出需要測(cè)試解密文件時(shí)，會(huì)向用戶索要150美元的保證金。但事實(shí)上，真的黑客為了賺取后續(xù)大筆的贖金，大多是會(huì)免費(fèi)提供解密測(cè)試機(jī)會(huì)以展示解密能力的。

勒索病毒攻擊伴隨數(shù)據(jù)泄露已成趨勢(shì)

20余個(gè)流行勒索團(tuán)伙組團(tuán)出道

區(qū)別于大多用戶對(duì)于勒索病毒危害的固有認(rèn)知，自今年開始以來，除了加密文件和破壞系統(tǒng)，越來越多的勒索病毒攻擊會(huì)造成數(shù)據(jù)泄露的致命威脅。據(jù)不完全統(tǒng)計(jì)，自2019年11月首次公開報(bào)道出現(xiàn)勒索病毒竊取數(shù)據(jù)并泄露的事件以來，不到一年時(shí)間里，參與數(shù)據(jù)竊取的流行勒索病毒家族團(tuán)伙已超過20個(gè)，其中具有代表性的家族有：Maze、Sodinokibi、Clop、Conti、NetWalker和SunCrypt等。

最先開始系統(tǒng)性的竊取數(shù)據(jù)，并以泄露為威脅勒索贖金的勒索病毒家族Maze，已在其網(wǎng)站公布184家受害者數(shù)據(jù)，其中139家數(shù)據(jù)被完全公布，45家的數(shù)據(jù)正在公布中。

由此可見，勒索病毒的危害影響再度進(jìn)一步加強(qiáng)，未來很可能將出現(xiàn)更多該類攻擊案例。因此，政企用戶更應(yīng)該加強(qiáng)安全防護(hù)，避免成為下一個(gè)不幸受害者。

MSSQL弱口令攻擊出現(xiàn)漲勢(shì)

360安全大腦多維抵御勒索浪潮

在弱口令攻擊態(tài)勢(shì)方面，9月各個(gè)被弱口令攻擊的系統(tǒng)占比與8月相比，變化均不大，位居前三的系統(tǒng)仍是Windows 7、Windows 10和Windows 8。

而在9月出現(xiàn)的弱口令攻擊中，RDP和MySQL弱口令攻擊的攻擊態(tài)勢(shì)整體無較大波動(dòng)，但MSSQL弱口令攻擊的攻擊態(tài)勢(shì)卻出現(xiàn)一次上漲。

MSSQL投毒攔截態(tài)勢(shì)和以往幾個(gè)月一樣，呈現(xiàn)出一定波動(dòng)，但并無較大幅度的上漲或者下跌。

縱觀360安全大腦發(fā)布的《2020年9月勒索病毒疫情分析》報(bào)告，伴隨越來越多的勒索病毒攻擊所造成數(shù)據(jù)泄露威脅的出現(xiàn)，網(wǎng)絡(luò)安全建設(shè)迎來更為嚴(yán)峻的挑戰(zhàn)。因此，針對(duì)勒索病毒的有效治理將成為影響各界發(fā)展的重要課題。

為多維抵御各類勒索病毒攻擊，360安全大腦已采取了多項(xiàng)防治措施。截止2019年11月，在360安全大腦強(qiáng)勢(shì)賦能下，360解密大師作為全球規(guī)模最大、最有效的勒索病毒解密工具，累計(jì)支持解密勒索病毒超過320種，服務(wù)用戶機(jī)器超26000臺(tái)，解密文件近8500萬次，挽回?fù)p失超5.47億元。

作為新時(shí)代的網(wǎng)絡(luò)安全運(yùn)營商，專門針對(duì)廣大黨政軍企所面臨的勒索病毒威脅，360借助360安全大腦全力賦能，還隆重發(fā)布了面向政企用戶的360終端安全產(chǎn)品體系，這套新體系包括360終端安全管理系統(tǒng)、360安全衛(wèi)士團(tuán)隊(duì)版等產(chǎn)品家族。而這套終端安全產(chǎn)品體系正是基于360過去十余年的網(wǎng)絡(luò)攻防對(duì)抗實(shí)踐積累，可通過360安全大腦結(jié)合全網(wǎng)安全大數(shù)據(jù)、世界頂級(jí)攻防實(shí)戰(zhàn)安全專家、長(zhǎng)期積累的安全知識(shí)庫，并基于五大人工智能的分析引擎，持續(xù)對(duì)全網(wǎng)威脅進(jìn)行分析和研判，有效全面抵御此類漏洞攻擊，保護(hù)數(shù)據(jù)及財(cái)產(chǎn)安全。

隨著數(shù)字化轉(zhuǎn)型技術(shù)的全速推進(jìn)，各種新型數(shù)字技術(shù)相繼涌現(xiàn)，這也讓網(wǎng)絡(luò)安全風(fēng)險(xiǎn)遍布在所有場(chǎng)景之中。政府、企業(yè)等機(jī)構(gòu)首當(dāng)其沖，淪為主要攻擊目標(biāo)，自然也是勒索病毒攻擊的不二首選。因此，政府、企業(yè)等機(jī)構(gòu)的自身信息安全管理能力——尤其是弱口令、漏洞、文件共享和遠(yuǎn)程桌面的管理，亟待加強(qiáng)。為有效做好勒索疫情防控，360安全大腦特別提醒各位用戶需注意以下幾點(diǎn)：

1. 對(duì)于個(gè)人用戶，可及時(shí)前往weishi.#下載安裝360安全衛(wèi)士，全面攔截各類勒索病毒攻擊;

2. 對(duì)于廣大政企用戶，可通過安裝360終端安全管理系統(tǒng)，有效攔截勒索病毒威脅，保護(hù)文件及數(shù)據(jù)安全。您可通過400-6693-600咨詢了解;而對(duì)于小微企業(yè)，則可直接前往safe.online.#，免費(fèi)體驗(yàn)360安全衛(wèi)士團(tuán)隊(duì)版，抵御勒索病毒攻擊;

3. 至于未做好防護(hù)措施不慎中毒用戶，應(yīng)立即前往lesuobingdu.#確認(rèn)所中勒索病毒類型，并通過360安全衛(wèi)士“功能大全”窗口，搜索安裝“360解密大師”后，點(diǎn)擊“立即掃描”進(jìn)行解密，恢復(fù)被加密文件。