6月疑似迎來(lái)“牛市”？新型勒索病毒層出不窮，感染態(tài)勢(shì)持續(xù)走高

轉(zhuǎn)眼間，一年一度的高考再度落下帷幕。全國(guó)萬(wàn)千學(xué)子在經(jīng)歷了6月的最后一輪“磨槍礪劍”后策馬上陣，準(zhǔn)備在這場(chǎng)“考場(chǎng)試鋒”中旗開得勝。而在網(wǎng)絡(luò)安全領(lǐng)域中，常年作惡多端的勒索病毒也同樣付出“非凡努力”，取得的惡績(jī)不禁令人咋舌。

據(jù)360安全大腦監(jiān)測(cè)，6月中不乏“上進(jìn)心”十足的勒索病毒家族劣跡昭著。面對(duì)GlobeImposter、phobos、Crysis等每月前排勒索病毒家族，新型勒索病毒家族發(fā)起全力追擊，Avaddon勒索病毒、Crysis勒索病毒變種、YourFilesEncryped勒索病毒相繼涌現(xiàn)。

Avaddon勒索病毒出道即“躥紅”

個(gè)人桌面感染占比上演極速攀升

360安全大腦發(fā)布的《2020年6月勒索病毒疫情分析》顯示，由于新型勒索病毒的爭(zhēng)相出位，當(dāng)月榜單的排名座次發(fā)生變動(dòng)。

其中，雖然GlobeImposter、phobos以及Crysis三大老牌勒索病毒家族以60.78%的總占比，合力砍下整體6月勒索病毒感染量的過(guò)半份額;但在6月4日剛開始的Avaddon新型勒索病毒卻仍舊憑借不俗作惡實(shí)力，“秒殺”其他競(jìng)爭(zhēng)對(duì)手，在當(dāng)月榜單Top 10中占據(jù)一席之地。

該勒索病毒最早開始傳播時(shí)會(huì)修改文件后綴為advn,而后續(xù)出現(xiàn)的變種則采用了與Sodinokibi相同的文件加密模式，被加密文件被改為隨機(jī)后綴。

在傳播方式上，其利用Phorpiex僵尸網(wǎng)絡(luò)進(jìn)行傳播。作為一款具有蠕蟲特性的僵尸網(wǎng)絡(luò)，Phorpiex具備通過(guò)可移動(dòng)存儲(chǔ)介質(zhì)、垃圾郵件、爆破用戶憑證、漏洞利用工具包、惡意程序安裝等多種渠道擴(kuò)散的特性，迄今為止已經(jīng)感染超過(guò)一百萬(wàn)臺(tái)計(jì)算機(jī)。得益于這一“順風(fēng)車”的助力，Avaddon新型勒索病毒在網(wǎng)絡(luò)中迅速泛濫。

同時(shí)，和眾多勒索病毒一樣，該勒索病毒也采用RaaS模式，并在6月3號(hào)的時(shí)候在暗網(wǎng)開始公開售賣。而就在一天后的6月4號(hào)，就已經(jīng)出現(xiàn)野外傳播，足可見其擴(kuò)散速度之快。

值得一提的是，在當(dāng)月被感染系統(tǒng)中桌面系統(tǒng)和服務(wù)器系統(tǒng)占比中，個(gè)人桌面感染占比同比5月上升4.68%，這和Avaddon新型勒索病毒同樣存在一定關(guān)系。

同時(shí)，從2016年出現(xiàn)至今已有近4年傳播歷史的Crysis勒索病毒家族，無(wú)論是傳播手段還是在核心功能的代碼實(shí)現(xiàn)都鮮有改動(dòng)，但在當(dāng)月卻也驚現(xiàn)新型變種。據(jù)360安全大腦通過(guò)代碼分析發(fā)現(xiàn)，該版變種最大的改動(dòng)是集成了多個(gè)工具，便于投毒者了解當(dāng)前系統(tǒng)中存在的殺毒軟件、加密時(shí)的CPU占用率等信息，同時(shí)還可以將未掛載的設(shè)備掛載到本地，以求加密更多文件。

此外，360安全大腦還監(jiān)測(cè)到Y(jié)ourFilesEncrypted勒索病毒家族的V3.3版本在當(dāng)月開始“嶄露頭角”。該勒索病毒偽裝成注冊(cè)機(jī)進(jìn)行傳播，并會(huì)將文件后綴被修改為FlyBox。

因?yàn)椴煌诳赡軙?huì)為加密文檔數(shù)據(jù)支付天價(jià)贖金的企業(yè)用戶，通過(guò)破解軟件、激活工具等進(jìn)行傳播的勒索病毒大多是普通個(gè)人用戶為攻擊目標(biāo)，所以該勒索病毒索要贖金僅為0.009個(gè)比特幣。值得慶幸的是，在發(fā)現(xiàn)該勒索病毒的第一時(shí)間，360解密大師便成功攻破并支持解密。

在被感染系統(tǒng)占比方面，Windows 7和Windows 10兩大勒索病毒重災(zāi)區(qū)依舊占據(jù)榜單一二座次。Windows Server 2012首次占比超過(guò)Windows Server 2008，但本月并未出現(xiàn)針對(duì)Windows Server 2012系統(tǒng)的重大安全事件，此次攀升現(xiàn)象具備較大偶然性。

MSSQL弱口令攻擊態(tài)勢(shì)月初連漲

360安全大腦強(qiáng)力阻擊勒索“牛市”

弱口令攻擊是勒索病毒最廣泛的傳播方式，使用過(guò)于簡(jiǎn)單的口令或者已經(jīng)泄露的口令是造成設(shè)備被攻陷的最常見原因。同比5月數(shù)據(jù)發(fā)現(xiàn)，6月中被弱口令攻擊的各系統(tǒng)占比變化均不大，位居前三的系統(tǒng)仍是Windows 7、Windows 10和Windows 8。

在6月出現(xiàn)的弱口令攻擊中，RDP弱口令和MySQL弱口令攻擊態(tài)勢(shì)較為平穩(wěn)，而MSSQL弱口令攻擊卻并不“安分”，在本月初出現(xiàn)兩次上漲趨勢(shì)。

參照2020年6月弱口令攻擊態(tài)勢(shì)圖，發(fā)現(xiàn)與本月MSSQL投毒攔截態(tài)勢(shì)圖有所出入。出現(xiàn)這一情況可能是由于MSSQL的峰值攻擊并非實(shí)戰(zhàn)攻擊，可能存在測(cè)試性攻擊;或者是可能因?yàn)楣粽吖ハ莘?wù)器后并未立刻進(jìn)行投毒操作，而是留作“庫(kù)存”。

縱觀360安全大腦發(fā)布的《2020年6月勒索病毒疫情分析》報(bào)告，層出不窮的新型勒索病毒，無(wú)論是傳播能力還是破壞效果都堪稱驚人，這無(wú)疑將為企業(yè)及個(gè)人用戶帶來(lái)了難以預(yù)估的安全威脅。

為多維抵御各類勒索病毒攻擊，360安全大腦已采取了多項(xiàng)防治措施。截止2019年11月，在360安全大腦強(qiáng)勢(shì)賦能下，360解密大師作為全球規(guī)模最大、最有效的勒索病毒解密工具，累計(jì)支持解密勒索病毒超過(guò)320種，服務(wù)用戶機(jī)器超26000臺(tái)，解密文件近8500萬(wàn)次，挽回?fù)p失超5.47億元。

在2020年6月中，360解密大師再度新增了對(duì)Cobra(后綴為cobra)、FileCry(后綴為filecry)、YourFilesEncrypted (后綴為flybox)以及Sodinokibi(版本較多，目前只支持其中一個(gè)版本)勒索病毒家族的解密支持。從其整體解密統(tǒng)計(jì)數(shù)據(jù)看，當(dāng)月解密量最大的是GandCrab，而使用解密大師解密文件的用戶數(shù)量最高的則仍是Stop家族的中招設(shè)備。

為有效做好勒索疫情防控，360安全大腦特別提醒各位用戶需注意以下幾點(diǎn)，全面提升勒索病毒防御水平：

1、及時(shí)前往weishi.#下載安裝360安全衛(wèi)士，全面攔截各類勒索病毒攻擊;

2、中招用戶應(yīng)立即前往lesuobingdu.#確認(rèn)所中勒索病毒類型，并通過(guò)360安全衛(wèi)士 “功能大全”窗口，搜索安裝“360解密大師”后，點(diǎn)擊“立即掃描”恢復(fù)被加密文件。

（免責(zé)聲明：本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說(shuō)明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 ）