轉(zhuǎn)眼間，一年一度的高考再度落下帷幕。全國萬千學(xué)子在經(jīng)歷了6月的最后一輪“磨槍礪劍”后策馬上陣，準(zhǔn)備在這場“考場試鋒”中旗開得勝。而在網(wǎng)絡(luò)安全領(lǐng)域中，常年作惡多端的勒索病毒也同樣付出“非凡努力”，取得的惡績不禁令人咋舌。

據(jù)360安全大腦監(jiān)測，6月中不乏“上進心”十足的勒索病毒家族劣跡昭著。面對GlobeImposter、phobos、Crysis等每月前排勒索病毒家族，新型勒索病毒家族發(fā)起全力追擊，Avaddon勒索病毒、Crysis勒索病毒變種、YourFilesEncryped勒索病毒相繼涌現(xiàn)。

Avaddon勒索病毒出道即“躥紅”

個人桌面感染占比上演極速攀升

360安全大腦發(fā)布的《2020年6月勒索病毒疫情分析》顯示，由于新型勒索病毒的爭相出位，當(dāng)月榜單的排名座次發(fā)生變動。

其中，雖然GlobeImposter、phobos以及Crysis三大老牌勒索病毒家族以60.78%的總占比，合力砍下整體6月勒索病毒感染量的過半份額;但在6月4日剛開始的Avaddon新型勒索病毒卻仍舊憑借不俗作惡實力，“秒殺”其他競爭對手，在當(dāng)月榜單Top 10中占據(jù)一席之地。

該勒索病毒最早開始傳播時會修改文件后綴為advn,而后續(xù)出現(xiàn)的變種則采用了與Sodinokibi相同的文件加密模式，被加密文件被改為隨機后綴。

在傳播方式上，其利用Phorpiex僵尸網(wǎng)絡(luò)進行傳播。作為一款具有蠕蟲特性的僵尸網(wǎng)絡(luò)，Phorpiex具備通過可移動存儲介質(zhì)、垃圾郵件、爆破用戶憑證、漏洞利用工具包、惡意程序安裝等多種渠道擴散的特性，迄今為止已經(jīng)感染超過一百萬臺計算機。得益于這一“順風(fēng)車”的助力，Avaddon新型勒索病毒在網(wǎng)絡(luò)中迅速泛濫。

同時，和眾多勒索病毒一樣，該勒索病毒也采用RaaS模式，并在6月3號的時候在暗網(wǎng)開始公開售賣。而就在一天后的6月4號，就已經(jīng)出現(xiàn)野外傳播，足可見其擴散速度之快。

值得一提的是，在當(dāng)月被感染系統(tǒng)中桌面系統(tǒng)和服務(wù)器系統(tǒng)占比中，個人桌面感染占比同比5月上升4.68%，這和Avaddon新型勒索病毒同樣存在一定關(guān)系。

同時，從2016年出現(xiàn)至今已有近4年傳播歷史的Crysis勒索病毒家族，無論是傳播手段還是在核心功能的代碼實現(xiàn)都鮮有改動，但在當(dāng)月卻也驚現(xiàn)新型變種。據(jù)360安全大腦通過代碼分析發(fā)現(xiàn)，該版變種最大的改動是集成了多個工具，便于投毒者了解當(dāng)前系統(tǒng)中存在的殺毒軟件、加密時的CPU占用率等信息，同時還可以將未掛載的設(shè)備掛載到本地，以求加密更多文件。

此外，360安全大腦還監(jiān)測到Y(jié)ourFilesEncrypted勒索病毒家族的V3.3版本在當(dāng)月開始“嶄露頭角”。該勒索病毒偽裝成注冊機進行傳播，并會將文件后綴被修改為FlyBox。

因為不同于可能會為加密文檔數(shù)據(jù)支付天價贖金的企業(yè)用戶，通過破解軟件、激活工具等進行傳播的勒索病毒大多是普通個人用戶為攻擊目標(biāo)，所以該勒索病毒索要贖金僅為0.009個比特幣。值得慶幸的是，在發(fā)現(xiàn)該勒索病毒的第一時間，360解密大師便成功攻破并支持解密。

在被感染系統(tǒng)占比方面，Windows 7和Windows 10兩大勒索病毒重災(zāi)區(qū)依舊占據(jù)榜單一二座次。Windows Server 2012首次占比超過Windows Server 2008，但本月并未出現(xiàn)針對Windows Server 2012系統(tǒng)的重大安全事件，此次攀升現(xiàn)象具備較大偶然性。

MSSQL弱口令攻擊態(tài)勢月初連漲

360安全大腦強力阻擊勒索“牛市”

弱口令攻擊是勒索病毒最廣泛的傳播方式，使用過于簡單的口令或者已經(jīng)泄露的口令是造成設(shè)備被攻陷的最常見原因。同比5月數(shù)據(jù)發(fā)現(xiàn)，6月中被弱口令攻擊的各系統(tǒng)占比變化均不大，位居前三的系統(tǒng)仍是Windows 7、Windows 10和Windows 8。

在6月出現(xiàn)的弱口令攻擊中，RDP弱口令和MySQL弱口令攻擊態(tài)勢較為平穩(wěn)，而MSSQL弱口令攻擊卻并不“安分”，在本月初出現(xiàn)兩次上漲趨勢。

參照2020年6月弱口令攻擊態(tài)勢圖，發(fā)現(xiàn)與本月MSSQL投毒攔截態(tài)勢圖有所出入。出現(xiàn)這一情況可能是由于MSSQL的峰值攻擊并非實戰(zhàn)攻擊，可能存在測試性攻擊;或者是可能因為攻擊者攻陷服務(wù)器后并未立刻進行投毒操作，而是留作“庫存”。

縱觀360安全大腦發(fā)布的《2020年6月勒索病毒疫情分析》報告，層出不窮的新型勒索病毒，無論是傳播能力還是破壞效果都堪稱驚人，這無疑將為企業(yè)及個人用戶帶來了難以預(yù)估的安全威脅。

為多維抵御各類勒索病毒攻擊，360安全大腦已采取了多項防治措施。截止2019年11月，在360安全大腦強勢賦能下，360解密大師作為全球規(guī)模最大、最有效的勒索病毒解密工具，累計支持解密勒索病毒超過320種，服務(wù)用戶機器超26000臺，解密文件近8500萬次，挽回損失超5.47億元。

在2020年6月中，360解密大師再度新增了對Cobra(后綴為cobra)、FileCry(后綴為filecry)、YourFilesEncrypted (后綴為flybox)以及Sodinokibi(版本較多，目前只支持其中一個版本)勒索病毒家族的解密支持。從其整體解密統(tǒng)計數(shù)據(jù)看，當(dāng)月解密量最大的是GandCrab，而使用解密大師解密文件的用戶數(shù)量最高的則仍是Stop家族的中招設(shè)備。

為有效做好勒索疫情防控，360安全大腦特別提醒各位用戶需注意以下幾點，全面提升勒索病毒防御水平：

1、及時前往weishi.#下載安裝360安全衛(wèi)士，全面攔截各類勒索病毒攻擊;

2、中招用戶應(yīng)立即前往lesuobingdu.#確認所中勒索病毒類型，并通過360安全衛(wèi)士 “功能大全”窗口，搜索安裝“360解密大師”后，點擊“立即掃描”恢復(fù)被加密文件。