勒索病毒流行分析

勒索软件的蔓延给企业和个人都带来了严重的安全威胁。 360安全中心对勒索病毒进行了全方位的监控和防御。 本月添加了新的勒索软件系列，例如 HackedSecret、Makop 和 Crypt0l0cker。

360解密大师于2020年2月新增对“Locked”V2、HackedSecret、iwanttits勒索病毒家族的解密支持。

感染数据分析 本月勒索病毒家族占比分析：GlobeImposter家族以24.13%排名第一； 其次是phobos，占23.78%； 孤岛危机家族以10.66%排名第三。 本月 GlobeImposter 和 Phobos 的比例均有所上升。 其中，GlobeImposter 从 1 月份的 12.57% 上升到本月的 24.13%，phobos 从 1 月份的 16.85% 上升到本月的 23.78%。

受感染系统占比显示，本月排名前三的系统依然是Windows 10、Windows 7和Windows 2008。但与以往不同的是，Windows 10系统感染率大幅超越Windows 7，成为全球第一。第一次。 这与2020年Windows 7停产有着非常重要的关系，停产后，部分win7用户会升级到win10。

从2020年2月受感染系统中桌面系统和服务器系统的比例可以看出，主要被攻击系统仍然是桌面系统。 与2020年1月的统计数据相比，没有大的波动。

另外，我们还关注了2020年2月360论坛勒索版块的用户反馈动态（）：

本月，论坛共报告77起案件，共涉及21个家族，其中4个家族支持解密（Nemsis、Paradise、X3m、Crysis-old）。

前 3 个反馈家族是：GlobeImposter、phobos 和 Sodinokibi。 反馈中新增的家族/变种包括：GlobeImposter（修改文件后缀为tilcore、happychoose、happytwochoose、taagro）、phobos（修改文件后缀为dewar、devos）、Crysi（修改文件后缀为ncov）、Stop （修改文件后缀nppp、rooe、bboo等）、Hermes837（修改文件后缀为voyager）、Makop（修改文件后缀为Makop和shootlook）等。

勒索病毒流行分析 HackedSecret勒索病毒家族 近日，360安全中心检测到一类新型勒索病毒——HackedSecret。 该勒索病毒隐藏在评分软件中传播，并特别要求用户在使用评分软件前启动杀毒软件。 一旦用户相信这是真的，在启动杀毒软件并运行软件后，文件将被加密，并要求用户支付 0.13 比特币或 11 门罗币。

360安全中心在监测到勒索病毒的第一时间对勒索病毒进行了分析，成功破解了勒索病毒。 中招的用户可以使用360解密大师恢复被加密的文件。

Makop勒索病毒家族 360安全中心监测到，Makop勒索病毒本月开始在国内蔓延。 该勒索软件于2020年1月首次被国外安全研究人员发现，通过垃圾邮件传播。 2020年2月首次出现在中国，根据国内多位受害者的日志分析，该勒索病毒在国内的主要传播途径是远程桌面密码暴力破解，获取密码后手动投毒. 到目前为止，该勒索软件已经出现了多种变体。 例如：修改文件后缀为makop和shootlook。

勒索病毒传播者不断在论坛更新Makop相关消息（版本更新内容、招募合作伙伴等）。 从作者发布的论坛信息可以看出，该病毒于2020年1月27日开始传播，制作方正在招募更多合作伙伴，希望将勒索病毒进行更大范围的传播。 未来，勒索病毒的传播途径可能会越来越多样化。

“Locked”勒索病毒家族 “Locked”勒索病毒于2020年1月首次被发现，首次传播被360安全大脑成功破解后，该勒索病毒短暂消失后开始传播。 该勒索病毒的传播作者加强了加密算法，并开始通过一些论坛广告进行传播。 以下是两个版本的具体更新：

目前360解密大师已经可以完美解密该勒索病毒，中招用户可以使用解密大师对被锁定的文件进行解密。 在连续两次破解算法后，勒索病毒传播者已经关闭了传播勒索病毒的网站。

黑客信息公开 以下是本月收集到的黑客邮箱信息：

表 2. 黑客电子邮件

系统安全防护数据分析通过对比2020年1月和2020年2月的数据发现，本月各系统的占比变化不大，前三名依然是Windows 7、Windows 8和Windows 10。

下面是2020年2月对属于被攻击系统的IP进行抽样制作的地理分布图，与前几个月收集的数据相比，地区排名和占比变化不大。 数字经济发达地区仍是攻击的主要目标。

综合2020年2月弱口令攻击趋势发现，本月MSSQL弱口令攻击增幅较大。 RDP和MYSQL弱口令攻击本月总体攻击趋势无大的波动。

360安全大脑检测到，本月使用mssql攻击方式中毒的机器数量总体呈较大增长趋势。 比较符合mssql弱口令攻击趋势。

勒索病毒关键词数据来源于乐索兵毒网360.cn搜索统计。 （不包括 WannCry、AllCry、TeslaCrypt、Satan、Kraken、Jsworm、X3m 和 GandCrab 系列）

lMedusaLocker：属于MedusaLocker勒索病毒家族，也被称为“美杜莎”勒索病毒。 该勒索病毒主要通过暴力破解远程桌面密码，获取密码后手动投毒传播。

lDevos：属于 phobos 勒索软件家族。 成为关键字是因为加密文件加密后devos会被修改。 该勒索病毒主要通过暴力破解远程桌面密码，获取密码后进行人工投毒传播。

lCuba：属于cuba勒索软件家族。 加密后的文件后缀会改为cuba，成为关键字。 该勒索软件主要通过垃圾邮件传播。

lHappychoose：属于GlobeImposter勒索软件家族。 加密后的文件后缀会变成happychoose，成为关键字。 该勒索病毒主要通过爆破破解远程桌面密码，获取密码后进行人工传播病毒。

lglobeimposter-alpha865qqz：与 happychoose 相同

ldewar：与 devos 相同

lglobeimposter 属于 GlobeImposter 家族，与 happychoose 相同。

lncov：属于Crysis勒索病毒家族，由于文件加密后会被修改为ncov，所以成为关键词。 该勒索病毒家族主要通过暴力破解远程桌面密码，成功后进行手动传播病毒。

lvoyager：它属于 Hermes837 勒索软件家族。 成为关键字是因为文件加密后会变成voyager。 该勒索病毒家族主要通过暴力破解远程桌面密码，成功后进行手动传播病毒。

阅读说明：与 MedusaLocker 相同。

解密大师从解密大师本月的解密数据来看，GandCrab依然是本月解密最多的，其次是“被锁定”； 其中，使用Decryption Master解密文件的用户数量最多的仍然是Stop家族的设备，其次是HackedSecret家族的trick设备。

综上所述中了比特币勒索病毒怎么办，针对服务器的勒索软件攻击仍然是勒索软件的一个主要方向。 企业需要加强信息安全管理能力——尤其是弱口令、漏洞、文件共享、远程桌面等方面的管理，以应对勒索软件的威胁。 以下是对管理员的一些建议：

1.多台机器，不要使用相同的账号和密码

2、登录密码要有足够的长度和复杂度，并定期更换登录密码

3、重要数据的共享文件夹应设置访问控制，并定期备份

4、定期检测系统和软件的安全漏洞中了比特币勒索病毒怎么办，及时修补。

5、定期检查服务器是否有异常。 查看范围包括：

(1) 是否有新账户

(2)Guest是否启用

(3) Windows系统日志是否有异常

(4)杀毒软件是否有异常拦截

6、安装安全防护软件并确保其正常运行。

7. 从官方渠道下载并安装软件。

8、对于不熟悉的软件，如果已经被杀毒软件拦截查杀，不要添加信任继续运行。

而且，无论是企业受害人还是个人受害人，都不建议支付赎金。 支付赎金不仅变相鼓励勒索攻击，解密过程也可能带来新的安全隐患。

许多常见的勒索软件病毒只加密文件头数据。 对于某些类型的文件（如数据库文件），可以尝试通过数据恢复来挽回部分损失。 如果必须支付赎金，可以尝试与黑客协商降低赎金价格。 同时，在谈判过程中应避免透露自己的真实身份信息和紧急程度，以免黑客开出高价。 由于大部分解密服务公司都是通过联系黑客的方式购买密钥解密文件，所以尽量避免咨询太多的第三方解密公司（咨询过多的第三方解密公司就相当于咨询了黑客很多次，可能会导致黑客加价。 )