轉(zhuǎn)眼間，一年一度的高考再度落下帷幕。全國萬千學(xué)子在經(jīng)歷了6月的最后一輪“磨槍礪劍”后策馬上陣，準(zhǔn)備在這場“考場試鋒”中旗開得勝。而在網(wǎng)絡(luò)安全領(lǐng)域中，常年作惡多端的勒索病毒也同樣付出“非凡努力”，取得的惡績不禁令人咋舌。

　　據(jù)360安全大腦監(jiān)測，6月中不乏“上進(jìn)心”十足的勒索病毒家族劣跡昭著。面對(duì)GlobeImposter、phobos、Crysis等每月前排勒索病毒家族，新型勒索病毒家族發(fā)起全力追擊，Avaddon勒索病毒、Crysis勒索病毒變種、YourFilesEncryped勒索病毒相繼涌現(xiàn)。

　　Avaddon勒索病毒出道即“躥紅”

　　個(gè)人桌面感染占比上演極速攀升

　　360安全大腦發(fā)布的《2020年6月勒索病毒疫情分析》顯示，由于新型勒索病毒的爭相出位，當(dāng)月榜單的排名座次發(fā)生變動(dòng)。

　　其中，雖然GlobeImposter、phobos以及Crysis三大老牌勒索病毒家族以60.78%的總占比，合力砍下整體6月勒索病毒感染量的過半份額;但在6月4日剛開始的Avaddon新型勒索病毒卻仍舊憑借不俗作惡實(shí)力，“秒殺”其他競爭對(duì)手，在當(dāng)月榜單Top 10中占據(jù)一席之地。

　　該勒索病毒最早開始傳播時(shí)會(huì)修改文件后綴為advn,而后續(xù)出現(xiàn)的變種則采用了與Sodinokibi相同的文件加密模式，被加密文件被改為隨機(jī)后綴。

　　在傳播方式上，其利用Phorpiex僵尸網(wǎng)絡(luò)進(jìn)行傳播。作為一款具有蠕蟲特性的僵尸網(wǎng)絡(luò)，Phorpiex具備通過可移動(dòng)存儲(chǔ)介質(zhì)、垃圾郵件、爆破用戶憑證、漏洞利用工具包、惡意程序安裝等多種渠道擴(kuò)散的特性，迄今為止已經(jīng)感染超過一百萬臺(tái)計(jì)算機(jī)。得益于這一“順風(fēng)車”的助力，Avaddon新型勒索病毒在網(wǎng)絡(luò)中迅速泛濫。

　　同時(shí)，和眾多勒索病毒一樣，該勒索病毒也采用RaaS模式，并在6月3號(hào)的時(shí)候在暗網(wǎng)開始公開售賣。而就在一天后的6月4號(hào)，就已經(jīng)出現(xiàn)野外傳播，足可見其擴(kuò)散速度之快。

　　值得一提的是，在當(dāng)月被感染系統(tǒng)中桌面系統(tǒng)和服務(wù)器系統(tǒng)占比中，個(gè)人桌面感染占比同比5月上升4.68%，這和Avaddon新型勒索病毒同樣存在一定關(guān)系。

　　同時(shí)，從2016年出現(xiàn)至今已有近4年傳播歷史的Crysis勒索病毒家族，無論是傳播手段還是在核心功能的代碼實(shí)現(xiàn)都鮮有改動(dòng)，但在當(dāng)月卻也驚現(xiàn)新型變種。據(jù)360安全大腦通過代碼分析發(fā)現(xiàn)，該版變種最大的改動(dòng)是集成了多個(gè)工具，便于投毒者了解當(dāng)前系統(tǒng)中存在的殺毒軟件、加密時(shí)的CPU占用率等信息，同時(shí)還可以將未掛載的設(shè)備掛載到本地，以求加密更多文件。

　　此外，360安全大腦還監(jiān)測到Y(jié)ourFilesEncrypted勒索病毒家族的V3.3版本在當(dāng)月開始“嶄露頭角”。該勒索病毒偽裝成注冊機(jī)進(jìn)行傳播，并會(huì)將文件后綴被修改為FlyBox。

　　因?yàn)椴煌�于可能�?huì)為加密文檔數(shù)據(jù)支付天價(jià)贖金的企業(yè)用戶，通過破解軟件、激活工具等進(jìn)行傳播的勒索病毒大多是普通個(gè)人用戶為攻擊目標(biāo)，所以該勒索病毒索要贖金僅為0.009個(gè)比特幣。值得慶幸的是，在發(fā)現(xiàn)該勒索病毒的第一時(shí)間，360解密大師便成功攻破并支持解密。

　　在被感染系統(tǒng)占比方面，Windows 7和Windows 10兩大勒索病毒重災(zāi)區(qū)依舊占據(jù)榜單一二座次。Windows Server 2012首次占比超過Windows Server 2008，但本月并未出現(xiàn)針對(duì)Windows Server 2012系統(tǒng)的重大安全事件，此次攀升現(xiàn)象具備較大偶然性。

　　MSSQL弱口令攻擊態(tài)勢月初連漲

　　360安全大腦強(qiáng)力阻擊勒索“牛市”

　　弱口令攻擊是勒索病毒最廣泛的傳播方式，使用過于簡單的口令或者已經(jīng)泄露的口令是造成設(shè)備被攻陷的最常見原因。同比5月數(shù)據(jù)發(fā)現(xiàn)，6月中被弱口令攻擊的各系統(tǒng)占比變化均不大，位居前三的系統(tǒng)仍是Windows 7、Windows 10和Windows 8。

　　在6月出現(xiàn)的弱口令攻擊中，RDP弱口令和MySQL弱口令攻擊態(tài)勢較為平穩(wěn)，而MSSQL弱口令攻擊卻并不“安分”，在本月初出現(xiàn)兩次上漲趨勢。

　　參照2020年6月弱口令攻擊態(tài)勢圖，發(fā)現(xiàn)與本月MSSQL投毒攔截態(tài)勢圖有所出入。出現(xiàn)這一情況可能是由于MSSQL的峰值攻擊并非實(shí)戰(zhàn)攻擊，可能存在測試性攻擊;或者是可能因?yàn)楣�擊者攻陷服�?wù)器后并未立刻進(jìn)行投毒操作，而是留作“庫存”。

　　縱觀360安全大腦發(fā)布的《2020年6月勒索病毒疫情分析》報(bào)告，層出不窮的新型勒索病毒，無論是傳播能力還是破壞效果都堪稱驚人，這無疑將為企業(yè)及個(gè)人用戶帶來了難以預(yù)估的安全威脅。

　　為多維抵御各類勒索病毒攻擊，360安全大腦已采取了多項(xiàng)防治措施。截止2019年11月，在360安全大腦強(qiáng)勢賦能下，360解密大師作為全球規(guī)模最大、最有效的勒索病毒解密工具，累計(jì)支持解密勒索病毒超過320種，服務(wù)用戶機(jī)器超26000臺(tái)，解密文件近8500萬次，挽回?fù)p失超5.47億元。

　　在2020年6月中，360解密大師再度新增了對(duì)Cobra(后綴為cobra)、FileCry(后綴為filecry)、YourFilesEncrypted (后綴為flybox)以及Sodinokibi(版本較多，目前只支持其中一個(gè)版本)勒索病毒家族的解密支持。從其整體解密統(tǒng)計(jì)數(shù)據(jù)看，當(dāng)月解密量最大的是GandCrab，而使用解密大師解密文件的用戶數(shù)量最高的則仍是Stop家族的中招設(shè)備。

　　為有效做好勒索疫情防控，360安全大腦特別提醒各位用戶需注意以下幾點(diǎn)，全面提升勒索病毒防御水平：

　　1、及時(shí)前往weishi.360.cn下載安裝360安全衛(wèi)士，全面攔截各類勒索病毒攻擊;

　　2、中招用戶應(yīng)立即前往lesuobingdu.360.cn確認(rèn)所中勒索病毒類型，并通過360安全衛(wèi)士 “功能大全”窗口，搜索安裝“360解密大師”后，點(diǎn)擊“立即掃描”恢復(fù)被加密文件。