存儲域
數(shù)據(jù)庫加密 諾亞防勒索訪問域
數(shù)據(jù)庫防水壩 數(shù)據(jù)庫防火墻 數(shù)據(jù)庫安全審計 動態(tài)脫敏流動域
靜態(tài)脫敏 數(shù)據(jù)水印 API審計 API防控 醫(yī)療防統(tǒng)方運維服務
數(shù)據(jù)庫運維服務 中間件運維服務 國產(chǎn)信創(chuàng)改造服務 駐場運維服務 供數(shù)服務安全咨詢服務
數(shù)據(jù)出境安全治理服務 數(shù)據(jù)安全能力評估認證服務 數(shù)據(jù)安全風險評估服務 數(shù)據(jù)安全治理咨詢服務 數(shù)據(jù)分類分級咨詢服務 個人信息風險評估服務 數(shù)據(jù)安全檢查服務美創(chuàng)AI災備專家:引領災備領域邁入“智能化”時代
2025-12-15
熱點觀察|美創(chuàng)科技丁斐:數(shù)據(jù)安全 × 價值共創(chuàng)?可信數(shù)據(jù)空間的 “雙向奔赴”
2025-12-03
美創(chuàng)科技高校供應鏈數(shù)據(jù)安全方案斬獲 2025 年度 “金智獎”
2025-12-03
每周安全速遞3?? | ShinyHunters 開發(fā)新型勒索軟件ShinySp1d3r
2025-11-21
數(shù)安標桿|美創(chuàng)榮登2025中國準獨角獸企業(yè)100強?
2025-11-17
本月,美創(chuàng)安全實驗室威脅平臺監(jiān)測到多起勒索病毒攻擊事件,發(fā)現(xiàn)勒索病毒的感染量比上個月有所增長,主要活動的家族有Phobos、TellYouThePass、BeijingCrypt等。
本月國內(nèi)遭受勒索病毒攻擊的地區(qū)分布圖如下所示,數(shù)字經(jīng)濟發(fā)達地區(qū)仍是攻擊的主要對象。
從行業(yè)劃分來看,數(shù)據(jù)價值較高的教育、互聯(lián)網(wǎng)、醫(yī)療、制造業(yè)等行業(yè)為勒索病毒攻擊的主要目標。
下圖是美創(chuàng)第59號實驗室對勒索病毒監(jiān)測后所計算出的5月份勒索病毒家族流行度占比分布圖。Phobos家族占比21%居首位,TellYouThePass家族占比16%位居第二,BeiJingCrypt家族以12%位居第三,均為過往的流行家族。
勒索病毒傳播方式
下圖為勒索病毒傳播的各種方式的占比情況。根據(jù)統(tǒng)計可以看出,勒索病毒的主要攻擊方式依然以遠程桌面入侵為主,其次利用網(wǎng)站掛馬和高危漏洞等方式傳播,整體攻擊方式呈現(xiàn)多元化的特征。
Phobos勒索軟件從2019年開始在全球流行,并一直保持著很高的活躍度,并常年占據(jù)勒索病毒榜單前三,其不斷推出新變種,并頻繁通過RDP暴破、釣魚郵件等方式對企業(yè)單位及個人用戶進行攻擊,使受害者遭受數(shù)據(jù)財產(chǎn)的嚴重損失,影響十分惡劣。
Tellyouthepass勒索病毒出現(xiàn)于2020年7月,主要以集成各種漏洞利用工具來進行傳播,曾經(jīng)利用過MS16-032內(nèi)核提權(quán)、“永恒之藍”等漏洞,在2021年底Apache Log4j2組件漏洞曝光后,迅速集成了武器庫,發(fā)動了大批量的攻擊。
BeijingCrypt勒索家族最早出現(xiàn)于2020年7月初,主要通過暴力破解遠程桌面口令后手動投毒。該病毒早期傳播因修改文件后綴為“.beijing”而被命名為BeijingCrypt,之后出現(xiàn)的變種會將被加密文件后綴修改為“.520”和“.360”。攻擊者向受害者索要4500美元到5000美元不等的等價虛擬貨幣作為贖金。
位于浙江的某企業(yè)稱其在遭到勒索病毒攻擊。該企業(yè)在發(fā)現(xiàn)攻擊后關閉了其所有IT系統(tǒng),以防止攻擊蔓延。經(jīng)過排查,被感染的機器中的所有文件都被添加了“.halo”后綴,并且已無法正常打開,通過后綴可確定該病毒為BeijingCrypt勒索病毒家族旗下的病毒變種。
在線點評:
1.勒索病毒通常通過電子郵件、惡意軟件下載、漏洞利用和惡意廣告等方式傳播。
2.BeijingCrypt在完成數(shù)據(jù)加密后,會顯示一個勒索信息,要求用戶支付一定數(shù)量的加密貨幣才能恢復文件。
本月,陜西某企業(yè)宣布遭遇網(wǎng)絡攻擊。在網(wǎng)絡攻擊期間,黑客設法獲得對內(nèi)部域管理的控制權(quán)后,在多臺服務器上安裝了Mallox勒索軟件,并添加了“.mallox”擴展名。該公司內(nèi)部消息人士稱,此次攻擊影響了部分服務的運行。
在線點評:
2.Mallox 勒索病毒混合應用了Chacha20和AES-128算法,可在短時間內(nèi)加密主機中的文件。
TellYouThePass勒索軟件團伙攻擊國內(nèi)某企業(yè),并要求提供高額的贖金以解密文件。攻擊者對多臺服務器進行了加密,其中包括了一臺重要的文件服務器。TellYouThePass勒索軟件會將數(shù)據(jù)庫、文檔等重要文件進行加密,并添加“.locked1”后綴,嚴重危害業(yè)務安全。
在線點評:
2.Tellyouthepass 勒索病毒從 2020 年開始活躍,早期利用永恒之藍漏洞攻擊套件擴散傳播,之后通過 Log4j2 漏洞、OA 漏洞等進行大面積掃描擴散傳播,針對 Windows 和 Linux 實現(xiàn)雙平臺勒索,該家族多次活躍直接導致國內(nèi)多企業(yè)大面積業(yè)務停擺。
(一)隔離中招主機
(二)排查業(yè)務系統(tǒng)
在已經(jīng)隔離被感染主機后,應對局域網(wǎng)內(nèi)的其他機器進行排查,檢查核心業(yè)務系統(tǒng)是否受到影響,生產(chǎn)線是否受到影響,并檢查備份系統(tǒng)是否被加密等,以確定感染的范圍。
(三)聯(lián)系專業(yè)人員
面對嚴峻的勒索病毒威脅態(tài)勢,美創(chuàng)第59號實驗室提醒廣大用戶,勒索病毒以防為主,注意日常防范措施,以盡可能免受勒索病毒感染:
① 及時給辦公終端和服務器打補丁,修復漏洞,包括操作系統(tǒng)以及第三方應用的補丁,防止攻擊者通過漏洞入侵系統(tǒng)。
② 盡量關閉不必要的端口,如139、445、3389等端口。如果不使用,可直接關閉高危端口,降低被漏洞攻擊的風險。
③ 不對外提供服務的設備不要暴露于公網(wǎng)之上,對外提供服務的系統(tǒng),應保持較低權(quán)限。
④ 企業(yè)用戶應采用高強度且無規(guī)律的密碼來登錄辦公系統(tǒng)或服務器,要求包括數(shù)字、大小寫字母、符號,且長度至少為8位的密碼,并定期更換口令。
⑤ 數(shù)據(jù)備份保護,對關鍵數(shù)據(jù)和業(yè)務系統(tǒng)做備份,如離線備份,異地備份,云備份等, 避免因為數(shù)據(jù)丟失、被加密等造成業(yè)務停擺,甚至被迫向攻擊者妥協(xié)。
⑥ 敏感數(shù)據(jù)隔離,對敏感業(yè)務及其相關數(shù)據(jù)做好網(wǎng)絡隔離。避免雙重勒索病毒在入侵后輕易竊取到敏感數(shù)據(jù),對公司業(yè)務和機密信息造成重大威脅。
⑦ 盡量關閉不必要的文件共享。
⑧ 提高安全運維人員職業(yè)素養(yǎng),定期進行木馬病毒查殺。
⑨ 部署美創(chuàng)數(shù)據(jù)庫防火墻,可專門針對RushQL數(shù)據(jù)庫勒索病毒進行防護。
⑩ 安裝諾亞防勒索軟件,防御未知勒索病毒。
為了更好地應對已知或未知勒索病毒的威脅,美創(chuàng)通過對大量勒索病毒的分析,基于零信任、守白知黑原則,創(chuàng)造性地研究出針對勒索病毒的終端產(chǎn)品【諾亞防勒索系統(tǒng)】。諾亞防勒索在不關心漏洞傳播方式的情況下,可防護任何已知或未知的勒索病毒。以下為諾亞防勒索針對勒索病毒的防護效果。
美創(chuàng)諾亞防勒索可通過服務端統(tǒng)一下發(fā)策略并更新。默認策略可保護office文檔【如想保護數(shù)據(jù)庫文件可通過添加策略一鍵保護】。
無諾亞防勒索防護的情況下:
在test目錄下,添加以下文件,若服務器中了勒索病毒,該文件被加密,增加統(tǒng)一的異常后綴,并且無法正常打開。
開啟諾亞防勒索的情況下:
雙擊執(zhí)行病毒文件,當勒索病毒嘗試加密被保護文件,即test目錄下的文件時,諾亞防勒索提出警告并攔截該行為。
查看系統(tǒng)上被測試的文件,可被正常打開,成功防護惡意軟件對被保護文件的加密行為。
開啟堡壘模式的情況下:
為保護系統(tǒng)全部文件,可一鍵開啟諾亞防勒索的堡壘模式。堡壘模式主要針對亞終端,例如ATM機,ATM機的終端基本不太會更新,那么堡壘模式提供一種機制:任何開啟堡壘模式之后再進入終端的可執(zhí)行文件都將被阻止運行,從而實現(xiàn)諾亞防勒索的最強防護模式。
運行在堡壘模式下,執(zhí)行該病毒,立刻被移除到隔離區(qū),因此可阻止任何已知或未知勒索病毒的執(zhí)行。
官方訂閱號
官方服務號
第59號
浙公網(wǎng)安備 33010502006954號 
