勒索病毒的蔓延，给企业和个人都带来了严重的安全威胁。360安全大脑针对勒索病毒进行了全方位的监控与防御。从本月的数据来看，反勒索服务的反馈量有小幅度下降，Stop勒索病毒最为活跃，新增多个变种。

360解密大师在本月新增了对GandCrabV5.2、Aurora（后缀为infected）、Stop（对目前已知变种实现了一键解密支持)，Nemesis（后缀为e5xjq、YOUR_LAST_CHANCE）、Crypto, fake-GlobeImpsoter（使用类似GlobeImpsoter勒索信息的虚假GlobeImpsoter勒索病毒）六个勒索病毒家族的解密支持。

感染数据分析

相比上月(五月)，本月反勒索服务的反馈量小幅度下降。但是收到多起企业内部集中感染勒索病毒的反馈。例如Aurora勒索病毒导致一家公司10台设备的文件和数据全部被感染，而wesker勒索病毒则让另一家公司内部约200多台电脑的文件全被加密。

图1. 近12个月勒索病毒反馈形势

从反馈形势来看：本月初的反馈量较大，而这正是GandCrab宣布退出而Sodinokibi正式接盘的转折期，所以这段时间的反馈主要来自Sodinokibi勒索病毒家族。

图2. 6月份勒索病毒反馈形势图

对本月勒索病毒家族占比分析看： GlobeImposter家族占比28.09%居首位，其次是占比为19.01%的Sodinokibi家族以及占比为8.99%的Phobos勒索病毒家族。

图3. 2019年6月勒索病毒家族占比

从被感染系统占比看：本月占比居前三的仍是Windows 7、Windows 10和Windows Server 2008，但是各自占比都有大幅度的变化。其中变化最大的为Windows 7——从5月的47.89%下降到本月的仅有29.47%。

图4. 2019年6月被感染系统占比

对比2019年5月与6月被感染系统情况，本月服务器系统占比有较大上升。服务器系统占比从19.01%上升到30.53%。本月被攻陷系统中更多的是服务器，这与本月几个活跃的勒索病毒家族的主要传播渠道紧密相关。

图5. 2019年5月和6月被感染系统种类占比对比图

勒索病毒疫情分析

Sodinokibi

360安全大脑监控数据显示，本月Sodinokibi勒索病毒主要通过垃圾邮件进行传播，伪装成DHL向用户发送繁体中文邮件，提示用户的包裹出现无限期延误，需要用户查看邮件附件中的“文档”后进行联络。但实际该压缩包内是伪装成文档的勒索病毒。

图6. Sodinokibi传播邮件

同时我们还监控到，通过漏洞利用、VNC爆破以及其他渠道传播的Sodinokibi，则主要集中在5月末，在6月份传播量有较为明显下降。

图7. Sodinokibi传播形势图

Tellyouthepass

本月360安全大脑监控到一款使用Go语言编写的勒索病毒正在攻击国内企业。该勒索病毒的传播者利用“永恒之蓝”漏洞入侵企业中的一台计算机并利用这台计算机作为跳板入侵企业中的其他计算机。在成功加密文件后，向用户索要0.2个比特币做为解密文件的赎金。

图8. Tellyouthepass传播流程图

Crypto

Crypto勒索病毒为本月新出现的勒索病毒，该勒索病毒修改文件后缀为crypto。从受害者提供的日志分析，该勒索病毒目前主要的传播渠道为爆破远程桌面。传播者拿到口令后进行手动投毒。由于该勒索病毒将密钥加密后存放在了本地的勒索提示信息中，360解密大师在第一时间更新了对该勒索病毒的解密支持。

图9. Crypto解密图

Nemesis

经360安全大脑分析，Nemesis被鉴定为和X3m为同一个家族，且使用的加密算法也完全相同。同时在对Nemesis勒索病毒加密程序进行分析时发现，该勒索病毒在加密文件时会释放出一个带有密钥的temp000000.txt。但是在大部分的受害者机器上并找不到这个文件，只能在Windows系统中的Recnet目录下看到一个temp00000.txt的lnk文件（Recent目录保存了最近使用的文档的快捷方式，方便再次访问）。说明该文件肯定存在过系统中，只是在后期被黑客给删除掉了。建议用户中毒后的第一时间使用数据恢复工具，看是否能够找回temp000000.txt文件。

图10. Nemesis被加密文件和勒索提示信息

Stop

Stop勒索病毒是本月变种最多的勒索病毒，新增多个后缀，例如：besub、mogera、neras、truke、litar、rezuc等等。该勒索病毒的传播一直是通过伪装成激活工具或者破解软件进行传播。被加密文件内容的末尾如果包含下图中圈出的字符串，那么说明中的是Stop勒索病毒，可尝试使用360解密大师进行解密。

图11. 被Stop加密后的标记

黑客信息披露

以下是2019年6月份以来，黑客在使用的勒索病毒联系邮箱。

服务器防护数据分析

通过对2019年4月份和5月份的数据进行对比分析发现，操作系统占比变动不大，在小范围内增减。

图12.2019年6月被攻击系统占比

以下是对2019年6月被攻击 系统所属IP采样制作的地域分部图，与之前几个月采集到的数据进行对比，地区排名和占比变化都不大。信息产业发达地区仍是被攻击的主要对象。

图13.2019年6月被攻击地域分部图

通过对5月和6月弱口令攻击数据进行分析，两月的数据相对较为稳定，未发生大规模弱口令攻击。在6月5号到6月9号之间还曾出现过一次短暂的攻击量下降。

图14.2019年6月弱口令攻击形势

勒索病毒关键词

该数据来源lesuobingdu.360.cn的搜索统计。（由于WannaCry、AllCry、TeslaCrypt、Satan以及kraken几个家族在过去曾出现过大规模爆发，被一般用户检索次数较多，故在统计中排除了这几个家族的检索情况）

对本月用户搜索勒索病毒关键词进行统计，检索量较大的关键词如下：

l Actin:属于phobos勒索病毒家族的一个变种，由于被加密文件后缀会被修改为actin而成为关键词，该勒索病毒家族主要通过爆破远程桌面，手动投毒传播。

l Supporthelpgood：属于GlobeImpsoter勒索病毒家族的一个变种，由于被加密文件后缀会被修改为Supporthelpgood而成为关键词，该勒索病毒家族主要通过爆破远程桌面，手动投毒传播。

l Firex3m:属于X3m勒索病毒家族的一个变种，由于被加密文件后缀会被修改为Firex3m而成为关键词，如果能在系统中找到temp000000.txt文档，可以使用360解密大师进行解密。

l Your_last_chance：为x3m变种，情况同Firex3m。

l Pig4444：同Supporthelpgood

l [email protected]:同actin，不同点在于该关键词为邮箱，是黑客留下用来沟通解密所用。

l Help：属于GlobeImpsoter勒索病毒家族的一个变种，情况同supporthelpgood

l 2k19sys：属于Paradise勒索病毒家族的 一个变种，该勒索病毒主要通过挂马网站进行传播。

l [email protected]：属于GUID勒索病毒家族的一个变种，该邮箱为黑客留在受害者本地的勒索提示信息文档中，该勒索病毒家族主要通过爆破远程桌面，手动投毒传播。

l Locked:属于Tellyouthepass勒索病毒家族的一个变种，该勒索病毒主要通过“永恒之蓝”漏洞进行传播。

图15.2019年6月关键词搜索TOP10

360解密大师

从360解密大师本月的解密统计数据看，本月解密量最大为Plantery,其次是本月最新支持的GandCrab V5.2。同时还发现有大量的GandCrab v5.0.4的解密。

图16.2019年6月解密文件TOP10

总结

针对服务器的勒索病毒攻击依然是当下勒索病毒的一个主要方向，企业需要加强自身的信息安全管理能力——尤其是弱口令、漏洞、文件共享和远程桌面的管理，以应对勒索病毒的威胁，在此我们给各位管理员一些建议：

1. 多台机器，不要使用相同的账号和口令

2. 登录口令要有足够的长度和复杂性，并定期更换登录口令

3. 重要资料的共享文件夹应设置访问权限控制，并进行定期备份

4. 定期检测系统和软件中的安全漏洞，及时打上补丁。

5. 定期到服务器检查是否存在异常。查看范围包括：

a) 是否有新增账户

b) Guest是否被启用

c) Windows系统日志是否存在异常

d) 杀毒软件是否存在异常拦截情况

而对于本月又重新崛起的这对个人电脑发起攻击的勒索病毒，建议广大用户：

1. 安装安全防护软件，并确保其正常运行。

2. 从正规渠道下载安装软件。

3. 对不熟悉的软件，如果已经被杀毒软件拦截查杀，不要添加信任继续运行。