2018年7-8月勒索病毒月报

0x1 概况

2018年7-8月，勒索病毒继上半年以来，呈持续活跃态势。此外，相对于7月份，8月份勒索病毒的传播趋势得到进一步强化。

从被勒索攻击的地域上看，被攻击的地域主要有广东、江苏、北京、浙江等地。

从7-8月勒索病毒家族分布上看，针对服务器攻击的GlobeImposter和Crysis依然是最活跃的勒索病毒家族。撒网式水坑攻击依然是GandCrab勒索病毒的主要传播方式，此外腾讯智慧安全在7月份还新发现了GandCrab通过RDP爆破远程入侵的案例。

进入8月下旬以来，GlobeImposter勒索病毒迎来新一轮爆发。从端口爆破趋势上看，3389端口爆破在8月中下旬也出现明显上升趋势。

0x2 勒索病毒详情

腾讯智慧安全监测发现7-8月期间出现的新勒索病毒，主要有：

1. Crysis新变种cmb和combo

该两例变种加密文件后会分别将文件后缀改为.cmb和.combo，传播方式上依然通过RDP爆破，远程登录到受害者机器上传播。

2. Locky勒索病毒

7月28日，发现新勒索病毒会将文件后缀改为.locky。这让人想起曾经在全球范围内大肆传播的Locky勒索病毒家族。不过暂未发现本次捕获的Locky勒索病毒与Locky勒索病毒家族有所关联，推测是Locky家族的追随者。

3. Matrix勒索病毒变种ann

7月31日，发现Matrix勒索病毒变种ann。该变种加密文件后，会将后缀改为.ANN，使用的联系邮箱为AskHelp@protonmail.com。

4. Xiaoba变种XIAOBA 2.0 Ransomware

7月26日，发现国产勒索病毒Xiaoba变种XIAOBA 2.0 Ransomware，加密文件后会将文件后缀改为.XIAOBA，勒索0.5个比特币作为赎金。该变种通过伪装成Flash安装包传播。

5. “戏精”勒索病毒Xorist

7月9日，发现“戏精”勒索病毒Xorist，加密文件后会将文件名附加上长达149字符的后缀：

.DATA_IS_SAFE_YOU_NEED_TO_MAKE_THE_PAYMENT_IN_MAXIM_24_HOURS_OR_ALL_YOUR_FILES_WILL_BE_LOST_FOREVER_PLEASE_BE_REZONABLE_IS_NOT_A_JOKE_TIME_IS_LIMITED，提示需要在24小时内联系黑客缴纳赎金，否则会永久失去文档数据。

6. GandCrab勒索病毒

GandCrab勒索病毒，在7-8月也更新频繁。首先在7月初，发布了GandCrab4，加密文件后，后缀修改为.krab。传播渠道上，依然主要是水坑攻击。

此外，加密算法也换成了Salsa20，甚至还在代码中调侃了Salsa20算法的发明者Daniel J. Bernstein。

但是，在GandCrab随后的版本中，发现GandCrab会在用户机器上释放一个lock空文件文件，文件名为本地生成的ID，例如6F36E2CB.lock。当GandCrab发现机器上有该lock文件时，便不会加密。

对此，国外安全厂商AhnLab发布了GandCrab勒索病毒免疫工具。但该免疫工具仅针对GandCrab4.1.2有效，在随后的更新中便修复了这个问题。此外在GandCrab4.3里，勒索病毒作者加入了针对AhnLab安全软件的拒绝服务攻击的代码。

0x3 安全建议

针对个人用户：

1. 不要点击来源不明的邮件附件，当一个文件用docx（Word文档）作图标，却是EXE可执行文件时，显然属于恶意程序伪装，一定不要打开。

2. 不使用外挂、破解补丁等容易传播病毒的软件。

3. 保持腾讯电脑管家等安全软件的运行状态，及时修复系统漏洞，实时拦截病毒风险。

4. 推荐使用“文档守护者”对重要文件和数据（数据库等数据）进行定期备份。打开电脑管家【工具箱】-【文档】-【文档守护者】，全面保护文档安全。

针对企业用户：

1、 尽量关闭不必要的端口，如：445、135，139等，对3389端口可进行白名单配置，只允许白名单内的IP连接登录。

2、 尽量关闭不必要的文件共享，如有需要，请使用ACL和强密码保护来限制访问权限，禁用对共享文件夹的匿名访问。

3、 采用高强度的密码，避免使用弱口令密码，并定期更换密码。建议服务器密码使用高强度且无规律密码，并且强制要求每个服务器使用不同密码管理。

4、 对没有互联需求的服务器/工作站内部访问设置相应控制，避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器。

5、 对重要文件和数据（数据库等数据）进行定期非本地备份。

6、 在终端/服务器部署专业安全防护软件，Web服务器可考虑部署在腾讯云等具备专业安全防护能力的云服务。

7、建议全网安装御点终端安全管理系统（https://s.tencent.com/product/yd/index.html）。御点终端安全管理系统具备终端杀毒统一管控、修复漏洞统一管控，以及策略管控等全方位的安全管理功能，可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。

8、 推荐企业用户使用御界高级威胁检测系统检测未知威胁，通过对企业内外网边界处网络流量的分析，感知漏洞的利用和攻击。（详情链接：https://s.tencent.com/product/gjwxjc/index.html）

0x4 勒索自救

如有用户文档不幸被勒索病毒加密，可使用腾讯电脑管家勒索病毒搜索引擎寻找已知的自救流程，电脑管家搜索引擎覆盖收集国内外超过280余种勒索病毒家族的相关信息，可解密超过百余种勒索病毒。受害者被加密的文件，部分可以尝试解密。网址：https://guanjia.qq.com/pr/ls/