勒索病毒传播至今，360互联网安全中心已累计收到上万勒索病毒感染求助。勒索病毒的蔓延，给企业和个人都带来了严重的安全威胁。360安全大脑针对勒索病毒进行了全方位的监控与防御。本月新增WastedLocker、Zbw、FonixCrypter、TapPif、SunCrypt等勒索病毒家族。

360解密大师在2020年8月新增对Pojie(修改后缀为52pojie、itunes)勒索病毒的解密支持。

感染数据分析

分析本月勒索病毒家族占比：phobos家族占比22%居首位；其次是占比13.6%的Crysis；GlobeImposter家族以占比12%位居第三。本月新出现勒索并未有大量传播态势。上个月新出现的BeijingCrypt本月占比虽仍位居第六，但在本月的传播呈现下降态势。

图1. 2020年8月勒索病毒家族占比

从被感染系统占比看：本月位居前三的系统是：Windows 7、Windows10和Windows 2012。和上个月相同，本次统计的系统占比数据在原有的反勒索服务数据上新增了交流群反馈数据。之后报告默认为两个数据来源，不再单独标注。

图2. 2020年8月被感染系统占比

2020年8月被感染系统中桌面系统和服务器系统占比显示，受攻击的主要系统仍是个人桌面系统。

图3. 2020年8月被感染系统占比

勒索病毒疫情分析Pojie勒索病毒家族

这款名为Pojie的勒索病毒，最早在2020年7月份利用"协助脱壳"、"有偿修改代码"等诱骗用户下载并植入勒索病毒进行传播。在本月，该勒索病毒传播者利用酷Q机器人停止支持这一事件，将勒索病毒伪装成本地版酷Q进行传播。用户一旦运行，文件将被加密，同时后缀将会被修改为itunes.

图4. 被Pojie勒索病毒加密的文件

360解密大师在捕获到该勒索病毒后便成功破解该勒索病毒，并提供解密支持。受害者可使用解密大师对文件进行解密。

图5. 解密大师解密被Pojie加密的文件

WastedLocker勒索病毒家族

WastedLocker勒索病毒最早是在2020年4月份开始出现，该勒索病毒主要将具有高价值的企业作为攻击目标。7月底该勒索病毒由于成功攻击Garmin公司,导致该公司关闭两天生产线而引起广泛关注。该事件一直持续到8月初才告一段落，但是WastedLocker的传播仍在继续。

据悉该勒索病毒背后是由俄罗斯的EvilCorp网络犯罪组织制作并传播。不过在众多针对的企业的勒索病毒中，WastedLocker似乎是少有的不公布受害者数据进行二次威胁的勒索病毒。该犯罪组织在收取赎金时，一般在50万美元到数千万美元之间。勒索病毒运行后会修改文件后缀为garminwasted，并为每个文件生成一个勒索提示信息。

图5. 被WastedLocker加密的文件

Stop勒索病毒家族

Stop勒索病毒是一个长期活跃的勒索病毒家族，在本月，"歪果仁研究协会"由于该勒索病毒影响而导致将近8个月的视频素材全部被加密。该勒索病毒传播至今，主要传播渠道一直是通过伪装成激活工具或者破解软件诱导用户下载，其中由于运行"Windows激活工具"而中招的最多，此次"歪果仁研究协会"最早也是被该家族攻击。

图6. "歪果仁研究协会"被勒索

通过对该事件的跟踪，发现"歪果仁研究协会"在后续的处理过程中，由于处理不当导致其文件不仅被Stop勒索病毒加密，还被Crysis、Lockbit以及BigLock勒索病毒加密，从收到的被加密文件看，其文件被加密次数从8次到12次不等，还有可能被更多次加密。针对此类事件需要再次提醒用户，若中招请参考本文中总结中的推荐处理流程进行处理。避免再次受到伤害。

图7. "歪果仁协"会被就加密文件

黑客信息披露

以下是本月搜集到的黑客邮箱信息：

qa458@ya.ru

abc@countermail.com

encryptboys@tutanota.com

d7516@ya.ru

de_cryption@tuta.io

FileFixer@ProtonMail.com

zd588@ya.ru

telegram_@spacedatax

LaoXinWon@protonmail.com

ncov@cock.li

Decoding@zimbabwe.su

unl0ckerpkx@tutanota.com

week1@tuta.io

{colin_farel@aol.com

scarry38@horsefucker.org

tcprx@cock.li

datalost@foxmail.com

inc_evilsi@protonmail.ch

ucos2@elude.in

naqohiky@firemail.cc

decoding_service@aol.com

ucos2@elude.im

miclejaps@msgden.net

decoderma@protonmail.com

zacapa@cock.li

mylifeisfear@cock.li

VoidFiles@protonmail.com

OneWay@cock.li

sleepme134@gmail.com

SoporteVoid@tutanota.com

dzec1@mail.com

Trojan.Generic@ML.92

Hichkasam@protonmail.com

zacapa@tuta.io

SupportVoid@elude.in

protohelp@protonmail.com

Mayth24@aol.xom

makbigfast@india.com

ambrosiaa@protonmail.com

beijing@aol.com

jack-daniels22@bk.ru

getscoin2@protonmail.com

info@decrypt.ws

RihabYaman@india.com

AdamBrown89@tutamail.com

zuzya@india.com

inter7a@tutanota.com

AdamBrown89@criptext.com

Jackondra@Ya.Ru

Jackondra@Bigmir.Net

freelockermail@gmail.com

jes_cir@list.ru

avalona.toga@aol.com

jj.greemsy@mailfence.com

Mayth24@aol.com

ambrosiaa@bigmir.net

greemsy.jj@protonmail.ch

Mayth24@tuta.io

protomolecule@gmx.us

help.me24@protonmail.com

H911X@yahoo.com

File-Help1@Yandex.ru

notgoodnews@tutanota.com

decrypt@files.mn

0x69x@protonmail.com

geneve010@protonmail.com

mrromber@cock.li

Backdata@zimbabwe.su

geneve020@protonmail.com

safronov@cock.li

9869420@tutanota.com

rsaencrypt@protonmail.ch

JustBTC@elude.in

FridaFarko@yahoo.com

fast_helpassia777@aol.com

ghostmax@cock.li

Hubble77@tutanota.com

worcservice@protonmail.ch

evandos@email.cz

creampie@ctemplar.com

stevenxx134@gmail.com.exe

data97@india.com

fastwindGlobe@mail.ee

madeinussr@protonmail.com

xitreu@india.com

qhrghghk@tutanota.com

Steven77xx@protonmail.com

HarmaENC@Cock.li

mrromber@tutanota.com

Pentagon11@protonmail.com

akzhq808@cock.li

stevenxx134@gmail.com

LizardBkup@protonmail.com

sales@onserve.ca

protomolecule@gmx.com

mortalis_certamen@aol.com

decrypt20@vpn.tg

support@bitmessage.ch

mortalis_certamen@zoho.eu

helpme24@tuta.io

paymantsystem@cock.li

ctb-decrypt@bitmessage.ch

xmmh@tutamail.com

johncastle@msgsafe.io

decryptallfiles@india.com

Help244@Yandex.ru

decrypt20@firemail.cc

omegawatch@protonmail.com

zuzyamail@aol.com

enabledecrypt@aol.com

zacapa2020@protonmail.com

scott.clark@bk.ru

Zagrec@protonmail.com

newhelper24@protonmail.ch

votrefile@tuta.io

anticrypt2020@aol.com

Lianaytman@protonmail.com

norahghnq@gmx.com

res_reserve@india.com

decrypt@fasthelpassia.com

zyrkal@airmail.cc

decryption@zimbabwe.su

FridaFarko@protonmail.com

newhelper@cock.li

time2relax@firemail.cc

helpdiamond@protonmail.com

Crypt@zimbabwe.su

stevenjoker@msgden.net

decoderma@tutanota.com.exe

xmrlocker@goat.si

china_jm@protonmail.ch

coronavirus19@tutanota.com

Logan8833@aol.com

decoderma@tutanota.com

DECRPToffice@gmail.com.exe

cryptlive@aol.com

VoidFiles@tutanota.com

frogo_my_frend@freemail.hu

res_sup@india.com

DECRPToffice@gmail.com

encrypted2017@tutanota.com

steven77xx@mail.ru

natali_bond90@inbox.ru

encryptfile@protonmail.com

hosdecoder@aol.com

contatomaktub@email.tg

nefartanulo@protonmail.com

Elmershawn@aol.com

bitlander@armormail.ne

getthefiles@protonmail.com

happydaayz@aol.com

darkmask@mailfence.com

mr.crypteur@protonmail.com

milleni5000@qq.com

gnidhyg@protonmail.com

aam_sysadmin@protonmail.com

keyinfo24@mail.com

Mayth24@protonmail.com

emergencychina@tutanota.com

infokey24@mail.com

JustBTC@ProtonMail.com

decrypterfile@mailfence.com

BobGreen85@aol.com

Malakot@protonmail.com

BrillianceBK@protonmail.com

xatixxatix@mail.fr

getthefiles@airmail.cc

clark.rotband@mailfence.com

Greenarrow@cock.li

doltafukno@sina.com.cn

Murdochjoumo@protonmail.com

myfiles@msgsafe.io

res_sup@computer4u.com

fastwindGlobe@protonmail.com

myfiles@airmail.cc

tsai.shen@mailfence.com

missdecryptor@protonmail.com

raboly@firemail.cc

BobGreen85@criptext.com

decrypterfile@protonmail.com

ranbarron88@qq.com

pianist6@protonmail.com

FushenKingdee@protonmail.com

squadhack@email.tg

ftsbk24h@protonmail.com

DharmaParrack@protonmail.com

geri_glenn@aol.com

qhrghghk@protonmail.com

Jason897.help@protonmail.com

FridaFarko@aol.com

infantbernarr@yahoo.com

Ricardogurtress@tutanota.com

sealocker@daum.net

helling.ramon@yahoo.com

MasterFile001@protonmail.com

r4ns0m@tutanota.com

xtredboy@protonmail.com

itunes_decrypt@protonmail.com

openpgp@foxmail.com

scarry5@horsefucker.org

cashdashsentme@protonmail.com

helpbackup@email.tg

logiteam@protonmail.com

JohnCastle1000@protonmail.com

yourbackup@email.tg

colderman@mailfence.com

mccreight.ellery@tutanota.com

ventormi@airmail.cc

USDATAdecrypt@gmail.com

ragnarok_master@protonmail.com

colin_farel@aol.com

djangounchained@cock.li

djang0unchain3d@protonmail.com

mecybaki@firemail.c

support-1@bitmessage.ch

Cobra_Locker2.0@protonmail.com

black.mirror@qq.com

yakomoko@protonmail.com

chinadecrypt@fasthelpassia.com

DECRPT@tutanota.com

supermetasploit@cock.li

wyattpettigrew8922555@mail.com

strongman@india.com

supermetasploit@aol.com

chec1kyourf1les@protonmail.com

k.matroskin@aol.com

recoverydata@qbmail.biz

emergency911service@outlook.com

denis_help@inbox.ru

BobGreen85@tutanota.com

hacker_decryption@protonmail.ch

File-Help@India.Com

teamdecrypt@disroot.org

decrypterfile@mailfence.com.exe

qirapoo@firemail.cc

MyFiles1@ProtonMail.com

decoding_service@protonmail.com

AdamBrown89@aol.com

anonymous@academail.net

guaranteedsupport@protonmail.com

encryptfile@cock.li

savefile365@nuke.africa

Encryptedxtredboy@protonmail.com

brelox777@gmail.com

xmrlocker@protonmail.ch

officialintuitsoftware@gmail.com

bufalo@boximail.com

txdot911@protonmail.com

SilentDeathDecryptor@protonmail.com

表1. 黑客邮箱

系统安全防护数据分析

通过将2020年8月与7月的数据进行对比发现，本月各个系统占比变化均不大，位居前三的系统仍是Windows 7、Windows 10和Windows 8。

图8. 2020年8月被弱口令攻击系统占比图

以下是对2020年8月被攻击系统所属IP采样制作的地域分布图，与之前几个月采集到的数据进行对比，地区排名和占比变化都不大。数字经济发达地区仍是攻击的主要对象。

图9. 2020年8月弱口令攻击区域图

通过观察2020年8月弱口令攻击态势发现，RDP弱口令和MySQL弱口令攻击在本月的攻击态势整体无较大波动。MSSQL在本月有一次上涨。

图10. 2020年8月弱口令攻击态势图

MSSQL投毒拦截态势和以往几个月一样有一定的波动，但并无较大幅度的上涨或者下跌。

图11. 2020年MSSQL投毒拦截态势图

勒索病毒关键词

该数据来自lesuobingdu.360.cn的搜索统计。（不包括WannCry、AllCry、TeslaCrypt、Satan、Kraken、Jsworm、X3m、WannaRen以及GandCrab几个家族）

· devos：属于phobos勒索病毒家族，由于被加密文件后缀会被修改为devos而成为关键词。该勒索病毒主要通过暴力破解远程桌面密码，拿到密码后手动投毒传播。

· eking：同devos。

· beijing: 属于BeijingCrypt勒索病毒家族，由于被加密文件后缀会被修改为beijing而成为关键词。该勒索病毒主要通过暴力破解远程桌面密码，拿到密码后手动投毒传播。

· boop:属于Stop勒索病毒家族，由于被加密文件后缀会被修改为boop而成为关键词。该勒索病毒主要通过伪装成激活工具或者破解软件诱导用户下载进行传播。

· C1H：属于GlobeImposter勒索病毒家族，由于被加密文件后缀会被修改为C1H而成为关键词。该勒索病毒主要通过暴力破解远程桌面密码，拿到密码后手动投毒传播。

· C4H:同C1H。

· Readinstructions：属于MedusaLocker勒索病毒家族，由于被加密文件后缀会被修改为Readinstruction而成为关键词。该勒索病毒主要通过暴力破解远程桌面密码，拿到密码后手动投毒传播。

· pgp: 属于Crysis勒索病毒家族。由于被加密文件后缀会被修改为pgp而成为关键词。该勒索病毒主要通过暴力破解远程桌面密码，拿到密码后手动投毒传播。

· roger:同pgp。

· dewar:同devos。

图12. 2020年8月关键词TOP10

解密大师

从解密大师本月解密数据看，本月解密量最大的是GandCrab，其次是Stop。使用解密大师解密文件的用户数量最高的仍是Stop家族的中招设备，其次则是Crysis家族的中招设备。

图13. 2020年解密大师解密情况图

总结

针对服务器的勒索病毒攻击依然是当下勒索病毒的一个主要方向，企业需要加强自身的信息安全管理能力——尤其是弱口令、漏洞、文件共享和远程桌面的管理，以应对勒索病毒的威胁，在此我们给各位管理员一些建议：

发现中勒索病毒后的正确处理流程：1.发现中毒机器应立即关闭其网络和该计算机。关闭网络能阻止勒索病毒在内网横向传播，关闭计算机能及时阻止勒索病毒继续加密文件。2.联系安全厂商，对内部网络进行排查处理。3.公司内部所有机器口令均应更换，你无法确定黑客掌握了内部多少机器的口令。

后续安全防护建议：

1. 多台机器，不要使用相同的账号和口令

2. 登录口令要有足够的长度和复杂性，并定期更换登录口令

3. 重要资料的共享文件夹应设置访问权限控制，并进行定期备份

4. 定期检测系统和软件中的安全漏洞，及时打上补丁。

5. 定期到服务器检查是否存在异常。查看范围包括：

(1) 是否有新增账户

(2) Guest是否被启用

(3) Windows系统日志是否存在异常

(4) 杀毒软件是否存在异常拦截情况

6. 安装安全防护软件，并确保其正常运行。

7. 从正规渠道下载安装软件。

8. 对不熟悉的软件，如果已经被杀毒软件拦截查杀，不要添加信任继续运行。

此外，无论是企业受害者还是个人受害者，都不建议支付赎金。支付赎金不仅变相鼓励了勒索攻击行为，而且解密的过程还可能会带来新的安全风险。

常见的勒索病毒，很多只加密文件头部数据，对于某些类型的文件（如数据库文件），可以尝试通过数据修复手段来挽回部分损失。如果不得不支付赎金的话，可以尝试和黑客协商来降低赎金价格，同时在协商过程中要避免暴露自己真实身份信息和紧急程度，以免黑客漫天要价。由于第三方均是通过联系黑客购买密钥解密文件，所以尽量避免咨询太多第三方（咨询太多第三方相当于咨询多次黑客，会导致黑客涨价。）