2022年8月勒索软件态势分析 勒索软件传播至今，360反勒索服务已累计接收到上万勒索软件感染求助。随着新型勒 索软件的快速蔓延，企业数据泄露风险不断上升，勒索金额在数百万到近亿美元的勒索案件 不断出现。勒索软件给企业和个人带来的影响范围越来越广，危害性也越来越大。360安全 大脑针对勒索软件进行了全方位的监测与防御，为需要帮助的用户提供360反勒索服务。 2022年8月，全球新增的活跃勒索软件家族有:Moishsa、Filerec、D0N#T(DonutLeaks)、 iceFire、CryptOn、Bl00dy、DAIXIN、VSOP等家族，其中D0N#T(DonutLeaks)、iceFire、 CryptOn、Bl00dy、DAIXIN、VSOP均为双重勒索勒索软件家族。其中VSOP勒索软件是Onyx 勒索软件演变而来，加密大于2MB文件时，将使用垃圾数据进行覆盖，因此被该家族加密的 文件，购买解密器也只能恢复小于等于2MB的文件。 以下是本月最值得关注热点： 一、TellYouThePass针对中小微企业用户发起大规模勒索攻击。 二、LockBit勒索软件家族采用三重勒索模式运营。 三、勒索软件买一赠一？新型勒索软件RoBaj还未传播先被感染。 四、Cisco遭阎罗王勒索软件攻击，2.8TB数据被窃取。 基于对360反勒索数据的分析研判，360政企安全集团高级威胁研究分析中心(CCTGA 勒索软件防范应对工作组成员）发布本报告。 感染数据分析 针对本月勒索软件受害者所中勒索软件家族进行统计，TellYouThePass家族占比 50.18%居首位，其次是占比10.73%的phobos，BeijingCrypt家族以5.45%位居第三。 本月TellYouThePass利用安全漏洞，对中小微企业发起攻击，短时间的大量传播导致 其占比超过了50%。TellYouThePass多次对国内用户发起攻击，善于利用各类nday漏洞， 发起快速攻击。对该家族应该提高警惕。 对本月受害者所使用的操作系统进行统计，位居前三的是：Windows10、WindowsServer 2012以及WindowsServer2008。 2022年8月被感染的系统中桌面系统和服务器系统占比显示，受攻击的系统类型仍以 桌面系统为主。与上个月相比，本月因突发事件影响，导致被勒索软件感染的服务器系统占 比上涨近18%。 勒索软件疫情分析 TellYouThePass针对中小微企业用户发起大规模勒索攻击 360安全大脑监测到，TellYouThePass勒索软件家族利用安全漏洞针对国内中小微企业 用户发起攻击，此次攻击从8月28日21时开始，一直持续到8月29日1时左右，短时间 内有较多设备被加密。被攻击设备中的大部分文件被加密，后缀被添加“.locked”扩展名，并留下勒索信息 READ_ME.html，内容为支付0.2比特币，并留下联系邮箱。通过与攻击者邮件沟通，对方能 够熟练使用中文，对该勒索病毒的分析显示，病毒依然沿用三层加密技术，在没有攻击者私 钥的情况下，无法大规模技术破解。 黑客或许是为了躲避追踪，没过多久便不再使用勒索提示信息中留下的邮箱和钱包地址。 除此之外黑客索要的赎金也降低至0.08BTC。有消息称，黑客与第三方协议只需0.05BTC即 可解密一台设备，这很大可能是黑客降价的原因。 LockBit勒索软件家族采用三重勒索模式运营 LockBit勒索软件团伙宣布，它正在改善对分布式拒绝服务（DDoS）攻击的防御能 力。同时，他们也受此启发，准备将DDoS作为新增的“第三重”勒索手段。 近期，该团伙遭受了来自安全公司Entrust的DDoS攻击，该攻击的目的是为了阻止 外界对该团伙在其泄漏网站上发布的Entrust公司相关数据的访问。 而就在8月底，LockBit勒索软件团伙便通过自家的LockBitSupp对外宣布，该团伙 已通过改进网络设备重新恢复业务，使其泄露能力免受DDoS攻击的影响。与此同时，勒索 软件运营者现在还寻求在加密数据并泄漏数据的基础上再添加DDoS作为新的第三重勒索策 略。 勒索软件买一赠一？新型勒索软件RoBaj还未传播先被感染。 近日360安全大脑监测到一款新型勒索软件RoBaj。该勒索软件使用C#编写，通过暴力 破解远程桌面登录口令的方式入侵系统并手动投毒。文件被加密后不仅扩展名会被修改 为.RoBaj，文件图标会被修改为一个红色的骷髅头。该勒索软件家族是比较少有的支持中英双语的勒索软件，值得注意的是，该勒索软件开 发者的环境似乎被Neshta蠕虫感染，勒索软件释放的所有可执行程序均感染Neshta蠕虫。 这让受害者面临更大的威胁。目前360高级威胁研究分析中心目前已完成对该病毒的破解， 若有用户不幸中招，可第一时间提交反勒索服务寻求解密帮助。 Cisco遭阎罗王勒索软件攻击，2.8TB数据被窃取。 思科公司于8月10日证实，阎罗王勒索软件组织在5月下旬入侵了其公司网络，入 侵者试图在网上泄露被盗文件用以勒索他们。该公司透露，攻击者只是从受入侵员工帐户所 关联的共享文件夹中收集和窃取到一些非敏感数据。 阎罗王攻击者是在劫持了员工的个人Google帐户（其中包含从其浏览器同步的登录 凭据）后，使用被盗的凭据访问了思科的网络。而该组织也在8月初时发声，表示已窃取了思科2.75GB的数据，其中包括大约3100个文件，文件中还包含了许多保密协议、数据转储 及工程图纸。 黑客信息披露 以下是本月收集到的黑客邮箱信息： 2hlkhbebenw@proton.me 2hlkhbebenw@tuta.io recoversupportman@firemail.cc thekeyishere@cock.li blueman5@tutanota.com Trebaler@goat.si mssqlppt@tutanota.com BobyWillson@gmx.com gotoremote@onionmail.org buybackdate@nuke.africa mylastlover@runbox.com aiimissue2022@proton.me honestly@onionmail.org Bluemanteam@my.com johnson_john_26@aol.com djek77d@aol.com SWikipedia@mail2tor.com swikipedia@onionmail.org oceannew_vb@protonmail.comhyakunoonigayoru@yahoo.co.jp consult.raskey@onionmal.org angry_war@protonmail.ch msupport2019@protonmail.com friendendfriend@cock.li brittonucgm147@gmail.com msupport@elude.in decryptyourfiles007@cock.li yashinkov007@tuta.io regina4hgoregler@gmx.com pansymarquis@yahoo.com crioso@protonmail.com wiruxa@airmail.cc yongloun@tutanota.com anygrishevich@yandex.ru kassmaster@danwin1210.me kassmaster@tutanota.com trustdatanswer@tutanota.comwillettamoffat@yahoo.com uspex1@cock.li avarious@protonmail.com uspex2@cock.li filescrp@420blaze.it filescrp@yandex.ru gunsofthepatriots@privatemail.comudacha123@mail2tor.com kd8eby0@nuke.africa kd8eby0@onionmail.org kd8eby0@inboxhub.net @udacha123yes lechiffre@mailchuck.com lechiffre@india.com stephenjoffe@privatemail.comtomas1991goldberg@libertymail.netbackyourfiless@mailfence.com jackdecrypt@msgsafe.io gichugre@tfwno.gf king2022@tutanota.com usupmail@webmeetme.com rootma@cyberfear.com ClaraSchumann1819@gmx.com backyourfiless@mailfence.comClaraSchumann1819@gmx.com brittonucgm147@gmail.com friendendfriend@cock.li allisonmartin813@yahoo.com allisonmartin813@cock.lisamersby@tuta.io empress8@protonmail.com funny385@swisscows.email funny385@tutanota.com service@sunshinegirls.space 表格1.黑客邮箱 当前，通过双重勒索或多重勒索模式获利的勒索软件家族越来越多，勒索软件所