2022年7月勒索病毒态势分析 勒索病毒传播至今，360反勒索服务已累计接收到上万勒索病毒感染求助。随着新型勒 索病毒的快速蔓延，企业数据泄露风险不断上升，勒索金额在数百万到近亿美元的勒索案件 不断出现。勒索病毒给政府机关、企业和个人带来的影响越来越广，危害性也越来越大。360 安全大脑针对勒索病毒进行了全方位的监测与防御，为需要帮助的用户提供了360反勒索服 务。 2022年7月，全球新增的活跃勒索病毒家族有:Stop247、RoBaj、RedAlert、Checkmate、 Lilith、Luna、BianLian、0mega等家族，其中RedAlert、Lilith、BianLian、0mega均为 双重勒索家族；Checkmate为针对NAS设备发起攻击的勒索病毒；yanluowang勒索病毒虽不 是本月新增，但该勒索病毒家族在本月开始公开发布受害者数据。 以下是本月最值得关注热点： 一、新型勒索病毒Checckmate针对NAS设备发起攻击。 二、万代南梦宫在受到AlphV勒索病毒攻击后数据遭泄露。 三、LockBit勒索病毒通过虚假的版权侵权邮件传播。 四、通过外挂程序进行传播的SafeSound勒索病毒已被破解。 基于对360反勒索数据的分析研判，360政企安全集团高级威胁研究分析中心(CCTGA 勒索软件防范应对工作组成员）发布本报告。 感染数据分析 针对本月勒索病毒受害者所中勒索病毒家族进行统计，phobos家族占比20.45%居首位， 其次是占比13.10%的TargetCompany(Mallox)，BeijingCrypt家族以11.50%位居第三。 进入TOP10的几个家族中，Rook勒索病毒再次变种，修改文件后缀为.lock，勒索提示 信息内容也不再使用中文；Magniber勒索病毒不再通过伪装成msi文件进行传播，而是伪 装成杀毒的更新程序进行传播，同时主要传播目标也改为中国香港和中国台湾两地区；RoBaj 勒索病毒是本月新增的一款勒索病毒，目前发现该家族主要通过暴力破解远程桌面密码后手 动投毒。对本月受害者所使用的操作系统进行统计，位居前三的是：Windows10、Windows7、 以及WindowsServer2008。 2022年7月被感染的系统中桌面系统和服务器系统占比显示，受攻击的系统类型仍以 桌面系统为主。与上个月相比，无较大波动。勒索病毒疫情分析 新型勒索病毒Checkmate针对NAS进行攻击 NAS设备供应商QNAP警告用户称：要警惕Checkmate勒索病毒对QNAP的NAS设备发动 攻击。这些攻击主要集中在启用了SMB服务且暴露在互联网中的设备上，且主要是一些登录 口令较弱的帐户——这些帐户很容易在弱口令暴力破解的攻击中沦陷。 Checkmate是最近新发现的勒索病毒。其首次出现在5月28日左右的攻击中，该病毒 会将被加密的文件添加扩展名.checkmate并放置一个名为“！ CHECKMATE_DECRYPTION_README”的勒索文件。向受害者索要价值15000美元的比特币来解 密。 继6月披露威联通连续遭遇eCh0raix和DeadBolt两款勒索病毒后，国内被勒索病毒感 染的NAS设备量有所上涨，同时这已是第五款针对NAS设备发起攻击的流行勒索病毒。万代南梦宫在受到AlphV勒索病毒攻击后数据遭泄露 本月初，BlackCat勒索病毒（又名AlphV）声称在一起攻击事件中攻陷了万代南梦宫的 服务器并窃取了该公司的数据，并破坏了除日本以外的亚洲地区办事处的内部系统。 虽然万代南梦宫没有提供有关网络攻击的任何技术细节，但根据BlackCat数据泄漏网 站所公布的数据条目及相关声明来看，万代南梦宫极有可能就是遭到了BlackCat的攻击。 从公开显示的数据来看，万代南梦宫被窃取了13.5GB数据，但尚未被公开发布。 虽在7月的被公开数据中尚未有出现国内受害者，但360安全大脑监控到该家族在本月 已成功攻击两个公司/组织。 LockBit勒索病毒通过虚假的版权侵权邮件传播 LockBit勒索病毒正通过将恶意软件伪装成版权声明邮件来传播自身。这些电子邮件会 警告收件人侵犯版权，声称收件人在未经创作者许可的情况下使用了某些媒体文件。邮件要 求收件人从其网站中删除侵权内容，否则将面临法律诉讼。 目前分析人员捕获到的电子邮件内容中，并没有具体指出是哪些文件发生了侵权行为， 而只是告诉收件人下载并打开附件以查看侵权内容。附件是一个受密码保护的ZIP存档，其 中包含一个压缩文件，而该文件又是一个伪装成PDF文档的可执行文件（NSIS安装程序）。 这种层层压缩和密码保护的手法主要是为了逃避电子邮件安全工具的检测。而一旦受害 者打开所谓的“PDF”以了解具体的“侵权原因”，恶意软件便会释放LockBit2.0勒索病 毒对设备进行加密。 SafeSound勒索病毒已被破解 本月一款国产勒索病毒通过“穿越火线”、“绝地求生”等外挂进行传播，被加密文件 后缀会被修改为.SafeSound,并弹出勒索提示信息，需要受害者扫描微信二维码向黑客支付 100元人民币作为赎金。由于该勒索病毒制作存在缺陷，经过360政企安全集团高级威胁研究分析中心分析确 认，可以进行技术破解。目前360解密大师已支持对该勒索病毒的解密。 黑客信息披露 以下是本月收集到的黑客邮箱信息： StephenJoffe@tutanota.com StephenJoffe@protonmail.com 15010050@tutamail.com 17042102@tutamail.com 17042102@tutamail.com 43rgwe723E94@tutanota.com LoryEstside@protonmail.com henderson@cock.li agares_helpdesk@tutanota.com technopc@tuta.io Angelbkup@protonmail.com wixawm@gmail.com helpshadow@india.com helprecovery@gnu.gr cyborgyarraq@protonmail.cnwebroothooks@tutanota.com kardon@firemail.cc henderson@cock.li Trebaler@goat.si Forbitlog@privatemail.com ferguson@cock.li sacipaws@tutanota.com st3v3njansen@onionmail.org justdoit@onionmail.org okyd.dtt@mailfence.com okyddd@protonmail.com gtimph@protonmail.com cupermate@elude.in cupermate@protonmail.com blefbeef@elude.in vinilblind@protonmail.com imperial755@protonmail.com imperial@mailfence.com jj.greemsy@mailfence.com greemsy.jj@protonmail.ch johny3@mailfence.com johny2recoveryusa@protonmail.comfinbdodscokpd@privatemail.com jorge.smith@mailfence.com mally@mailfence.com mallyrecovery@protonmail.ch recoverfiles@ctemplar.com recoverfilesquickly@ctemplar.com primethetime@protonmail.com ssdfsdfsdf@protonmail.com ssdfsdfsdf@mailinfence.com rickowens@onionmail.org rickowens@mailfence.com john.blues3i7456@protonmail.commario.jolly@mailfence.com niss.brook@onionmail.org niss.brandon@mailfence.com Juli1992@mailfence.com Juli1990@mailfence.com stephenjoffe@privatemail.com henderson@cock.li helprecovery@gnu.gr energyhack@cock.li Trebaler@goat.si recoverlokidata@gmail.com yourecoverdatda@proton.me yourecoverdata@proton.me energyhack@cock.li metro777@cock.li arenotto@tutanota.com henderson@cock.li stop@onionmail.com microd3c@tuta.io dataappip@tutanota.com mkpdec@hotmail.com BluemanTeam@my.com goodbooom@tutanota.com gotocompute@tutanota.com AntiLock@keemail.me AntiLock@cock.li rdecrypt@mailfence.com Rdecry