2021年11月勒索病毒态势分析 勒索病毒传播至今，360反勒索服务已累计接收到上万勒索病毒感染求助。随着新型勒 索病毒的快速蔓延，企业数据泄露风险不断上升，勒索金额在数百万到近亿美元的勒索案件 不断出现。勒索病毒给企业和个人带来的影响范围越来越广，危害性也越来越大。360安全 大脑针对勒索病毒进行了全方位的监控与防御，为需要帮助的用户提供360反勒索服务。 2021年11月，全球新增的活跃勒索病毒家族有:Doyuk2、HarpoonLocker、Rozbeh、 BlackCocaine、Cryt0y、Flowey、54BB47H(Sabbath)、Entropy、ROOK、RobinHood、AvGhost 等勒索病毒家族，其中54BB47H(Sabbath)、Entropy、ROOK、RobinHood四个家族为本月新 增的双重勒索病毒家族；本月最值得关注的勒索病毒Magniber，该勒索病毒家族通过网页 挂马疯狂传播；老牌勒索家族Snatch也开始采用双重勒索模式运营;AvGhost勒索软件针对 服务器进行攻击，虽然受害者联系到黑客后，黑客表示此次攻击只是测试并承诺替用户免费 解密文件，但实际结果是受害者仍有大量数据无法恢复。 感染数据分析 针对本月勒索病毒受害者所中勒索病毒家族进行统计，Magniber家族占比33.58%居首 位，其次是占比12.57%的YourData，BeijingCrypt家族以8.73%位居第三。 刚做到国内第一的YourData勒索病毒仅仅一个月就被Magniber取代，究其原因并非是 YourData传播减弱，而是从11月初开始，Magniber的传播者利用CVE-2021-40444漏洞， 在网页广告中插入相关利用代码进行传播，在国内的感染量快速提升。 对本月受害者所使用的操作系统进行统计，位居前三的是：Windows7、Windows10、 以及WindowsServer2008。2021年11月被感染的系统中桌面系统和服务器系统占比显示，受攻击的系统类型仍以 桌面系统为主。本月被感染的桌面PC与10月相比占比上涨超过18个百分点。这主要因为 被Magniber勒索病毒攻击的受害者大部分使用的是桌面PC。 勒索病毒疫情分析 Magniber勒索软件升级，瞄准国内用户 11月5日开始，360安全大脑检测到CVE-2021-40444漏洞攻击拦截量有较明显上涨。 经过360政企集团高级威胁研究分析中心分析追踪发现，这是一起挂马攻击团伙，利用 CVE-2021-40444大肆传播勒索病毒的攻击事件，同时病毒在攻击过程中，还使用了 PrintNightmare漏洞进行提权。该黑客团伙主要通过在色情网站、游戏网站（也存在少部 分其它网站）的广告位上，投放植入带有攻击代码的广告，当用户访问到该广告页面时，就有可能中招，感染勒索病毒。截止当前360安全卫士仍能拦截到约500次每小时的挂马广告 页面访问。而漏洞拦截量，最高单日也已超过1000次。 Magniber勒索软件是基于Magnitudeexploitkit（MagnitudeEK）开发套件进行开发， 早期还曾传播过Locky、Cerber勒索病毒家族。被该勒索加密后，文件后缀将被修改为随机 字符串，受害者需向攻击者支付0.044~0.048个比特(价格一直在波动,5天内若未支付，赎 金将会翻倍)。 Conti勒索病毒团伙策划让Emotet僵尸网络卷土重来 根据情报公司AdvancedIntelligence的消息，知名僵尸网络程序Emotet将被“复活”。 而说服此次复活行动的正式Conti勒索病毒团伙的成员。 Emotet僵尸网络曾于约10个月前被关闭，而此次“复活”则会重新对分布官方的受控 端开启控制。使其充当恶意软件加载程序，为其他恶意软件提供有价值的受感染系统访问权 限。而Qbot和TrickBot则是Emotet僵尸网络的主要客户，这两款软件又会利用获取到的访问权限部署包括Conti在内的诸多勒索软件。 在被曝出Conti策划重启Emotet僵尸网络前，该勒索团伙的支付站点和对应域名则均 因被劫持导致关闭，但其数据泄露站点页面及域名仍可以正常工作。 “阎罗王”勒索软件正驶入攻击美国金融部门 近日“阎罗王”勒索病毒的下属机构正在尝试使用BazarLoader恶意软件攻击美国金融 部门。自从8月份以来，“阎罗王”勒索病毒不仅对金融机构发起攻击，还对制造业、IT服 务、咨询及工程领域的公司进行攻击。 该攻击团伙在入侵阶段不仅部署了恶意软件，还尝试从受控设备上收集浏览器保存的登 录凭证，例如：Firefox、Chrome、InternetExplorer，以及窃取KeePass密码管理器的主 密钥等。受害者若不能在规定时间内联系黑客并支付赎金，黑客将对受害者采取DDOS攻击 以及致电其员工和业务合作伙伴，若几周内仍未支付，黑客将删除其数据。 黑客信息披露 以下是本月收集到的黑客邮箱信息： Merlen@Dr.Com ransomware10@yahoo.com dwaynehogan33@onionmail.org sazepa@tuta.io zeppelin_helper@tuta.ioAllenPool1987@onionmail.org jericoni@pm.me dr.helper@onionmail.orgVasco_Alonso@protonmail.com g.uan_yu@aol.com mr.helper@onionmail.orgAndryCooper1988@tutanota.com mak_supp@aol.com alabacoman@tutanota.comMikedillov1986@onionmail.org Merlen@Keemail.Me ideapad@privatemail.comhelpdecryptmyfiles@yandex.com psworm@keemail.me uSuppor@privatemail.comjackiesmith176@protonmail.com zsebas@arimail.cc zeppelin_decrypt@xmpp.jpJerseySmith1986@onionmail.org obamausa7@aol.com datarecover@ctemplar.comleonardred1989@protonmail.com nexyum@zohomail.eu pecunia0318@tutanota.comJeremySaylor1987@tutanota.com kameric@airmail.cc EndryuRidus@tutanota.comRick_Astley_Helper@outlook.com baseus0906@goat.si admin@crypteyourdata.comfionahammers1995@onionmail.org ransomnow@yandex.ruchickenwing@onionmail.orgMarkHuntigton1977@tutanota.com pecunia0318@goat.siyourfriendz@techmail.infoCharlesSLewis1987@onionmail.org friend.dec@yandex.ruPringls_us@protonmail.comDavidSchmidt1977@protonmail.com cnlock@danwin1210.mecheet0s_de@protonmail.comJamesHoopkins1988@onionmail.org pol.aris@tutanota.comdatarecovery@ctemplar.comollivergreen1977@protonmail.com 520hard@mailfence.comjasonchow30@onionmail.orgjeffreyclinton1977@onionmail.org seawolf@onionmail.orgKirklord1967@tutanota.comalberttconner2021@protonmail.com coronaviryz@gmail.comVinceGilbert@tutanota.comDorothyFBrennan1992@tutanota.com friend.dec@keemail.meVasco_Alonso@tutanota.comnoreywaterson1988@protonmail.com koreadec@tutanota.comkorona@bestkoronavirus.comrickysmithson1975@protonmail.com helpservisee@elude.inparpsrecovery@criptext.comDerekWillson19878@protonmail.com RansHelp@tutanota.comyourrealdecrypt@airmail.ccsteven1973parker@libertymail.net pol.aris@opentrash.comLeslydown1988@tutanota.comrichardbrunson1892@protonmail.com Merlens@Protonmail.comvilidariobtc12@tutanota.comElizabethAnt