2022年9月勒索软件态势分析 勒索软件传播至今， 360反勒索服务已累计接收到上万勒索软件感染求助。随着新型勒 索软件的快速蔓延，企业数据泄露风险不断上升，勒索金额在数百万到近亿美元的勒索案件 不断出现。勒索软件给企业和个人带来的影响范围越来越广，危害性也越来越大。 360安全 大脑针对勒索软件进行了全方位的监测与防御，为需要帮助的用户提供 360反勒索服务。 2022年8月，全球新增的活跃勒索软件家族有 : Ballacks 、BlackBit 、DoyUK、Royal、 z6wkg、Sparta等家族。其中 z6wkg与Sparta均为双重勒索勒索软件家族； Ballacks 勒索 软件是VoidCrypt 勒索软件家族的最新变种； Royal勒索软件虽然声称采用双重勒索模式运 营，但尚未发现其拥有数据泄露站点，该家族是一个不招募附属机构的独立运作团体，通常 勒索赎金价格在 25万美元到 200万美元之间。 以下是本月最值得关注热点： 一、Lockbit 勒索软件编译器遭“愤怒的开发者”在线泄露 二、MSSQL服务器被 TargetCompany 勒索软件攻陷 三、Cisco确认阎罗王勒索软件泄露了其被盗的公司数据 基于对360反勒索数据的分析研判， 360政企安全集团高级威胁研究分析中心 (CCTGA勒 索软件防范应对工作组成员）发布本报告。 感染数据分析 针对本月勒索软件受害者所中勒索软件家族进行统计， TellYouThePass 家族占比 19.95% 居首位，其次是占比 14.89%的phobos，TargetCompany(Mallox) 家族以12.77%位居第三。 TellYouThePass 虽然在本月没有继续大规模发起攻击，但是之前的中招反馈仍持续一 段时间。 Phobos做为国内老牌勒索家族，流行热度一直比较高，主要通过暴破远程桌面传播。 LockBit 勒索软件因招募大量附属机构，因此其攻击目标广泛，在国内不止针对中大型 企业发起双重勒索攻击，还会对小型企业发起纯勒索攻击。 对本月受害者所使用的操作系统进行统计，位居前三的是： Windows 10 、Windows Server 2008 以及Windows Server 2012 。 2022年9月被感染的系统中桌面系统和服务器系统占比显示，受攻击的系统类型仍以 桌面系统为主。 勒索软件疫情分析 Lockbit 勒索软件编译器遭“愤怒的开发者”在线泄露 LockBit 勒索软件遭到破坏，据称该团伙最新生成被心怀 不满的内部开发人员泄露 了。 今年6月，LockBit勒索软件发布了他们的 3.0版加密器，代号为 LockBit Black ，目 前已经经过了两个月的测试。 而该版本勒索加密器则承诺“让勒索软件再次伟大”。其中添加新的反分析功能、勒 索软件漏洞赏金计划和新的勒索方法。 然而，目前有两个 Twitter账号在Twitter上泄露了 LockBit 3.0 主程序的生成器。 据称，泄密者是 Lockbit勒索软件小组雇用的程序员，他们对 Lockbit的领导层感到不 满，于是决定泄露了该程序的生成器。 MSSQL服务器被 TargetCompany 勒索软件攻陷 研究人员称，在新一波 TargetCompany(Mallox) 勒索软件攻击中，易受攻击的 Microsoft SQL 服务器正成为攻击目标。 安全研究人员表示， TargetCompany(Mallox) 是目前主流的勒索软件之一，该家族过去 被称为“ Mallox”，着是由于被其加密的文件会被添加“ .Mallox”作为新扩展名而得名。 此外，该勒索软件也可能与二月份发现的“ TargetCompany ”勒索软件同族。 勒索软件感染始于被攻击机器上的 MS-SQL主程序通过 cmd.exe和powershell.exe 命 令行来下载 .NET文件。这让攻击者可以利用有效载荷获取其他恶意软件（包括加密器）， 生成并运行终止特定进程和服务的 BAT文件。 接下来，勒索软件载荷将自己注入 AppLaunch.exe ——一个合法的 Windows进程中， 并尝试删除名为 Raccine的开源勒索软件免疫注册表项。 此外，恶意软件会停用数据库恢复功能并终止数据库相关进程，使其内容可用于加 密。 Cisco确认阎罗王勒索软件泄露了其被盗的公司数据 Cisco已证实，“阎罗王”勒索软件团伙昨天泄露的数据 是其在5月的网络攻击中从 该公司网络窃取的。但 Cisco同时表示，泄漏不会改变该事件对业务没有影响的初步评 估。 此前，在八月份的一份报告中， Cisco曾承认黑客入侵了其一名员工的 VPN帐户后导 致其网络被“阎罗王”勒索软件破坏。但被盗数据均为来自员工 Box文件夹的非敏感文 件，并且在“阎罗王”勒索软件开始加密系统之前就已经遏制了攻击。 而“阎罗王”勒索软件方面则声称并非如此 ——但并没有提供任何明确的证据，只分 享了一个屏幕截图来表现其对似乎是开发系统的平台具有访问权限。 黑客信息披露 以下是本月收集到的黑客邮 箱信息： vyndinostrov@morke.org vyndinostrov@cock.li consul.raskey@onioinmail.org service@hellokittycat.online dateshell@protonmail.com trueman@cock.li jack.stress@keemail.me Writeme100@tuta.io khgurwte@tutanota.com regyhny@tutanota.com LordCracker2@aol.com KingMail7@cock.li dateshell@protonmail.com datarestorehelp@airmail.cc support@bestyourmail.ch dino@rape.lol comingback2022@cock.li newfact@rape.lol regyhny@tutanota.com khgurwte@tutanota.com poshix@tfwno.gf Ez.decrypt@msgsafe.io samercin1@tuta.io KalajaTomorr@ctemplar.com KalajaTomorr@firemail.cc vyndinostrov@cock.li vyndinostrov@morke.org helprecovery@gnu.gr kedrovak@tfwno.gf lemordewn@gmail.com helprecovery@gnu.gr rdpmanager@onionmail.org RandyJackson1961@gmx.com pcrec@tuta.io perettosup@proton.me qui_medicus@aol.com hero77@cock.li deportdgrrg@outlook.com finibutrile@tutanota.com mssqlppt@tutanota.com 08don_juan_1970689@mail.ru pplit@protonmail.com decryptydata@gmx.net zdarovachel@gmx.at cyberlock06@protonmail.com biggylockerteam@yandex.com AstraRansomware@protonmail.com ramilo2122@yandex.com chinadecrypt@msgsafe.io decryptydata@gmx.de decryptydata2@gmx.net lettoindago@tutanota.com dataabcdof@tutanota.com idemitsu122@cyberfear.com helprequest@techmail.info internationalassistance@tutanota.com reasonablehelp@outlook.com uncrypt2022@outlook.com sendr@onionmail.org sendr@tutanota.com itsupport831@reddithub.com support007@mailfence.com help@inboxhub.net cang.leen@mailfence.com carbonayra@mailfence.com recoverservice2@onionmail.org alabacoman@tutanota.com alberttconner2021@protonmail.com AndryCooper1988@tutanota.com CharlesSLewis1987@onionmail.org DavidSchmidt1977@protonmail.com DorothyFBrennan1992@tutanota.com dwaynehogan33@on