2022年1月勒索病毒态势分析 勒索病毒传播至今，360反勒索服务已累计接收到上万勒索病毒感染求助。随着新型勒 索病毒的快速蔓延，企业数据泄露风险不断上升，勒索金额在数百万到近亿美元的勒索案件 不断出现。勒索病毒给企业和个人带来的影响范围越来越广，危害性也越来越大。360安全 大脑针对勒索病毒进行了全方位的监控与防御，为需要帮助的用户提供360反勒索服务。 2022年1月，全球新增的活跃勒索病毒家族有:Coffee、NightSky、DeadBolt、Koxic、 Trap、EvilNominatus等家族，其中NightSky是本月新增的双重勒索病毒，利用Log4j漏 洞对VMwaerHorizon服务器发起攻击；DeadBolt是一款针对QNAP网络存储设备进行攻击 的勒索病毒，该团伙向QNAP索要50BTC以提供万能密钥。 感染数据分析 针对本月勒索病毒受害者所中勒索病毒家族进行统计，Magniber家族占比21.78%居首 位，其次是占比20.93%的BeijingCrypt，phobos家族以14.38%位居第三。 根据360安全大脑监控到的数据显示： 本月BeijingCrypt勒索病毒家族的传播量有上升，该家族对其传播渠道进行了扩展， 将数据库弱口令攻击方式作为另一主要传播方式。 本月扩展传播渠道的还有Mallox勒索病毒家族，本月发现该家族还使用到了匿影僵尸 网络。 本月首次在国内发现由Babuk泄露代码衍生而来的Rook勒索病毒。 对本月受害者所使用的操作系统进行统计，位居前三的是：Windows7、Windows10、 以及WindowsServer2008。2022年1月被感染的系统中桌面系统和服务器系统占比显示，受攻击的系统类型仍以 桌面系统为主。与上个月相比，无较大波动。 勒索病毒事件 Rook勒索病毒可能会令数据永久丢失 2021年11月360安全大脑监控到由Babuk泄露代码衍生而来的Rook勒索病毒开始采 用双重勒索的模式进行传播。截止该家族2022年1月8日最后一次公布受害者名单，已有 7个公司/组织遭遇该家族攻击。 在本月底，360安全大脑监控到该家族通过匿影僵尸网络开始在国内传播，修改被加密 文件后缀为.rook,rook2,rook3。从勒索提示信息看，此轮攻击虽提到会将从受害者处窃取 到的数据公布到暗网，但该家族的数据泄露网站目前仍无法访问。同时，该团伙称他们将会每15天更换一次私钥，而旧的私钥将被删除。如果文件被加密已超过15天，他们也将无法 恢复。 BeijingCrypt最新变种修改后缀为.360 根据360安全大脑数据，发现活跃勒索病毒家族BeijingCrypt出现新变种——被加密 文件后缀变为“.360”，黑客的联系邮箱则变更为“360support@cock.li”和 “360support@mailfence.com”。 该勒索病毒家族因其早期将文件后缀修改为“beijing”而得名（beijing后缀当前仍 在使用）。自2020年6月出现以来，其就利用远程桌面弱口令在国内传播，并在2021年开 始传播量越来越逐月上升，最终跃升至国内勒索病毒传播量Top10榜单。目前该家族已经历 了genesis、beijing、520、file、360等多个后缀变种且传播越发活跃。在本月，该家族 还通过爆破破解获取数据库口令后向受被攻击设备下发勒索病毒。 本土勒索病毒家族Coffee开始传播 根据360安全大脑数据，发现国内新出现勒索病毒家族Coffee。该家族以其将加密后 的文件后缀修改为coffee.xxxx(x为随机字符)而得名。Coffee病毒是一个具有蠕虫性质的 勒索病毒，一般通过软件捆绑和QQ群钓鱼传播，能够感染系统中常用软件，同时还可以主 动将自己发往QQ群传播。该家族向受害者索要ZEC（零币）这一较为罕见的虚拟货币作为赎金。其不仅提供了中文的勒索信息，还附带了非常详细且“贴心”的全中文支付教程—— 指导用户如何对ZEC进行安装、购买和支付。从目前捕获到的信息看，该病毒会向受害者索 要价值500美元的ZEC。 新勒索病毒DeadBolt瞄准QNAP设备，索要50BTC提供万 能密钥 新兴勒索病毒DeadBolt声称他们正在使用设备软件的0day漏洞对全球QNAPNAS设备 进行加密攻击。 攻击于1月25日开始，中招的QNAP设备会突然发现其文件被加密，设备中存储的文件 的文件名会被追加一个名为.deadbolt的文件扩展名。而设备的登录页面会被劫持显示一个 勒索页面：内容为“警告：您的文件已被DeadBolt锁定”等。该页面会向受害者索要0.03 个比特币作为赎金。 此外病毒还在勒索页面中声称，如果QNAP向他们支付5个比特币，DeadBolt勒索软件 团伙将提供0day漏洞的全部详细信息。同时他们还愿意以50个比特币的售价向QNAP出售 可以为所有受害者解密文件的主密钥和0day信息。黑客信息披露 以下是本月收集到的黑客邮箱信息： mallox@cock.li qazqwe@onionmail.org FilesRecoverEN@gmail.com floy2020@cock.l steriok@mail2tor.com asiarecoverydata@cock.li Elbowtalk@my.com phobos_helper@xmpp.jp proper12132@tutanota.com zitenmax@cock.li Myfiles.sir@gmail.com restaurera@safeswiss.com temloown@tuta.io decypt20@firemaill.cc beijing5200@mailfence.com BillScars@gmx.com keepserver2020@cock.li jackrasal@privatemail.com qazqwe@msgsafe.io Jeseekuer@tutanota.com malloxdatac@mailfence.com ghxyz@fonix.email anony.alex22@gmail.com beijing520@horsefucker.org 360support@cock.li walter1964@mail2tor.com FobosAmerika@protonmail.ch temloown@gmail.com ofizducwe111988@aol.com recoveryfiles@techmail.info monster666@tuta.io 360helper@mailfence.com veronikstreem@protonmail.com helpunlock@aol.com tsuppor@privatemail.com cigleperation@protonmail.com restaurera@rbox.co 6lilium6@protonmail.com securityrook@horsefucker.org support@sysmail.ch 360support@mailfence.com securityrook@privatemail.com guan_yu@tutanota.comphobos_helper@exploit.im isecondhelperforunlockyourfiles@airmail.ccmrpicokins@gmail.compsychopath7@tutanota.com 表格1.黑客邮箱 当前，通过双重勒索或多重勒索模式获利的勒索病毒家族越来越多，勒索病毒所带来的 数据泄露的风险也越来越大。以下是本月通过数据泄露获利的勒索病毒家族占比，该数据仅 为未能第一时间缴纳赎金或拒缴纳赎金部分（已经支付赎金的企业或个人，可能不会出现在 这个清单中）。 以下是本月被双重勒索病毒家族攻击的企业或个人。若未发现被数据存在泄露风险的企 业或个人也请第一时间自查，做好数据已被泄露准备，采取补救措施。本月总共有147个组 织/企业遭遇勒索攻击，其中包含中国2个组织/企业在本月遭遇了双重勒索/多重勒索。 RRD Division-D chervongroup.com XAL AKIJGROUP AtlanticAsphalt Cle IwisGroup MapleLodgeFarms DURA www.paw.eu NorthernContours EDSI Gardenworks ThomsonBroadbent STIMM bayview.com BankofIndonesia Subex Fdcbuilding harrisshelton.com izo.es snapmga.com centralbankfl.com PLACON bricofer.it MecanicoCairoSL HAPOLO supersave.ca onlinesalespro.com Arcese bernheim.org HallCrossAcademy joda.de Abdiibrahim JALEELTRADERSLLC ipec.ro cbibanks.com fairnessforall.com RIVADIS NORDFISHSRL PerennialsFabrics UNICRED LittleGiant ImperialLogistics Moncler rightsys.com lee-associates.com CSE