追击“全员恶人”！360解密大师新增Hakbit、Paradise多个变种解密支持！

有人在的地方就有江湖，网络空间同样即是江湖：各大勒索病毒家族大肆作恶，“老牌世家”仗着自身实力作威作福，新兴家族往往势头劲猛，令人措手不及，“金盆洗手”的病毒也可能卷土重来……这些日益进化的勒索病毒成为威胁网络“江湖”安全的公敌。

根据360安全大脑发布的《2019年11月勒索疫情分析》报告数据来看，在11月里，各大勒索病毒家族继续上演网络空间“名利场”，新兴勒索病毒家族chchbuy来势汹汹。综合报告所呈现的整体感染态势、勒索病毒家族分析、攻击情况和解密数据等维度情况，勒索病毒持续蔓延对企业、个人用户带来的危害居高不下，用户应警惕新增勒索病毒，提升网络安全防范意识。

“病毒世家”Stop家族重返三甲

新成员chchbuy主打“薄利多销”

最新发布的《2019年11月勒索疫情分析》报告指出，各大勒索病毒家族在11月呈现“多元化”竞争的入侵态势，上月的“龙头老大”GlobeImposter家族跌落榜首，“老牌世家”Crysis家族跃居顶峰，占整体数量的15.85%；之前呈现颓势的Stop家族重返三甲，与“后起之秀”phobos家族依次位列第二名、第三名，占比分别为15.18%和13.62%。此外，新增勒索病毒家族chchbuy、GarrantyDecrypt的新型变种“Bigbosshorse”以及重出江湖的Satan家族都需要广大网民提高警惕。

图1. 2019年11月勒索病毒家族占比图

11月中旬，360安全大脑国内首家发现chchbuy勒索病毒的踪迹，并对其进行深度解析。chchbuy采用了“一次一密”的加密方式，使用Salsa20算法对每个待加密文件使用不同密钥加密，且最多只加密文件的前4KB内容。

该勒索病毒通过邮箱联系的方式向回信的受害者索要0.3个比特币的赎金，价值人民币约2万元。目前，360安全大脑已实现有效拦截chchbuy勒索病毒。

图2. chchbuy向用户索要金额图

根据近日360安全大脑的监测情况分析，GarrantyDecrypt勒索病毒家族出现新变种，不仅采用一次一密的加密方式，而且在加密文件时只排除了Windows目录，被加密文件的文件后缀会被修改为“.bigbosshorse”。该勒索病毒传播者在暴力破解用户远程桌面的同时还会通过暴力破解共享文件密码来获取登录用户系统的权限。

图3. 被GarrantyDecrypt加密的文件

报告还指出，此前销声匿迹的Satan勒索病毒携“新技能”再次出现，新增泛微OA漏洞利用、远程桌面暴力破解，并保留原有的横向传播功能，杀伤力比数月前更大。

Windows 7系统仍旧深陷“疫情”

弱口令攻击趋于平稳

从360安全大脑对本月勒索病毒感染情况的监测数据来看，桌面系统仍然是主要被攻击的系统。Windows7系统仍然高居被感染系统的首位，第二、三名依旧为Windows 10和Windows Server 2008系统。要值得注意的是，与近几个月的被感染情况相比，11月被感染系统中，此前用户较少的新系统Windows Server 2019也已成为被感染目标。

图4. 2019年11月被感染系统占比

同时，《2019年11月勒索疫情分析》报告还对本月系统安全防护数据进行了分析，从被攻击系统、地域情况和弱口令攻击趋势等方面呈现本月系统安全防护态势，本月各类被攻击系统占比、地域排名级占比数据较上月相比无较大波动。根据360安全大脑对弱口令攻击的监测情况发现，弱口令RDP和MySQL本月呈现较为平稳的攻击趋势，MsSQL在10月发生大幅度上升后也逐渐趋稳。

图5. 2019年11月弱口令攻击趋势图

从报告解密统计数据看，本月勒索病毒解密量仍然是GandCrab勒索病毒居首，KimChinImSev次之；其中使用360解密大师解密文件用户数最高的是Stop家族所攻击的设备，其次为Crysis家族。报告还为用户总结了11月勒索病毒关键词TOP 10，Wecanhelp因近期活动频繁成为关键词榜首，Wecanhelp属于Nemesis勒索病毒家族，可暴力破解远程桌面传播。

图6. 2019年11月勒索病毒关键词TOP10

通过对《2019年11月勒索疫情分析》报告的解读，不难发现本月勒索病毒看似平稳活动的背后，酝酿着全新的安全威胁。针对日益进化的各类勒索病毒，360解密大师本月新增对Hakbit以及Paradise多个变种的解密支持。迄今为止，360解密大师可支持三百余种勒索病毒解密，为受到勒索病毒感染的用户挽救财产损失、守护电脑安全。

安全建议：

老牌勒索病毒死灰复燃，新增勒索病毒层出不穷，面对依旧严峻的勒索病毒疫情态势，360安全大脑提醒各位用户提高警惕，可通过以下防御措施全面提升勒索病毒防御水平：

1、及时前往weishi.360.cn下载安装360安全卫士，全面拦截各类勒索病毒攻击；

2、企业服务器管理员应警惕弱口令攻击，避免多台机器使用同一账号和口令，确保登录口令长度与复杂性，并做到定期更换；

3、重要资料的共享文件夹应设置访问权限控制，并进行定期备份；

4、定期检测系统和软件中的安全漏洞，及时打上补丁；

5、个人用户应从正规渠道下载安装软件，慎用各种激活工具；对于已经被杀毒软件拦截查杀的陌生软件，切勿添加信任继续运行；

6、谨慎查看陌生用户发送的邮件，尽量避免下载附件；

7、中招用户应立即前往lesuobingdu.360.cn确认所中勒索病毒类型，并通过360安全卫士 “功能大全”窗口，搜索安装“360解密大师”后，点击“立即扫描”恢复被加密文件。

来源 360安全卫士

谢谢分享！

360给力！！！

知道知道