國家互聯(lián)網(wǎng)應(yīng)急中心（CNCERT/CC）聯(lián)合國內(nèi)頭部安全企業(yè)成立“中國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全威脅治理聯(lián)盟勒索軟件防范應(yīng)對專業(yè)工作組”，從勒索軟件信息通報、情報共享、日常防范、應(yīng)急響應(yīng)等方面開展勒索軟件防范應(yīng)對工作，并定期發(fā)布勒索軟件動態(tài)，本周動態(tài)信息如下：

　　一

　　勒索軟件樣本捕獲情況

　　本周勒索軟件防范應(yīng)對工作組共收集捕獲勒索軟件樣本39257個，監(jiān)測發(fā)現(xiàn)勒索軟件網(wǎng)絡(luò)傳播2435次，勒索軟件下載IP地址219個，其中，位于境內(nèi)的勒索軟件下載地址97個，占比44.3%，位于境外的勒索軟件下載地址122個，占比55.7%。

　　二

　　勒索軟件受害者情況

　?。ㄒ唬￤annacry勒索軟件感染情況

　　本周，監(jiān)測發(fā)現(xiàn)3216起我國單位設(shè)施感染W(wǎng)annacry勒索軟件事件，累計感染61632次，與其它勒索軟件家族相比，Wannacry仍然依靠“永恒之藍(lán)”漏洞（MS17-010）占據(jù)勒索軟件感染量榜首，盡管Wannacry勒索軟件在聯(lián)網(wǎng)環(huán)境下無法觸發(fā)加密，但其感染數(shù)據(jù)反映了當(dāng)前仍存在大量主機沒有針對常見高危漏洞進行合理加固的現(xiàn)象。

　　政府部門、教育科研、衛(wèi)生健康、互聯(lián)網(wǎng)行業(yè)成為Wannacry勒索軟件主要攻擊目標(biāo)，從另一方面反應(yīng)，這些行業(yè)中存在較多未修復(fù)“永恒之藍(lán)”漏洞的設(shè)備。

　　（二）其它勒索軟件感染情況

　　本周勒索軟件防范應(yīng)對工作組接收或監(jiān)測發(fā)現(xiàn)162起非Wannacry勒索軟件感染事件，排在前三名的勒索軟件家族分別為locky（16%）、GandCrab（16%）和hauhitec（15%）

　　本周，被勒索軟件感染的系統(tǒng)中Windows7系統(tǒng)比例占比較高，占到總量的44%，其次為Windows10系統(tǒng)，除此之外還包括少量Windows服務(wù)器系統(tǒng)。

　　三

　　典型勒索軟件攻擊事件

　?。ㄒ唬﹪鴥?nèi)部分

　　1、YourData勒索軟件正在利用“匿影”僵尸網(wǎng)絡(luò)大肆傳播

　　近期，安全研究人員發(fā)現(xiàn)，YourData勒索軟件正通過“匿影”僵尸網(wǎng)絡(luò)在國內(nèi)大肆傳播，對個人電腦的威脅愈加強烈。

　　YourData勒索軟件又被稱作Hakbit、Thanos家族，最早出現(xiàn)于2019年11月。但在今年1月之前，國內(nèi)極少出現(xiàn)被該病毒或變種攻擊案例。2021年1月開始在國內(nèi)出現(xiàn)該家族的變種。

　　在前幾個月的病毒傳播中，該病毒家族主要采用的攻擊手段是RDP爆破，在爆破成功后會進行手動投毒，為每一個受害用戶生成專屬頁面。從今年7月開始，該病毒家族開始通過“匿影”僵尸網(wǎng)絡(luò)進行傳播，在10月開始出現(xiàn)大面積感染的情況。

　　“匿影”僵尸網(wǎng)絡(luò)將病毒捆綁在非正規(guī)渠道的BT下載器、安裝包、激活/破解軟件等工具中，當(dāng)用戶安裝使用這些工具時，“匿影”將會下載釋放各類病毒，感染用戶設(shè)備，同時還將利用被感染設(shè)備進行橫向移動。

　　2、Magniber通過色情網(wǎng)站吸引用戶，利用IE漏洞進行傳播

　　11月10日消息，Magniber勒索軟件攻擊事件頻發(fā)，利用IE瀏覽器漏洞進行無文件傳播。

　　Magniber是一種利用 IE 漏洞的無文件勒索軟件，于2017年開始作為Cerber勒索軟件的繼承者，最初只感染韓國的用戶，近期在國內(nèi)有大肆傳播趨勢。

　　該勒索軟件自3月15號以來，利用CVE-2021-26411漏洞進行分發(fā)傳播，在9月14日微軟推送了安全補丁之后，于近日被發(fā)現(xiàn)增加對CVE-2021-40444漏洞的利用。在被感染后，該病毒還會利用PrintNightmare漏洞進行提權(quán)。

　　安全人員分析表示，該勒索軟件團伙主要在色情網(wǎng)站的廣告位投放帶有攻擊代碼的廣告，在用戶訪問到廣告時，就可能會中招，感染勒索軟件。

　　（二）國外部分

　　1、美國國務(wù)院對多個勒索軟件作者發(fā)出千萬美元懸賞

　　本周，美國國務(wù)院的“跨國有組織犯罪獎勵計劃（TOCRP）”對外發(fā)出懸賞。該懸賞稱最高可提供1000萬美元用于識別、定位Sodinokibi（REvil）勒索軟件家族或DarkSide勒索軟件家族的制作組織主要成員，另外還對能夠提供定位任何參與過這兩家勒索軟件攻擊事件的人員信息的舉報者500萬美元的獎勵。

　　該計劃主要用于打擊各種跨國的有組織犯罪集團，定位組織的關(guān)鍵領(lǐng)導(dǎo)人。除了上述有針對性的對兩個勒索軟件家族提出懸賞外，該計劃還懸賞1000萬美元，獎勵有國家資助的黑客攻擊美國基礎(chǔ)設(shè)施的相關(guān)信息舉報者。

　　2、羅馬尼亞警方逮捕REvil相關(guān)嫌疑人

　　11月8日消息，兩名REvil勒索軟件團伙相關(guān)人員于11月4日在羅馬尼亞被捕，據(jù)稱被捕二人應(yīng)對遭其勒索軟件攻擊感染的數(shù)千名受害者負(fù)責(zé)。目前，布加勒斯特法庭已下令對兩名被捕嫌疑人進行30天的審前拘留。

　　同期，科威特當(dāng)局還逮捕了一個GandGrab勒索軟件團伙關(guān)聯(lián)組織，其中三人涉嫌發(fā)起了近7000次勒索軟件攻擊，索要贖金超2億歐元。今年年初以來，另有三名被認(rèn)為是REvil勒索軟件團伙關(guān)聯(lián)組織的人員分別在韓國、歐洲被警方逮捕，一定程度上遏制了勒索軟件的勢頭。

　　3、德國醫(yī)療軟件提供商Medatixx遭受勒索軟件攻擊

　　本周披露，11月初，德國醫(yī)療軟件巨頭Medatixx遭到勒索攻擊，影響了醫(yī)療機構(gòu)的內(nèi)部 IT 系統(tǒng)，導(dǎo)致其運營系統(tǒng)癱瘓。攻擊者很可能在攻擊過程中竊取了 Medatixx 客戶的密碼。因此11月9日，Medatixx披露了此次攻擊，敦促用戶重置密碼。德國大約 25% 的醫(yī)療中心使用了 Mediatixx 解決方案，此次勒索攻擊可能是德國醫(yī)療系統(tǒng)有史以來遭受的最嚴(yán)重的網(wǎng)絡(luò)攻擊。

　　4、歐洲電子零售巨頭MediaMarkt遭Hive勒索軟件攻擊

　　電子零售巨頭MediaMarkt在當(dāng)?shù)貢r間11月7日至11月8日期間，遭到勒索軟件攻擊。其服務(wù)器及工作站等設(shè)備數(shù)據(jù)被加密，最終公司只能關(guān)閉IT系統(tǒng)以阻止事態(tài)蔓延。據(jù)了解，此次攻擊影響了整個歐洲的眾多零售店，其中荷蘭和德國的相關(guān)商店受影響最嚴(yán)重，運營一度中斷。

　　根據(jù)目前公開的消息，受到此次攻擊影響的共有3100余臺服務(wù)器。而攻擊的幕后黑手可能是Hive勒索軟件，該病毒對MediaMarkt開出了高達2.4億美元的巨額贖金。

　　2021年6月，Hive勒索軟件首次出現(xiàn)在大眾視野，和成名已久的勒索軟件相似，都是通過網(wǎng)絡(luò)釣魚活動開展網(wǎng)絡(luò)攻擊行動。一旦獲得攻擊目標(biāo)網(wǎng)絡(luò)的訪問權(quán)限，立即通過網(wǎng)絡(luò)橫向傳播，同時竊取未加密的文件用于敲詐勒索。

　　另外，當(dāng)攻擊者獲得Windows域控制器的管理員訪問權(quán)限時，會在整個網(wǎng)絡(luò)中部署勒索軟件用于加密所有設(shè)備。

　　四

　　威脅情報

　　MD5

　　8fa81c255de6369047674e112f8da58f

　　bfa8d66509e07faba724dc0f9035c0d3

　　b52bd4632956921b14bbdc8ca778fa25

　　db0dbd31d75cf146b3c400282e6bb40a

　　ad6687656ce8c983e53246f2941fb384

　　21b69f5b7c0153e14ee41333eae34f5d

　　5677a7cce44531214657a81fc55fcd2a

　　c1ec31554f0efc16ed07d7fa954dae04

　　625baee6425e2cf1b9cd5fb33bc2633c

　　ad113aac83ec6568b0ead8e9000c438c

　　3b2c18e4cb5044642de996ffed338583

　　21b69f5b7c0153e14ee41333eae34f5d

　　5677a7cce44531214657a81fc55fcd2a

　　c1ec31554f0efc16ed07d7fa954dae04

　　625baee6425e2cf1b9cd5fb33bc2633c

　　ad113aac83ec6568b0ead8e9000c438c

　　3b2c18e4cb5044642de996ffed338583

　　9e609932c59d043565c5d3e5260f571b

　　域名

　　vyewxn2lkxrihikeunagqqoakralogk5ze5vaxrkahvkjdug6rcwdsqd.onion

　　Fitdbud.uno

　　paymenthacks.com

　　nowautomation.com

　　fluentzip.org

　　mojobiden.com

　　郵箱

　　coronaviryz@gmail.com

　　korona@bestkoronavirus.com

　　coronavirus@exploit.im

　　anton_rozhko1991.05@mail.ru