2021年11月勒索病毒态势分析 勒索病毒传播至今，360反勒索服务已累计接收到上万勒索病毒感染求助。随着新型勒 索病毒的快速蔓延，企业数据泄露风险不断上升，勒索金额在数百万到近亿美元的勒索案件 不断出现。勒索病毒给企业和个人带来的影响范围越来越广，危害性也越来越大。360安全 大脑针对勒索病毒进行了全方位的监控与防御，为需要帮助的用户提供360反勒索服务。 2021年11月，全球新增的活跃勒索病毒家族有:Doyuk2、HarpoonLocker、Rozbeh、 BlackCocaine、Cryt0y、Flowey、54BB47H(Sabbath)、Entropy、ROOK、RobinHood、AvGhost 等勒索病毒家族，其中54BB47H(Sabbath)、Entropy、ROOK、RobinHood四个家族为本月新 增的双重勒索病毒家族；本月最值得关注的勒索病毒Magniber，该勒索病毒家族通过网页 挂马疯狂传播；老牌勒索家族Snatch也开始采用双重勒索模式运营;AvGhost勒索软件针对 服务器进行攻击，虽然受害者联系到黑客后，黑客表示此次攻击只是测试并承诺替用户免费 解密文件，但实际结果是受害者仍有大量数据无法恢复。 感染数据分析 针对本月勒索病毒受害者所中勒索病毒家族进行统计，Magniber家族占比33.58%居首 位，其次是占比12.57%的YourData，BeijingCrypt家族以8.73%位居第三。 刚做到国内第一的YourData勒索病毒仅仅一个月就被Magniber取代，究其原因并非是 YourData传播减弱，而是从11月初开始，Magniber的传播者利用CVE-2021-40444漏洞， 在网页广告中插入相关利用代码进行传播，在国内的感染量快速提升。 对本月受害者所使用的操作系统进行统计，位居前三的是：Windows7、Windows10、 以及WindowsServer2008。2021年11月被感染的系统中桌面系统和服务器系统占比显示，受攻击的系统类型仍以 桌面系统为主。本月被感染的桌面PC与10月相比占比上涨超过18个百分点。这主要因为 被Magniber勒索病毒攻击的受害者大部分使用的是桌面PC。 勒索病毒疫情分析 Magniber勒索软件升级，瞄准国内用户 11月5日开始，360安全大脑检测到CVE-2021-40444漏洞攻击拦截量有较明显上涨。 经过360政企集团高级威胁研究分析中心分析追踪发现，这是一起挂马攻击团伙，利用 CVE-2021-40444大肆传播勒索病毒的攻击事件，同时病毒在攻击过程中，还使用了 PrintNightmare漏洞进行提权。该黑客团伙主要通过在色情网站、游戏网站（也存在少部 分其它网站）的广告位上，投放植入带有攻击代码的广告，当用户访问到该广告页面时，就有可能中招，感染勒索病毒。截止当前360安全卫士仍能拦截到约500次每小时的挂马广告 页面访问。而漏洞拦截量，最高单日也已超过1000次。 Magniber勒索软件是基于Magnitudeexploitkit（MagnitudeEK）开发套件进行开发， 早期还曾传播过Locky、Cerber勒索病毒家族。被该勒索加密后，文件后缀将被修改为随机 字符串，受害者需向攻击者支付0.044~0.048个比特(价格一直在波动,5天内若未支付，赎 金将会翻倍)。 Conti勒索病毒团伙策划让Emotet僵尸网络卷土重来 根据情报公司AdvancedIntelligence的消息，知名僵尸网络程序Emotet将被“复活”。 而说服此次复活行动的正式Conti勒索病毒团伙的成员。 Emotet僵尸网络曾于约10个月前被关闭，而此次“复活”则会重新对分布官方的受控 端开启控制。使其充当恶意软件加载程序，为其他恶意软件提供有价值的受感染系统访问权 限。而Qbot和TrickBot则是Emotet僵尸网络的主要客户，这两款软件又会利用获取到的访问权限部署包括Conti在内的诸多勒索软件。 在被曝出Conti策划重启Emotet僵尸网络前，该勒索团伙的支付站点和对应域名则均 因被劫持导致关闭，但其数据泄露站点页面及域名仍可以正常工作。 “阎罗王”勒索软件正驶入攻击美国金融部门 近日“阎罗王”勒索病毒的下属机构正在尝试使用BazarLoader恶意软件攻击美国金融 部门。自从8月份以来，“阎罗王”勒索病毒不仅对金融机构发起攻击，还对制造业、IT服 务、咨询及工程领域的公司进行攻击。 该攻击团伙在入侵阶段不仅部署了恶意软件，还尝试从受控设备上收集浏览器保存的登 录凭证，例如：Firefox、Chrome、InternetExplorer，以及窃取KeePass密码管理器的主 密钥等。受害者若不能在规定时间内联系黑客并支付赎金，黑客将对受害者采取DDOS攻击 以及致电其员工和业务合作伙伴，若几周内仍未支付，黑客将删除其数据。 黑客信息披露 以下是本月收集到的黑客邮箱信息： [email protected] [email protected] [email protected] [email protected] [email protected]@onionmail.org [email protected] [email protected][email protected] [email protected] [email protected]@tutanota.com [email protected] [email protected]@onionmail.org [email protected] [email protected]@yandex.com [email protected] [email protected]@protonmail.com [email protected] [email protected]@onionmail.org [email protected] [email protected]@protonmail.com [email protected] [email protected]@tutanota.com [email protected] [email protected][email protected] [email protected] [email protected]@onionmail.org [email protected]@[email protected] [email protected]@[email protected] [email protected][email protected]@protonmail.com [email protected][email protected]@onionmail.org [email protected]@[email protected] [email protected]@[email protected] [email protected]@[email protected] [email protected]@[email protected] [email protected][email protected]@protonmail.com [email protected]@[email protected] [email protected]@[email protected] [email protected]@[email protected] [email protected]@[email protected] [email protected]@tutanota.comElizabethAnt