360安全卫士发布2019年3月勒索病毒报告

随着勒索病毒的蔓延，给企业和个人都带来了严重的威胁，360安全大脑针对勒索病毒进行了全方位的监控与防御。从本月的数据来看，反勒索服务的反馈量有小幅度下降，但其中新增的Paradise勒索病毒反馈较大，需要格外注意防范。

360解密大师在本月新增了对PewCrypt、CRYPTED!以及ChinaYunLong三款勒索病毒的解密。

感染数据分析

通过对2019年3月勒索病毒的反馈数据统计看，本月的反馈相对于2019年2月有小幅度的下降。本月勒索病毒整体相对比较平静，无新增的大规模传播渠道。

图1. 近12个月勒索病毒反馈统计

反馈趋势看，本月有三次反馈高峰。其中在月初出现过两次，主要原因有两点：一是Satan勒索病毒在3月初更新了其勒索病毒版本；二是在3月初挂马网站传播GandCrab勒索病毒的情况仍然比较突出。在3月21日出现第三次反馈高峰，主要是因为两款新勒索病毒Paradise和immortallock开始在国内传播。

图2. 2019年3月勒索病毒反馈趋势

对本月勒索病毒家族占比进行分析发现，GandCrab勒索病毒家族仍是所有勒索病毒家族中占比最高的——达到38.06%，不过与2月份相比下降了8.5%。其次是占比25.81%的GlobeImposter勒索病毒家族和占比16.13%的Crysis勒索病毒家族。此外，值的一提的是：在本月下旬新出现的勒索病毒Paradise的占比（7.74%）直接就跃居到了第四位。

图3. 2019年3月勒索病毒反馈分布图

从感染系统的占比看，本月占比居前三的仍是Windows 7、Windows Server 2008和Windows 10。其中Windows 7系统以占比49.71%在所有系统版本中居首位，但相较于上个月的54.92%，仍属于下降的态势。

图4. 2019年3月份被感染系统占比图

对比2019年2月和2019年3月被感染系统情况，发现这两月被感染系统中个人系统占比和服务器系统占比相对稳定，变化不是很大。

图5. 2019年2月与2019年3月被感染系统类型对比图

勒索病毒疫情

GandCrab勒索病毒

本月位居首位的GandCrab勒索病毒，其主要传播方式仍然是下面三种：

1. 排第一的是通过挂马网站传播

2. 其次是通过爆破远程桌面，之后手动投毒

3. 最后是通过发送钓鱼邮件，诱导用户下载并运行带有勒索病毒的邮件附件从而感染用户系统。

其中，网站挂马主要是使用了在暗网上公开售卖的Fallout Exploit Kit漏洞利用工具进行攻击。360安全大脑对其进行监控发现，GandCrab的拦截量在本月3月17日曾大幅度上涨。但并未实质性的造成大规模感染疫情。

图6. GandCrab通过漏洞进行传播态势图

Satan勒索病毒

Satan勒索病毒在3月进行过多次更新，在3月1日，攻击者曾大幅提高其攻击量来传播其最新变种。360解密大师也对其最新变种（后缀为evopro）进行了解密支持。后续，该勒索病毒作者还新增了appro和satan_pro后缀，360解密大师也在第一时间进行了跟进支持。

图7. Satan勒索病毒传播态势

Paradise勒索病毒

在本月，Paradise勒索病毒是新增勒索病毒中感染量最高的一款（该病毒曾在2018年短暂出现过，当时主要通过爆破远程桌面口令，之后手动投毒传播)。勒索提示信息方面，该勒索病毒生成的勒索提示信息以及被加密的文件名格式都是模仿的Crysis勒索病毒；而传播渠道方面则模仿了GandCrab勒索病毒的渠道，通过在暗网上购买Fallout Exploit Kit漏洞工具进行传播；在仅在本月该勒索病毒就出现了四个变种（修改后缀为.exploit、. p3rf0rm4、 .paradise、.pro）。按照当前的变种速度和传播手段预估，在未来的几个月，Paradise勒索病毒可能会成为增长最快的勒索病毒之一。

图8. Paradise勒索病毒提示信息

CRYPTED!勒索病毒

3月27日，360安全大脑监测到有黑客通过虚假种子资源传播一种新的勒索病毒“CRYPTED!”并勒索0.1比特币赎金。在攻击中，黑客利用最新的WinRAR远程代码执行漏洞CVE-2018-20250下发勒索病毒，并攻击了数百台国内的计算机。

图9. CRYPTED!勒索病毒勒索提示信息

黑客选择的加密算法是速度较快的TEA加密算法，原始密钥以资源的形式存储在勒索病毒中。勒索病毒取出原始密钥后，原始密钥会与被加密文件文件名的首个字符进行异或运算后形成每个文件独有的加密密钥，对文件内容进行加密。经过360安全大脑分析，该加密算法可以破解，并已在360解密大师中进行了支持，中招用户可是用360解密大师进行解密。

GlobeImposter勒索病毒

在本月，出现的一款被称之为“auchentoshan”的“新勒索病毒”，由于反馈中招的用户较多，引起了广泛的关注。经过360安全大脑鉴定该勒索病毒为GlobeImposter的一个新变种。此次变种主要更新了勒索提示信息以及后缀。代码和之前版本的相似度为99%，并没有做大幅度更改。其传播方式也仍是通过爆破远程桌面，拿到口令后手动投毒。用户也不必太过恐慌，使用复杂的计算机口令，安装360安全卫士并开启系统防护功能即可防护。

图10. GlobeImposter最新变种和老版本代码相似度图

黑客信息披露