國家互聯網應急中心（CNCERT/CC）聯合國內頭部安全企業成立“中國互聯網網絡安全威脅治理聯盟勒索軟件防范應對專業工作組”，從勒索軟件信息通報、情報共享、日常防范、應急響應等方面開展勒索軟件防范應對工作，并定期發布勒索軟件動態，本周動態信息如下：

　　一

　　勒索軟件樣本捕獲情況

　　本周勒索軟件防范應對工作組共收集捕獲勒索軟件樣本39257個，監測發現勒索軟件網絡傳播2435次，勒索軟件下載IP地址219個，其中，位于境內的勒索軟件下載地址97個，占比44.3%，位于境外的勒索軟件下載地址122個，占比55.7%。

　　二

　　勒索軟件受害者情況

　　（一）Wannacry勒索軟件感染情況

　　本周，監測發現3216起我國單位設施感染Wannacry勒索軟件事件，累計感染61632次，與其它勒索軟件家族相比，Wannacry仍然依靠“永恒之藍”漏洞（MS17-010）占據勒索軟件感染量榜首，盡管Wannacry勒索軟件在聯網環境下無法觸發加密，但其感染數據反映了當前仍存在大量主機沒有針對常見高危漏洞進行合理加固的現象。

　　政府部門、教育科研、衛生健康、互聯網行業成為Wannacry勒索軟件主要攻擊目標，從另一方面反應，這些行業中存在較多未修復“永恒之藍”漏洞的設備。

　　（二）其它勒索軟件感染情況

　　本周勒索軟件防范應對工作組接收或監測發現162起非Wannacry勒索軟件感染事件，排在前三名的勒索軟件家族分別為locky（16%）、GandCrab（16%）和hauhitec（15%）

　　本周，被勒索軟件感染的系統中Windows7系統比例占比較高，占到總量的44%，其次為Windows10系統，除此之外還包括少量Windows服務器系統。

　　三

　　典型勒索軟件攻擊事件

　　（一）國內部分

　　1、YourData勒索軟件正在利用“匿影”僵尸網絡大肆傳播

　　近期，安全研究人員發現，YourData勒索軟件正通過“匿影”僵尸網絡在國內大肆傳播，對個人電腦的威脅愈加強烈。

　　YourData勒索軟件又被稱作Hakbit、Thanos家族，最早出現于2019年11月。但在今年1月之前，國內極少出現被該病毒或變種攻擊案例。2021年1月開始在國內出現該家族的變種。

　　在前幾個月的病毒傳播中，該病毒家族主要采用的攻擊手段是RDP爆破，在爆破成功后會進行手動投毒，為每一個受害用戶生成專屬頁面。從今年7月開始，該病毒家族開始通過“匿影”僵尸網絡進行傳播，在10月開始出現大面積感染的情況。

　　“匿影”僵尸網絡將病毒捆綁在非正規渠道的BT下載器、安裝包、激活/破解軟件等工具中，當用戶安裝使用這些工具時，“匿影”將會下載釋放各類病毒，感染用戶設備，同時還將利用被感染設備進行橫向移動。

　　2、Magniber通過色情網站吸引用戶，利用IE漏洞進行傳播

　　11月10日消息，Magniber勒索軟件攻擊事件頻發，利用IE瀏覽器漏洞進行無文件傳播。

　　Magniber是一種利用 IE 漏洞的無文件勒索軟件，于2017年開始作為Cerber勒索軟件的繼承者，最初只感染韓國的用戶，近期在國內有大肆傳播趨勢。

　　該勒索軟件自3月15號以來，利用CVE-2021-26411漏洞進行分發傳播，在9月14日微軟推送了安全補丁之后，于近日被發現增加對CVE-2021-40444漏洞的利用。在被感染后，該病毒還會利用PrintNightmare漏洞進行提權。

　　安全人員分析表示，該勒索軟件團伙主要在色情網站的廣告位投放帶有攻擊代碼的廣告，在用戶訪問到廣告時，就可能會中招，感染勒索軟件。

　　（二）國外部分

　　1、美國國務院對多個勒索軟件作者發出千萬美元懸賞

　　本周，美國國務院的“跨國有組織犯罪獎勵計劃（TOCRP）”對外發出懸賞。該懸賞稱最高可提供1000萬美元用于識別、定位Sodinokibi（REvil）勒索軟件家族或DarkSide勒索軟件家族的制作組織主要成員，另外還對能夠提供定位任何參與過這兩家勒索軟件攻擊事件的人員信息的舉報者500萬美元的獎勵。

　　該計劃主要用于打擊各種跨國的有組織犯罪集團，定位組織的關鍵領導人。除了上述有針對性的對兩個勒索軟件家族提出懸賞外，該計劃還懸賞1000萬美元，獎勵有國家資助的黑客攻擊美國基礎設施的相關信息舉報者。

　　2、羅馬尼亞警方逮捕REvil相關嫌疑人

　　11月8日消息，兩名REvil勒索軟件團伙相關人員于11月4日在羅馬尼亞被捕，據稱被捕二人應對遭其勒索軟件攻擊感染的數千名受害者負責。目前，布加勒斯特法庭已下令對兩名被捕嫌疑人進行30天的審前拘留。

　　同期，科威特當局還逮捕了一個GandGrab勒索軟件團伙關聯組織，其中三人涉嫌發起了近7000次勒索軟件攻擊，索要贖金超2億歐元。今年年初以來，另有三名被認為是REvil勒索軟件團伙關聯組織的人員分別在韓國、歐洲被警方逮捕，一定程度上遏制了勒索軟件的勢頭。

　　3、德國醫療軟件提供商Medatixx遭受勒索軟件攻擊

　　本周披露，11月初，德國醫療軟件巨頭Medatixx遭到勒索攻擊，影響了醫療機構的內部 IT 系統，導致其運營系統癱瘓。攻擊者很可能在攻擊過程中竊取了 Medatixx 客戶的密碼。因此11月9日，Medatixx披露了此次攻擊，敦促用戶重置密碼。德國大約 25% 的醫療中心使用了 Mediatixx 解決方案，此次勒索攻擊可能是德國醫療系統有史以來遭受的最嚴重的網絡攻擊。

　　4、歐洲電子零售巨頭MediaMarkt遭Hive勒索軟件攻擊

　　電子零售巨頭MediaMarkt在當地時間11月7日至11月8日期間，遭到勒索軟件攻擊。其服務器及工作站等設備數據被加密，最終公司只能關閉IT系統以阻止事態蔓延。據了解，此次攻擊影響了整個歐洲的眾多零售店，其中荷蘭和德國的相關商店受影響最嚴重，運營一度中斷。

　　根據目前公開的消息，受到此次攻擊影響的共有3100余臺服務器。而攻擊的幕后黑手可能是Hive勒索軟件，該病毒對MediaMarkt開出了高達2.4億美元的巨額贖金。

　　2021年6月，Hive勒索軟件首次出現在大眾視野，和成名已久的勒索軟件相似，都是通過網絡釣魚活動開展網絡攻擊行動。一旦獲得攻擊目標網絡的訪問權限，立即通過網絡橫向傳播，同時竊取未加密的文件用于敲詐勒索。

　　另外，當攻擊者獲得Windows域控制器的管理員訪問權限時，會在整個網絡中部署勒索軟件用于加密所有設備。

　　四

　　威脅情報

　　MD5

　　8fa81c255de6369047674e112f8da58f

　　bfa8d66509e07faba724dc0f9035c0d3

　　b52bd4632956921b14bbdc8ca778fa25

　　db0dbd31d75cf146b3c400282e6bb40a

　　ad6687656ce8c983e53246f2941fb384

　　21b69f5b7c0153e14ee41333eae34f5d

　　5677a7cce44531214657a81fc55fcd2a

　　c1ec31554f0efc16ed07d7fa954dae04

　　625baee6425e2cf1b9cd5fb33bc2633c

　　ad113aac83ec6568b0ead8e9000c438c

　　3b2c18e4cb5044642de996ffed338583

　　21b69f5b7c0153e14ee41333eae34f5d

　　5677a7cce44531214657a81fc55fcd2a

　　c1ec31554f0efc16ed07d7fa954dae04

　　625baee6425e2cf1b9cd5fb33bc2633c

　　ad113aac83ec6568b0ead8e9000c438c

　　3b2c18e4cb5044642de996ffed338583

　　9e609932c59d043565c5d3e5260f571b

　　域名

　　vyewxn2lkxrihikeunagqqoakralogk5ze5vaxrkahvkjdug6rcwdsqd.onion

　　Fitdbud.uno

　　paymenthacks.com

　　nowautomation.com

　　fluentzip.org

　　mojobiden.com

　　郵箱

　　coronaviryz@gmail.com

　　korona@bestkoronavirus.com

　　coronavirus@exploit.im

　　anton_rozhko1991.05@mail.ru