有人在的地方就有江湖，網路空間同樣即是江湖：各大勒索病毒家族大肆作惡，“老牌世家”仗著自身實力作威作福，新興家族往往勢頭勁猛，令人措手不及，“金盆洗手”的病毒也可能捲土重來……這些日益進化的勒索病毒成為威脅網路“江湖”安全的公敵。

根據360安全大腦釋出的《2019年11月勒索疫情分析》報告資料來看，在11月裡，各大勒索病毒家族繼續上演網路空間“名利場”，新興勒索病毒家族chchbuy來勢洶洶。綜合報告所呈現的整體感染態勢、勒索病毒家族分析、攻擊情況和解密資料等維度情況，勒索病毒持續蔓延對企業、個人使用者帶來的危害居高不下，使用者應警惕新增勒索病毒，提升網路安全防範意識。

最新發布的《2019年11月勒索疫情分析》報告指出，各大勒索病毒家族在11月呈現“多元化”競爭的入侵態勢，上月的“龍頭老大”GlobeImposter家族跌落榜首，“老牌世家”Crysis家族躍居頂峰，佔整體數量的15.85%；之前呈現頹勢的Stop家族重返三甲，與“後起之秀”phobos家族依次位列第二名、第三名，佔比分別為15.18%和13.62%。此外，新增勒索病毒家族chchbuy、GarrantyDecrypt的新型變種“Bigbosshorse”以及重出江湖的Satan家族都需要廣大網民提高警惕。

圖1. 2019年11月勒索病毒家族佔比圖

11月中旬，360安全大腦國內首家發現chchbuy勒索病毒的蹤跡，並對其進行深度解析。chchbuy採用了“一次一密”的加密方式，使用Salsa20演算法對每個待加密檔案使用不同金鑰加密，且最多隻加密檔案的前4KB內容。

該勒索病毒通過郵箱聯絡的方式向回信的受害者索要0.3個比特幣的贖金，價值人民幣約2萬元。目前，360安全大腦已實現有效攔截chchbuy勒索病毒。

根據近日360安全大腦的監測情況分析，GarrantyDecrypt勒索病毒家族出現新變種，不僅採用一次一密的加密方式，而且在加密檔案時只排除了Windows目錄，被加密檔案的檔案字尾會被修改為“.bigbosshorse”。該勒索病毒傳播者在暴力破解使用者遠端桌面的同時還會通過暴力破解共享檔案密碼來獲取登入使用者系統的許可權。

報告還指出，此前銷聲匿跡的Satan勒索病毒攜“新技能”再次出現，新增泛微OA漏洞利用、遠端桌面暴力破解，並保留原有的橫向傳播功能，殺傷力比數月前更大。

從360安全大腦對本月勒索病毒感染情況的監測資料來看，桌面系統仍然是主要被攻擊的系統。Windows7系統仍然高居被感染系統的首位，第二、三名依舊為Windows 10和Windows Server 2008系統。要值得注意的是，與近幾個月的被感染情況相比，11月被感染系統中，此前使用者較少的新系統Windows Server 2019也已成為被感染目標。

同時，《2019年11月勒索疫情分析》報告還對本月系統安全防護資料進行了分析，從被攻擊系統、地域情況和弱口令攻擊趨勢等方面呈現本月系統安全防護態勢，本月各類被攻擊系統佔比、地域排名級佔比資料較上月相比無較大波動。根據360安全大腦對弱口令攻擊的監測情況發現，弱口令RDP和MySQL本月呈現較為平穩的攻擊趨勢，MsSQL在10月發生大幅度上升後也逐漸趨穩。

從報告解密統計資料看，本月勒索病毒解密量仍然是GandCrab勒索病毒居首，KimChinImSev次之；其中使用360解密大師解密檔案使用者數最高的是Stop家族所攻擊的裝置，其次為Crysis家族。報告還為使用者總結了11月勒索病毒關鍵詞TOP 10，Wecanhelp因近期活動頻繁成為關鍵詞榜首，Wecanhelp屬於Nemesis勒索病毒家族，可暴力破解遠端桌面傳播。

通過對《2019年11月勒索疫情分析》報告的解讀，不難發現本月勒索病毒看似平穩活動的背後，醞釀著全新的安全威脅。針對日益進化的各類勒索病毒，360解密大師本月新增對Hakbit以及Paradise多個變種的解密支援。迄今為止，360解密大師可支援三百餘種勒索病毒解密，為受到勒索病毒感染的使用者挽救財產損失、守護電腦安全。

安全建議：

老牌勒索病毒死灰復燃，新增勒索病毒層出不窮，面對依舊嚴峻的勒索病毒疫情態勢，360安全大腦提醒各位使用者提高警惕，可通過以下防禦措施全面提升勒索病毒防禦水平：

2、企業伺服器管理員應警惕弱口令攻擊，避免多臺機器使用同一賬號和口令，確保登入口令長度與複雜性，並做到定期更換；

3、重要資料的共享資料夾應設定訪問許可權控制，並進行定期備份；

4、定期檢測系統和軟體中的安全漏洞，及時打上補丁；

5、個人使用者應從正規渠道下載安裝軟體，慎用各種啟用工具；對於已經被防毒軟體攔截查殺的陌生軟體，切勿新增信任繼續執行；

6、謹慎檢視陌生使用者傳送的郵件，儘量避免下載附件；