国家互联网应急中心CNCERT勒索软件动态周报-第13期（20220129-20220204).pdf

国家互联网应急中心（CNCERT/CC） 勒索软件动态周报 2022 年第 5 期（总第 13 期） 1 月 29 日-2 月 4 日 国家互联网应急中心（CNCERT/CC）联合国内头部安全企业成 立“中国互联网网络安全威胁治理联盟勒索软件防范应对专业工作 组”，从勒索软件信息通报、情报共享、日常防范、应急响应等方面开 展勒索软件防范应对工作，并定期发布勒索软件动态，本周动态信息 如下： 一、勒索软件样本捕获情况 本周勒索软件防范应对工作组共收集捕获勒索软件样本 625906 个，监测发现勒索软件网络传播 1021 次，勒索软件下载 IP 地址 41 个，其中，位于境内的勒索软件下载地址 23 个，占比 56.1%，位于境 外的勒索软件下载地址 18 个，占比 43.9%。 二、勒索软件受害者情况 （一）Wannacry 勒索软件感染情况 本周，监测发现 2550 起我国单位设施感染 Wannacry 勒索软件事 件，较上周下降 12.9%，累计感染 14809 次，较上周下降 31.6%。与 其它勒索软件家族相比，Wannacry 仍然依靠“永恒之蓝”漏洞（MS17010）占据勒索软件感染量榜首，尽管 Wannacry 勒索软件在联网环境 下无法触发加密，但其感染数据反映了当前仍存在大量主机没有针对 常见高危漏洞进行合理加固的现象。 Wannacry感染设施数 本周 Wannacry感染次数 本周 2550 上周 上周 2929 0 1000 2000 14809 3000 4000 21641 0 10000 20000 30000 政府部门、电信、教育科研、卫生健康、互联网行业成为 Wannacry 勒索软件主要攻击目标，从另一方面反映，这些行业中存在较多未修 复“永恒之蓝”漏洞的设备。 感染Wannacry用户行业分布 其他 26.11% 电信 11.30% 教育科研 10.40% 卫生健康 6.36% 互联网 6.34% 政府部门 32.65% 公共事业 1.28% 工业制造 1.65% 金融 1.78% 能源 2.13% （二）其它勒索软件感染情况 本周勒索软件防范应对工作组自主监测、接收投诉或应急响应 28 起非 Wannacry 勒索软件感染事件，较上周上升 3.7%，排在前三名的 勒索软件家族分别为 Phobos（17.9%）、PolyRansom（17.9%）和 Magniber（10.7%） 。 用户感染勒索软件家族分布 PolyRansom 17.9% Magniber 10.7% Phobos 17.9% GandCrab 7.1% Mallox 7.1% Sodinokibi 3.6% Rook 3.6% Prometheus 3.6% Stop 7.1% Maze 3.6% Hive 3.6% Exploit 3.6% Eight 3.6% BeijingCrypt 3.6% 本周，被勒索软件感染的系统中 Windows 7 系统占比较高，占到 总量的 42.9%，其次为 Windows 10 系统，占比为 14.3%，除此之外还 包括多个其它不同版本的 Windows 桌面版本和服务器版本系统。 感染勒索软件用户操作系统分布 Windows 10 14.3% Windows 7 42.9% Windows 未知 3.6% Windows Server 2019 Windows Server 2016 3.6% 3.6% 未知 14.3% Windows Server 2008 10.7% Windows Server 2012 7.1% 本周，勒索软件入侵方式中，远程桌面弱口令排在第一位，其次 为恶意代码（蠕虫病毒）/破解软件/激活工具和漏洞利用。Phobos 勒 索软件利用弱口令漏洞特别是远程桌面弱口令频繁攻击我国用户，对 我国企业和个人带来较大安全威胁。 勒索软件入侵方式 恶意代码(蠕虫病毒)/破解软件 /激活工具 11% 漏洞利用 11% 数据库弱口令 11% 未知 28% 挂马网站 7% 远程桌面弱口令 32% 三、典型勒索软件攻击事件 （一） 国内部分 1、河北某医院多台云服务器感染 BeijingCrypt 勒索软件 本周，工作组成员应急响应了河北某医院多台云服务器感染 BeijingCryp 勒索软件。攻击者通过一台向互联网开放的数据库弱口 令获得服务器控制权，进而植入勒索软件，随后攻击者进行内网渗透， 在医院内网中进一步传播勒索病毒，共导致该医院 8 台云服务器数据 被勒索软件加密。 此事件中，攻击者利用数据库弱口令获得服务器控制权后植入勒 索软件。建议用户配置口令复杂度策略、修改弱口令、关闭不必要的 服务。 （二） 国外部分 1、零食生产商 KP Snacks 遭受 Conti 勒索软件攻击 英国知名的零食生产商 KP Snacks 近日遭受 Conti 勒索病毒攻 击，其向大型超市的供货计划已被推迟或完全取消，造成的影响可能 会持续到 3 月。据报道，该公司的内部网络已被入侵，威胁者可以访 问和加密敏感文件，包括员工记录和财务数据等。此外，Conti 团伙 发布了该公司员工的信用卡对账单、出生证明、员工地址、电话号码 和其他敏感文件的示例文件。 四、威胁情报 域名 sugarpanel[.]space IP 222.186.43.199 179.43.160.195 网址 http://44e48480feb0rivbuxpxc.handfry[.]site/rivbuxpxc http://44e48480feb0rivbuxpxc.lowlegs[.]space/rivbuxpxc http://44e48480feb0rivbuxpxc.numbhis[.]top/rivbuxpxc http://44e48480feb0rivbuxpxc.warnwe[.]xyz/rivbuxpxc http://cdn2546713.cdnmegafiles[.]com/data23072021_1.dat http://f2d0c210a62830706eb8b638ekkkkxqz.dayeven[.]space/kkkkxqz http://f2d0c210a62830706eb8b638ekkkkxqz.forrain[.]fit/kkkkxqz http://f2d0c210a62830706eb8b638ekkkkxqz.luckymy[.]quest/kkkkxqz http://f2d0c210a62830706eb8b638ekkkkxqz.mensell[.]uno/kkkkxqz http://f8fcac88fef810108eacd420e4a856e0lblwdugpw.handfry[.]site/lblwdugpw http://hivecust6vhekztbqgdnkks64ucehqacge3dij3gyrrpdp57zoq3ooqd[.]onion/ 邮箱 dec0ding@tutanota.com raincry@dr.com robud@ctemplar.com robud@outlookpro.net writeme@onionmail.org xena@airmail.cc 钱包地址 18UCkpCFZd9do9ECoAJWckevxCJF3cGCQn 13W5c6dS37jCfDHLVJxQj2HujQRsM11SAt 19pqj9SeBTVmoo5NNxhWeBKV7uCiAgwxy8