2020年已经过半，不仅新冠病毒还在全球肆虐，勒索病毒也越来越猖獗。我们一定要提高安全意识，防止被勒索病毒攻击，全球的勒索病毒黑客组织都在日夜不停的不断寻找着他们下一个攻击目标，通过向目标植入勒索病毒快速获利。今天跟大家聊聊最近几款勒索病毒家族的一些最新情况，这几款勒索病毒位于排行榜前四名，

Sodinokibi勒索病毒

Sodinokibi勒索病毒(也称REvil)，2019年5月24日首次在意大利被发现，在意大利被发现使用RDP攻击的方式进行传播感染，这款病毒被称为GandCrab勒索病毒的接班人，在短短几个月的时间内，已经在全球大范围传播，这款勒索病毒与GandCrab勒索软件存在很多关联， Sodinokibi勒索病毒是一种勒索即服务(RAAS)的模式进行分发和营销的，并采用了一些免杀技术避免安全软件检测到，主要通过Oracle WebLogic漏洞、Flash UAF漏洞、网络钓鱼邮件、RDP端口、漏洞利用工具包以及攻击一些托管服务提供商MSP等方式发起攻击，这款勒索病毒最新的版本为2.2，增加了自启动注册表项等，同时还发现一批最新的采用PowerShell脚本进行无文件攻击的变种样本。

Phobos勒索病毒

Phobos勒索病毒是2019年8月出现的一款新型的勒索病毒，这款勒索病毒与此前发现的CrySiS(Dharma)勒索病毒在一些行为表现上非常相似，然而两者的代码结构完全不同，属于两个不同的勒索病毒家族，这款勒索病毒主要通过RDP方式入侵，然后再受害者主机上运行勒索病毒加密文件，近期监控到这款勒索病毒最新的变种样本，这批变种样本主要以devos、devoe、devil、dever、dewar、actin、acton、actor、acuff、acute等加密后缀为主，目前这款勒索病毒的加密后缀，流行的已经有几十个不同变种。

CrySiS勒索病毒

CrySiS勒索病毒，又称Dharma，首次出现是在2016年，2017年5月此勒索病毒万能密钥被公布之后，之前的样本可以解密，导致此勒索病毒曾消失了一段时间，不过随后又马上出现了它的一款最新的变种样本，加密后缀为java，通过RDP暴力破解的方式进入受害者服务器进行加密勒索。

Ryuk勒索病毒

Ryuk勒索病毒最早于2018年8月被首次发现，它是由俄罗斯黑客团伙GrimSpider幕后操作运营，GrimSpider是一个网络犯罪集团，使用Ryuk勒索软件对大型企业及组织进行针对性攻击，C.R.A.M. TG Soft(反恶意软件研究中心)发现Ryuk勒索软件主要是通过网络攻击手段利用其他恶意软件如Emotet或TrickBot等银行木马进行传播，Emotet和TrickBot银行木马主要用于盗取受害者银行网站登录凭据，同时充当下载器功能，提供下载其它勒索病毒服务，为啥Emotet和TrickBot银行木马会传播Ryuk勒索病毒，因为TrickBot银行木马传播渠道的运营者是俄罗斯黑客团伙WIZARD SPIDER，GRIM SPIDER是俄罗斯黑客团伙WIZARD SPIDER的部门之一，这款勒索病主要在国外比较流行，针对一些大型企业进行定向攻击勒索。

为有效做好勒索疫情防控，不管是企业，还是个人一定要提高警惕，以防被勒索病毒趁虚而入，需要提高安全意识，勒索病毒，以防为主。为此笔者特别提醒大家需注意以下两点：

1、 全面提升勒索病毒防御水平，提早部署具备入侵防御功能和智能入侵感知的产品，杜绝勒索病毒攻击；

2、 中招用户可立即联系具备数据安全服务能力的IT服务公司，通过安全扫描，进行勒索病毒检测并恢复被加密文件。

文/上海蓝盟，IT外包服务专家

• 上一篇: 蓝盟IT外包应急支持服务：3分钟极速响应，2小时内火速到场，专属团队全方位助力企业信息系统高效运营
  下一篇: 防御入侵，阻断勒索病毒，蓝盟解密救援全服务，为客户守护安全

• 分享到：