勒索病毒“后浪”奔涌：BalaClava、WannaGreenHat家族争相出位

　　天气渐热，全国多地高温陆续“上线”，直逼历史峰值，与此同时，网络黑客“趁热”打劫，再掀全球勒索风潮。据360安全大脑监测，在刚刚过去的5月中，不仅GlobeImposter、Phobos、Crysis三大家族输出持续爆表，同时BalaClava、WannaGreenHat、RagnarLocker等勒索“后浪”也同样争相出位，引无数计算机用户不禁感叹：“贵圈太乱。”

　　GlobeImposter勒索家族晋升头号“悍匪”

　　BalaClava勒索家族尽显惊人破坏力

　　360安全大脑发布的《2020年5月勒索病毒疫情分析》显示，当月榜单头部梯队依旧上演虎狼之争。其中，GlobeImposter家族以22.85%的占比“反杀”上月毒王phobos家族，成为头号勒索“悍匪”，Crysis家族则连晋两位杀入榜单前三。而在后续部队中，同样不乏发力迅猛的新生恶势力，BalaClava家族刚出道两月，就已坐稳榜单TOP 10，尽显惊人破坏力。

　　该勒索病毒家族主要有KEY0001、KEY0003、KEY0004、KEY0005等多种变种，通常在暴力破解远程桌面口令成功后再进行手动投毒，并采用NTRU加密算法的密钥加密操作。大批计算机用户在4月底到5月期间无辜中招，其杀伤力可见一斑。

　　当月中，360安全大脑还监测到一款国产勒索病毒WannaGreenHat，其会将文件后缀修改为WannaGreenCap，并让中毒用户联系指定QQ获取解密密钥。有可能是考虑到了海外受害者的“用户体验”，该勒索病毒作者还特别给出了“什么是QQ”的“友情提示”。

　　但从360安全大脑监测到的数据来看，该病毒“出师未捷身先死”，在还未大范围传播之前，就已被360解密大师成功攻破并支持解密。

　　此外，针对企业攻击的RagnarLocker勒索病毒家族，在当月采取了新的传播方式来试图绕过杀毒软件的检测。其会在被攻陷主机上部署一个完整的VirtualBox虚拟机软件，然后将主机的磁盘映射到虚拟机中，从而达到在虚拟机中运行勒索病毒加密主机中文件，或者窃取用户重要数据以威胁用户支付赎金的目的。据有效统计，该病毒索要的赎金在20万美元到60万美元不等。

　　由于勒索病毒作恶猖獗，当月被感染系统占比也随之发生变化。上月“战况胶着”的Windows 7和Windows 10两大系统，终于在当月已见分晓，Windows 7系统以36.59%的占比成为最受勒索病毒PICK的攻击首选。

　　Win 7系统沦为众矢之的

　　360安全大脑多维防治勒索疫情

　　无独有偶，在当月被弱口令攻击系统占比中，Windows 7同样以76.99%的占比占据了所有被攻击系统数据的过半江山，沦为众矢之的。

　　在当月出现的弱口令攻击中，虽然MYSQL弱口令攻击并未出现无较大波动，但MSSQL和RDP的弱口令攻击却均出现一次较大幅度的上涨。

　　同时，MSSQL投毒拦截态势与攻击态势有所出入，出现这一情况可能是由于MSSQL的峰值攻击并非实战攻击，可能存在测试性攻击;或者是可能因为攻击者攻陷服务器后并未立刻进行投毒操作，而是留作“库存”。

　　从360安全大脑发布的《2020年5月勒索病毒疫情分析》报告中不难看出，老牌毒王实力维稳，新起势力来势汹汹，勒索病毒依旧将持续威胁到万千企业及个人用户的用机安全。

　　为多维抵御各类勒索病毒攻击，360安全大脑已采取了多项防治措施。截止2019年11月，在360安全大脑强势赋能下，360解密大师作为全球规模最大、最有效的勒索病毒解密工具，累计支持解密勒索病毒超过320种，服务用户机器超26000台，解密文件近8500万次，挽回损失超5.47亿元。

　　在2020年5月中，360解密大师再度新增了对WannaGreenHat、Dodged勒索病毒家族的解密支持，以及对部分Buran加密格式文件的修复支持。从其整体解密统计数据看，当月解密量最大的是GandCrab，而使用解密大师解密文件的用户数量最高的则仍是Stop家族的中招设备。

　　为避免勒索病毒攻击的趋势进一步蔓延，360安全大脑特别提醒各位用户需注意以下几点，全面提升勒索病毒防御水平：

　　1、及时前往weishi.360.cn下载安装360安全卫士，全面拦截各类勒索病毒攻击;

　　2、中招用户应立即前往lesuobingdu.360.cn确认所中勒索病毒类型，并通过360安全卫士 “功能大全”窗口，搜索安装“360解密大师”后，点击“立即扫描”恢复被加密文件。