360：2021年勒索病毒流行态势报告（71页）.pdf

1、 2021 年 勒索病毒流行态势报告 高级威胁研究分析中心-反病毒运营部 2022 年 1 月 前 言 本次报告根据 2021 年 360 政企安全高级威胁研究分析中心反病毒部所监测、分析和处置的勒索病毒事件为基础，进行分析梳理与情况总结。内容以国内形势为基础，也加入了国际热点事件与形势的分析，旨在评估勒索病毒在 2021 年所展现出来的传播及演化态势，进而对勒索病毒在未来可能会产生的发展方向进行探究，以此帮助个人用户和企业管理员更好的做出安全规划，降低被勒索攻击风险。360 反病毒部是 360 政企安全集团的核心能力支持部门，由一批常年在网络安全一线进行对抗防御的专家组成，负责流行病毒木马的

2、监测、防御、处置和新安全威胁研究。维护着360 高级主动防御系统、360 反勒索服务等基础安全服务，并为用户提供了横向渗透防护、无文件攻击防护、软件劫持防护、挖矿木马防护等多项防护功能，保护广大网民上网安全。摘 要 360 反勒索服务全年共接收并处理了超 4100 例勒索病毒攻击求助，其中超过 4000 例确认遭受勒索病毒攻击。受三款新兴勒索病毒家族影响，勒索攻击反馈在年末的 10、11、12 三个月呈现了较为明显的上涨态势。国内流行勒索病毒家族以 phobos、Magniber、Stop 为主，这三大勒索病毒家族的受害者占比约为 37.3%。逐月分析流行勒索病毒各家族占比，则发现通过弱口令攻

3、击部署病毒的传播量较为平稳，而通过其他传播方式投放的勒索病毒则传播量波动较大。勒索病毒加密手段日渐趋同，说明主流技术方案已基本成熟，也意味着通过代码漏洞破解勒索病毒将会越来越困难。远程桌面依然是勒索病毒最主要的入侵方式，在所有入侵方式中占到近 6 成。双重/多重勒索已成发展趋势，Conti、LockBit、Pysa 三大家族领头。重点攻击服务、加工制造、金融与贸易等行业。美国成为此类攻击的重灾区。勒索病毒家族更迭不休，既有新增也有消亡。各国警方打击成为勒索病毒消亡的主要原因。广东、江苏、山东三省遭勒索病毒攻击最多。桌面操作系统依然是受攻击的主要目标，但 NAS 等原本的小众设备也开始受到勒索病

4、毒重视。加工制造、教育&科研、批发零售则成为国内最受勒索病毒“青睐”的目标行业。泛欧盟地区成为勒索攻击的主要来源，保加利亚与伊朗紧随其后。勒索病毒联系邮箱超8 成为匿名邮箱，难以溯源。勒索病毒入侵手段日趋多样化，“七管齐下”给安全人员带来防御新考验。目 录 第一章 勒索病毒攻击形势.1 一、一、勒索病毒概况勒索病毒概况.1(一)勒索家族分布.2(二)主流勒索病毒趋势.2(三)加密方式分布.3(四)编译时间看勒索病毒.4(五)勒索赎金分析.5 二、二、勒索病毒传播方式勒索病毒传播方式.6 三、三、多重勒索与数据泄露多重勒索与数据泄露.6(一)行业统计.7(二)国家与地区分布.8(三)家族统计.8

5、(四)逐月统计.9(五)数据泄露的负面影响.9 四、四、勒索病毒家族更替勒索病毒家族更替.10(一)每月新增传统勒索情况.10(二)每月新增双重/多重勒索情况.12(三)每月消失勒索病毒情况.13 第二章 勒索病毒受害者分析.15 一、一、受害者所在地域分布受害者所在地域分布.15 二、二、受攻击系统分布受攻击系统分布.16 三、三、受害者所属行业受害者所属行业.17 四、四、受害者支付赎金情况受害者支付赎金情况.18 五、五、对受害者影响最大的文件类型对受害者影响最大的文件类型.18 六、六、受害者遭受攻击后的应对方式受害者遭受攻击后的应对方式.19 第三章 勒索病毒攻击者分析.21 一、一

6、、黑客使用黑客使用 IPIP.21 二、二、勒索联系邮箱的供应商分布勒索联系邮箱的供应商分布.21 三、三、攻击手段攻击手段.22(一)弱口令攻击.22(二)横向渗透.22(三)利用系统与软件漏洞攻击.24(四)网站挂马攻击.25(五)破解软件与激活工具.25(六)僵尸网络.26(七)供应链攻击.27 第四章 勒索病毒发展趋势分析.29 一、一、勒索病毒攻击发展勒索病毒攻击发展.29(一)多重勒索常态化，信息泄露成企业痛点.29(二)影响社会运转，成为全球共同挑战.29(三)攻击多元化，向更多平台扩散.30(四)云服务商将面临更多考验.30 二、二、勒索病毒的防护、处置与打击勒索病毒的防护、处