用心将技术和服务遍布全中国
一切都是为了价值无法衡量的数据！

我们坚信
无论您在哪里
我们都能为您提供
最优质、及时、可靠的数据恢复服务！

如需恢复数据，请您致电:
客服：400-1050-918
技术：133-188-44580 166-6622-5144

2020年9月勒索病毒疫情分析报告出炉，情况不容乐观。

2022-12-11 12:04:00 10488 编辑：91数据恢复专家来源：本站原创

勒索病毒传播至今，已累计接收到上万勒索病毒感染求助。勒索病毒的蔓延，给企业和个人都带来了严重的安全威胁。针对勒索病毒进行了全方位的监控与防御。本月新增ThunderX、LeakThemAll、Pewpew、Demon、Dusk、Badbeetteam、WoodRat、Badbax等勒索病毒家族。

感染数据分析

分析本月勒索病毒家族占比：phobos家族占比23.89%居首位；其次是占比17.00%的Crysis；GlobeImposter家族以占比16.60%位居第三。本月新增的勒索并未有大量传播态势，针对NAS(网络附属存储)设备进行攻击的Ech0raix勒索病毒在本月再度活跃，并成功打入前十。

图1. 2020年09月勒索病毒家族占比

从被感染系统分布看：本月位居前三的系统是：Windows 10、Windows7和Windows Servers 2008。而从本月被感染设备数据看，NAS类设备再次被黑客作为攻击目标。

图2. 2020年09月被感染系统占比

2020年09月被感染系统中桌面系统和服务器系统占比显示，受攻击的主要系统仍是个人桌面系统。被攻击的NAS设备占少部分。

图3. 2020年09月被感染系统占比

勒索病毒疫情分析

Crysis

Crysis勒索病毒是持续活跃时间最长的勒索病毒之一。该勒索病毒的变种已累计高达数百种，这和其源代码在被暗网被公开售卖有很大关系。该家族大部分均要求受害者通过邮件与黑客进行联系，但在本月发现一个变种是通过暗网地址以及telegram进行联系的。在通过暗网地址进行联系时，回复响应不及时，且没有保存之前对话记录，每次打开都是一个全新的对话。

图4. Crysis变种暗网地址

在通过telegram联系黑客时，也发现有大量账户名类似的高仿账户，伪装成该勒索病毒传播者骗取用户赎金。在进行沟通中发现，这部分人并不会同意你免费试解密文件，而且非常的警觉——如果你问题太多或者对他产生质疑，他会直接将进行屏蔽。可能这也与该勒索病毒传播者回复消息不及时有关，不幸中招的用户如果联系黑客，也要注意甄别，以防被骗。

以下为部分与骗子的对话：

图5. Telegram对话

还有部分骗子，在用户提出需要测试解密文件，对方会向用户索要150美元的保证金后才会提供测试解密文件。但真的黑客为了赚取后续大笔的赎金，大多是会免费提供解密测试机会以展示解密能力的，这里也应该注意。

图6. Telegram对话

Ech0Raix

Ech0Raix勒索病毒是一款针对NAS (网络附属存储)设备进行攻击的勒索病毒。该病毒国内最早出现于2019年6月，通过nDay漏洞和暴力破解手段进行传播。这是该病毒在国内的第二次成规模的进行攻击，大部分中招用户均因登录口令太弱导致。该病毒在加密文件后会将文件后缀修改为encrypt，并向受害者索要0.005~0.06个比特币。

图7. Ech0Raix支付页面

勒索病毒新趋势——数据泄露

在以往，勒索病毒危害给人的印象仅为加密文件、破坏系统，但今年开始，越来越多的勒索病毒攻击会伴随着数据泄露，随之而来的这类攻击案例也越来越多，企业用户更应该加强防护，避免自己成为下一个受害者。

据不完全统计，自2019年11月首次公开报道出现勒索病毒窃取数据并泄露的事件以来，不到一年时间里，参与数据窃取的流行勒索病毒家族团伙已超过20个，其中具有代表性的家族有：Maze、Sodinokibi、Clop、Conti、NetWalker和SunCrypt等。

最先开始系统性的窃取数据，并以泄露为威胁勒索赎金的勒索病毒家族Maze，已在其网站公布184家受害者数据，其中139家数据被完全公布，45家的数据正在公布中。勒索病毒的危害正在进一步加强。

图8. 数据泄露

黑客信息披露

以下是本月搜集到的黑客邮箱信息：

x3m@usa.com	tools1990m@gmail.com	decryptor666@420blaze.it
AESMew@pm.me	crypto0077@gmail.com	newhelper24@protonmail.ch
rx99@cock.li	De-crypt@foxmail.com	sookie.stackhouse@gmx.com
murryu@aol.com	rdp571@protonmail.ch	Ctorsenoria@ttutanota.com
cryhelp@dr.com	maedeh81@firemail.cc	SurpriseN1@protonmail.com
pewpew@TuTa.io	newrecoverybot@pm.me	alexwind46@protonmail.com
r4ns0m@cock.li	xilttbg@tutanota.com	sorcinacin@protonmail.com
alfryy@cock.li	PabFox@protonmail.com	neyhyretim@protonmail.com
l_crypt@aol.com	Sidmouleux996@aol.com	securityteamex@yandex.com
FoxHelp@cock.li	virus@countermail.com	MikeyMaus77@protomail.com
epicday@cock.li	Genovo@protonmail.com	rdpconnect@protonmail.com
moncler@cock.li	crioso@protonmail.com	Steven77xx@protonmail.com
mr.yoba@aol.com	akzhq808@tutanota.com	TeslaBrain@protonmail.com
mk.rain@aol.com	filerestory@gmail.com	unlock0101@protonmail.com
mk_rain@aol.com	btcsupport@msgsafe.io	Founder94@yakuzacrypt.com
jacdecr@tuta.io	sambolero@tutanoa.com	johnsonwhate@tutanota.com
js3010@rape.lol	best@desharonline.top	decrypter02@cumallover.me
newbang@cock.li	mrromber@tutanota.com	getthefiles2@protonmail.ch
M0rphine@cock.li	decoderforyou@cock.li	leakthemall@protonmail.com
Helpsir@rape.lol	immunityyoung@aol.com	suppdecrypt@protonmail.com
operator3@qq.com	pewpew@Protonmail.Com	notesteam2018@tutanota.com
decrypt@rape.lol	polssh@protonmail.com	MayarChenot@protonmail.com
decrypt20@vpn.tg	lewismccown@yahoo.com	michael.reynolds74@aol.com
corebitp@cock.li	ultrasert77@gmail.com	yourlastchancehelp@cock.li
mk.kabal@aol.com	blair_lockyer@aol.com	unlockme123@protonmail.com
d.fedor2@aol.com	ww6666@protonmail.com	Decryptions@protonmail.com
mk.smoke@aol.com	farik1@protonmail.com	blackroot54@protonmail.com
Rezcrypt@cock.li	pittt@prt-decrypt.xyz	darkencryptor@tutanota.com
bosxsxsx@cock.li	support@p-security.li	recowerdata@protonmail.com
repairdb@mail.fr	2k19sys@p-security.li	jimmtheworm@dicksinmyan.us
1rest0re@cock.li	wecanh3lpyou2@cock.li	Recoverybat@protonmail.com
BatHelp@india.com	wecanhelpyou@elude.in	klowershit1835@tutanota.com
rdpunlock@cock.li	rdpmanager@airmail.cc	decoder83540@protonmail.com
mrromber@cock.lii	gomer@horsefucker.org	immunityyoung@aol.com.young
Crypt@zimbabwe.su	piterpen02@keemail.me	viruszone4209@opentrash.com
dcr@cumallover.me	BatHelp@protonmail.com	e95c12d08b14@protonmail.com
swhost@msgsafe.io	ThunderBirdXeX@cock.li	support@all-ransomware.info
coryell.r@aol.com	russiawolf09@gmail.com	nemesis-decryptor@india.com
alexbanan@tuta.io	05250lock@tutamail.com	BackFileHelp@protonmail.com
pay@cyberdude.com	reidcry@hackermail.com	cryptofiles@horsefucker.org
mk.baraka@aol.com	fartcool@protonmail.ch	decodeodveta@protonmail.com
m.reptile@aol.com	rdp_unlock@outlook.com	mzrdecryptorbuy@firemail.cc
m.subzero@aol.com	777decoder777@tfwno.gf	helptounlock@protonmail.com
SuckBaBe@Rape.LoL	polssh1@protonmail.com	johnsonwhate@protonmail.com
A654763764@qq.com	rizonlocker@airmail.cc	remotePChelper@tutanota.com
doctor666@mail.fr	BhatMaker@tutanota.com	filemaster777@protonmail.com
doctor666@cock.li	divevecufa@firemail.cc	deloneThunder@protonmail.com
support@lzt.design	elfbash@protonmail.com	777decoder777@protonmail.com
prndssdnrp@mail.fr	Adamfox69@criptext.com	decoderforyou@protonmail.com
decrypt@europe.com	admcphel@protonmail.ch	SuzuMcpherson@protonmail.com
vulicapson@cock.lu	petrus34@p-security.li	securityit123@protonmail.com
vulicapson@tuta.io	decryptdocs@msgsafe.io	jacksteam2018@protonmail.com
rightcheck@cock.li	montanarecover@aol.com	loyaldecrypt@privatemail.com
berstife@gmail.com	montanarecover@cock.li	caizonatu1987@protonmail.com
linajamser@aol.com	data_cloud2012@aol.com	nowabosag1988@protonmail.com
databack44@tuta.io	x3m-pro@protonmail.com	DharmaParrack@protonmail.com
endereless@cock.li	contactsupport@cock.li	paradise@all-ransomware.info
SurpriseN1@aol.com	helpdesk_nemty@aol.com	cyber.duskfly@protonmail.com
epicday@airmail.cc	FilesHelp@tutanota.com	don-corleone@mortalkombat.su
alexwind46@aol.com	RestoreData@airmail.cc	letitbedecryptedzi@gmail.com
badbeeteam@cock.li	softs98@protonmail.com	Mr.TeslaBrain@protonmail.com
badbeeteam@mail.ee	blacklivesatter@qq.com	Filedecryptor@protonmail.com
file@p-security.li	newbang@protonmail.com	repairdatadochelp@airmail.cc
decodor@airmail.cc	Founder94@tutanota.com	ellenfabiana01@protonmail.com
mk.kunglao@aol.com	alfryy@yakuzacrypt.com	coincidenceleague@firemail.cc
asmo49@asmodeus.us	newrecoveryrobot@pm.me	RemotePChelper@protonmail.com
Hiddenhelp@cock.li	RemotePChelper@cock.li	dogeremembersss@protonmail.ch
recovery94@cock.li	BCPFILE17@tutanota.com	paologaldini2020@tutanota.com
teslabrain@cock.li	doctorhelp2120@cock.li	befittingdavid@protonmail.com
giveyoukey@cock.li	SpadeFiles@tutanota.com	pebawestsa1973@protonmail.com
sqlbackup3@mail.fr	blacklivesmatter@qq.com	nespabatbe1989@protonmail.com
repairdb@seznam.cz	ataback2@protonmail.com	indilacons1975@protonmail.com
returndb@seznam.cz	tchukopchu@tutanota.com	chocolate_muffin@tutanota.com
support911@cock.li	Folielol@protonmail.com	restoring.data@protonmail.com
file-cloud@email.tg	AsuxidOruraep1999@o2.pl	babyfromparadise666@gmail.com
zimbabwe@msgsafe.io	buransupport@exploit.im	legion.developers72@gmail.com
grdoks@tutanota.com	recovery1server@cock.li	RECOVERUNKNOWN@protonmail.com
bestcool@keemail.me	e95c12d08b14@airmail.cc	AdvancedBackup@protonmail.com
Writeme4@airmail.cc	rizonlocker@firemail.cc	Black.Berserks@protonmail.com
Chadmad@nuke.africa	puckett_jeffrey@aol.com	olgearreabo1989@protonmail.com
greenreed007@qq.com	immortalsupport@cock.li	coincidenceleague@tutanota.com
Daves.smith@aol.com	decryptdocs@firemail.cc	recovery_server@protonmail.com
decryp7@foxmail.com	macgregor@aolonline.top	gustafkeach@tohaveandtohold.us
Datarest0re@aol.com	deyscriptors1@india.com	luizunwrite2020@protonmail.com
datarest0re@xmpp.jp	yotabyte@protonmail.com	surguitenve1986@protonmail.com
fixallfiles@tuta.io	liukang@mortalkombat.su	wyattpettigrew8922555@mail.com
VASHMAIL@KEEMAIL.ME	dd.coala@protonmail.com	your_last_chance_help@elude.in
helpdesk_mz@aol.com	dcyptfils@protonmail.ch	leltitbedecrypteddzi@gmail.com
Deus69@criptext.com	Helpcrypt1@tutanota.com	Black.Berserks@yakuzacrypt.com
returndb@airmail.cc	Mr.TeslaBrain@gmail.com	imBoristheBlade@protonmail.com
Recoverybat@cock.li	Bitdefender2020@cock.li	gaetwelsenba1983@protonmail.com
returndb@airmail.ee	vashmail@protonmail.com	profhandgomo1989@protonmail.com
Filesback@keemail.me	Decfile431@tutanota.com	phrasitliter1981@protonmail.com
nekross@tutanota.com	smartrecav@tutanota.com	coincidenceleague@thesecure.biz
BatHelp@tutanota.com	Jonbrown88@criptext.com	nicenphacock1976@protonmail.com
FoxHelp@tutanota.com	gomersimpson@keemail.me	glocadboysun1978@protonmail.com
John91Done@yahoo.com	decryptor911@airmail.cc	DecrypterSupport@protonmail.com
Chadmad@ctemplar.com	1rest0re@protonmail.com	Recoveryhelp2019@protonmail.com
decoder83540@cock.li	MREncptor@protonmail.com	filedownload2020@protonmail.com
buransupport@xmpp.jp	gustav.strasserg@gmx.com	coftocounbio1977@protonmail.com
happyless@airmail.cc	Ctorsenoria@tutanota.com	decoding_help8888@protonmail.com
johnsmith654@cock.li	ITAmbuler@protonmail.com	guifullcharti1970@protonmail.com
johnsmith456@cock.li	bavaria54@protonmail.com	coincidenceleague@protonmail.com
sanio.marino@aol.com	nic.shulz@protonmail.com	supp0rtdecrypti0n@protonmail.com
bullockcraig@aol.com	BhatMaker@protonmail.com	sxvcsacobyzurlock@protonmail.com
decryptor@cock.email	recowery1servers@cock.li	StephanVeamont1997C@tutanota.com
stopcrypt@cock.email	greenreed911@foxmail.com	carbedispgret1983@protonmail.com
VictorLustig@gmx.com	backtonormal@foxmail.com	SupportMIICCSSetup@protonmail.com
alexwind46@yahoo.com	fiasco911@protonmail.com	sookie_stackhousse@protonmail.com
augusto.ruby@aol.com	server-support@india.com	ScorpionEncryption@protonmail.com
mecybaki@firemail.cc	contact-support@elude.in	ScorpionEncryption@Protonmail.com
opensafezona@cock.li	Honeylock@protonmail.com	ScorpionEncryption@yakuzacrypt.com
blackblackra@tuta.io	recover85@protonmail.com	your_last_chance_help@protonmail.com
w3canh3lpy0u@cock.li	josefrendal797@gmail.com	MariaJackson2019williams@protonmail.com
karnel.fikol@aol.com	helper571@protonmail.com	MariaJackson2020williams@protonmail.com
TeslaBrain@gmail.com	maedeh81@yakuzacrypt.com

表格1. 黑客邮箱

系统安全防护数据分析

通过将2020年9月与8月的数据进行对比发现，本月各个系统占比变化均不大，位居前三的系统仍是Windows 7、Windows 8和Windows 10。

图9. 2020年9月被弱口令攻击系统占比图

以下是对2020年9月被攻击系统所属地域采样制作的分布图，与之前几个月采集到的数据进行对比，地区排名和占比变化都不大。数字经济发达地区仍是攻击的主要对象。

图10. 2020年9月弱口令攻击趋势图

通过观察2020年9月弱口令攻击态势发现，RDP弱口令和MySQL弱口令攻击在本月的攻击态势整体无较大波动。MSSQL在本月有一次上涨。

图11. 2020年9月弱口令攻击态势图

MSSQL投毒拦截态势和以往几个月一样有一定的波动，但并无较大幅度的上涨或者下跌。

图12. 2020年MSSQL投毒拦截态势图

勒索病毒关键词

以下是本月新上榜活跃勒索病毒统计，数据来自勒索病毒搜索引擎。

· eking：属于phobos勒索病毒家族，由于被加密文件后缀会被修改为devos而成为关键词。该勒索病毒主要通过暴力破解远程桌面密码，获取密码后手动投毒传播。

· devos:同eking。

· C1H：属于GlobeImposter勒索病毒家族，由于被加密文件后缀会被修改为C1H而成为关键词。该勒索病毒主要通过暴力破解远程桌面密码，获取密码后手动投毒传播。

· C4H:同C1H。

· Lockbit：属于LockBit勒索病毒家族，该勒索病毒主要通过暴力破解远程桌面密码，获取密码后手动投毒传播。

· globeimposter-alpha865qqz:同C1H。

· eight：同eking。

· globeimposter：同C1H。

· blm：属于Crysis勒索病毒家族。由于被加密文件后缀会被修改为pgp而成为关键词。该勒索病毒主要通过暴力破解远程桌面密码，获取密码后手动投毒传播。

· montana：属于LeakThemAll勒索病毒家族，由于被加密文件后缀会被修改为montana而成为关键词。该勒索病毒主要通过暴力破解远程桌面密码，获取密码后手动投毒进行传播。并且会窃取用户重要数据作为索要赎金的重要筹码，若用户不支付赎金将在公布用户数据。

图13. 2020年09月关键词搜索TOP10

解密大师

从解密大师本月解密数据看，解密量最大的仍是GandCrab，其次是Stop。使用解密大师解密文件的用户数量最高的仍是Stop家族的中招设备，其次则是Crysis家族的中招设备。

图14. 2020年解密大师解密情况图

中了各种后缀的勒索病毒文件怎么恢复？

1.如果文件不急需，可以先备份等黑客被抓或良心发现，自行发布解密工具

2.如果文件急需，可以添加服务号（shujuxf），发送文件样本进行免费咨询数据恢复方案。

预防勒索病毒-日常防护建议：

预防远比救援重要，所以为了避免出现此类事件，强烈建议大家日常做好以下防护措施：

1．多台机器，不要使用相同的账号和口令，以免出现“一台沦陷，全网瘫痪”的惨状；

2．登录口令要有足够的长度和复杂性，并定期更换登录口令；

3．严格控制共享文件夹权限，在需要共享数据的部分，尽可能的多采取云协作的方式。

4．及时修补系统漏洞，同时不要忽略各种常用服务的安全补丁。

5．关闭非必要的服务和端口如135、139、445、3389等高危端口。

6．备份备份备份！！！重要资料一定要定期隔离备份。进行RAID备份、多机异地备份、混合云备份，对于涉及到机密或重要的文件建议选择多种方式来备份；

7．提高安全意识，不随意点击陌生链接、来源不明的邮件附件、陌生人通过即时通讯软件发送的文件，在点击或运行前进行安全扫描，尽量从安全可信的渠道下载和安装软件；

8．安装专业的安全防护软件并确保安全监控正常开启并运行，及时对安全软件进行更新。

本站文章均为91数据恢复专业数据团队根据公司业务案例，数据恢复工作中整理发表，部分内容摘自权威资料，书籍，或网络原创文章，如有版权纠纷或者违规问题，请即刻联系我们删除，我们欢迎您分享，引用和转载，我们谢绝直接复制和抄袭，感谢！

返回首页上一篇：隐私计算：拿什么保护我们的数据安全？下一篇：在黑客攻击频发的当今，如何保护自己免受黑客脚本的潜在威胁？

联络方式：

客服热线：400-1050-918

技术顾问：133-188-44580 166-6622-5144

邮箱：91huifu@91huifu.com

微信公众号

售前工程师1

售前工程师2

我们的业务: 勒索病毒数据恢复; 勒索病毒数据解密; 数据库修复; 中毒数据库解密; 企业安全防护

我们的案例: Phobos家族; GlobeImposter家族; Mallox家族; Makop家族; lockbit家族

我们的服务流程: 免费咨询/数据诊断分析; 评估报价/数据恢复方案; 确认下单/签订合同; 开始数据恢复专业施工; 数据验收/安全防御方案

我们的原创资讯: 勒索病毒数据恢复; 勒索病毒数据解密; 数据库修复; 中毒数据库解密; 企业安全知识

关于我们: 关于我们; 服务承诺; 常见问答; 招贤礼才; 联系我们

关注公众号

91数据恢复是一家专注于勒索病毒数据恢复、勒索病毒数据修复、数据库修复、数据库解密恢复、企业安全防护的专业数据处理服务商，公司在数据恢复方面目前已拥有多项专利技术，多项专业软件著作权，技术专业实力与创新性位列行业前茅。目前，公司已与多家一线数据厂商建立数据恢复技术研究的深度合作，在全国设立多个数据恢复研发中心，使公司长期具备行业一流的数据恢复技术及地位。

粤公网安备 44030502006563号

服务热线
- 服务热线 400-1050-918
- 技术顾问 133-188-44580 166-6622-5144
添加微信,免费咨询

用心将技术和服务遍布全中国 一切都是为了价值无法衡量的数据！