2022年4月，全球新增的活跃勒索病毒家族有:Onyx、Industrial Spy、BlackBasta、Pipikaki、BlockZ、Phantom、Blaze等家族，其中Onyx、Industrial Spy、BlackBasta均为双重勒索勒索病毒家族。

本月最值得关注的有三个热点：

1. Magniber勒索病毒再次活跃，大量用户因下载伪装成windows 10的更新程序导致文件被加密。

2. 新型勒索病毒Onyx勒索病毒对大文件进行直接销毁。

3. 风力涡轮机公司Nordex、Snap-on遭遇Conti勒索团伙攻击，同时发现已经黑客利用泄露的Conti源码攻击俄罗斯公司。

4. 美国牙科协会受到Black Basta勒索病毒攻击。

基于对360反勒索数据的分析研判，360政企安全集团高级威胁研究分析中心(CCTGA勒索软件防范应对工作组成员）发布本报告。

感染数据分析

针对本月勒索病毒受害者所中勒索病毒家族进行统计，TargetCompany(Mallox)家族占比14.95%居首位，其次是占比14.71%的Rook，phobos家族以12.99%位居第三。

本月传播排名前五的家族，分别采用了不同的传播方式。勒索病毒多样化的同时，传播渠道也在多元化。其中：

• TargetCompany(Mallox)通过暴力破解成功获取数据库口令后、下发远程工具投毒或直接下发勒索病毒，同时具备内网横向移动能力。

• Rook利用携带恶意代码的第三方软件进行传播，

• Phobos利用暴力破解远程桌面口令后投毒。

• TellYouThePass利用多种Nday漏洞进行传播。

• Magniber利用网页挂马，伪装成升级软件等方式进行传播。

对本月受害者所使用的操作系统进行统计，位居前三的是：Windows 10、Windows Server 2012以及Windows 7。

2022年4月被感染的系统中桌面系统和服务器系统占比显示，受攻击的系统类型仍以桌面系统为主。与上个月相比，无较大波动。

勒索病毒疫情分析

Magniber伪装成Windows 10升级包进行传播

360安全大脑在4月底监控到Magniber再次活跃，此次传播不仅利用利用之前的网页挂马，还通过伪装成Windows 10升级包诱导用户下载运行。通常受害者是通过论坛、破解软件网站等地方下载文件时跳转到第三方云盘。下载时通常会下载到一个Windows 10升级包，还可能会跳转到色情、广告、购物等网站。

在本月被攻击的系统版本中，排行前三的依次为Windows Server 2008 、Windows 7以及Windows Server 2012。

对2022年4月被攻击系统所属地域统计发现，与之前几个月采集到的数据进行对比，地区排名和占比变化均不大。数字经济发达地区仍是攻击的主要对象。