自4月中旬以來，我們監(jiān)測到國內(nèi)一個新興勒索家族，Wormhole勒索軟件開始崛起。在4月下旬，其攻擊量開始達(dá)到峰值，最高峰時單日攔截該勒索軟件攻擊數(shù)百次之多。
但我們注意到，在隨后的五一勞動節(jié)假期期間，Wormhole勒索軟件的傳播出乎意料的出現(xiàn)了暫停(而作為同類傳播方式的老牌勒索軟件TellYouThePass則更喜歡在節(jié)假日、休息日發(fā)起攻擊)。而且在假期一結(jié)束，Wormhole的傳播活動又迅速恢復(fù)了其攻擊態(tài)勢。因此，我們也更加懷疑，這個勒索黑產(chǎn)團(tuán)伙，更有可能是國內(nèi)的攻擊團(tuán)伙所為。在此我們提醒，不管是假期還是工作日，都應(yīng)持續(xù)保持警惕，加強(qiáng)網(wǎng)絡(luò)安全防護(hù)措施，以防被勒索軟件抓到可趁之機(jī)。
Wormhole勒索軟件基本信息
Wormhole勒索軟件利用了瑞**翼軟件中的SQL注入漏洞作為其主要傳播手段。此漏洞允許攻擊者在沒有進(jìn)行適當(dāng)身份驗證的情況下向數(shù)據(jù)庫注入惡意SQL代碼，從而獲取對當(dāng)前系統(tǒng)的非法訪問權(quán)限。
目前，我們已經(jīng)監(jiān)測到Wormhole勒索軟件有兩個主要版本，這兩個版本的勒索軟件僅在加密文件后的勒索策略上存在細(xì)微差異。其中一個版本會在被加密的文件后添加“.locked”后綴。在該版本的勒索提示信息中雖明確提出了0.04個比特幣（BTC）的贖金要求，但受害者仍可以通過電子郵件與攻擊者進(jìn)行談判，并有可能通過這一談判來壓低最終實際成交的贖金金額。
而另一個版本則會在被加密的文件后添加“.Wormhole”的后綴。與前一個版本不同，該版本的勒索提示信息并沒有給出明確的勒索金額。受害者只能通過攻擊者提供的TOX ID（一個用于點對點通信的標(biāo)識符）與其進(jìn)行聯(lián)系和談判。這種缺乏明確贖金金額信息的做法可能會使受害者在談判過程中處于更為劣勢的地位。
漏洞利用類勒索病毒異常活躍，典型攻擊目標(biāo)包括：瑞友天翼、恩軟EnterCRM、億賽通電子文檔管理系統(tǒng)、金蝶K3Cloud、金蝶星空云、海康威視IVMS、用友時空KSOA、用友U8、用友時空CCERP、用友時空CDM、速達(dá)天耀、泛微OA、致遠(yuǎn)OA、通達(dá)OA、泛微E-Office、暢捷通T+、IBM WebSphere，攻擊方法均為Web應(yīng)用服務(wù)漏洞。建議使用上述產(chǎn)品的用戶盡快更新產(chǎn)品補(bǔ)丁至最新版。
安全建議
對于漏洞利用攻擊，我們提出以下幾點安全建議：
l  安裝殺毒軟件：例如360、卡巴斯基、火絨等。
l  未知程序慎重打開：例如不打開未知網(wǎng)址或下載未知郵件、附件 軟件等。
l  及時更新軟件補(bǔ)丁：請定期使用安全軟件中的漏洞修復(fù)工具，為操作系統(tǒng)、瀏覽器以及所有常用軟件應(yīng)用及時打上安全補(bǔ)丁；
l  信任安全軟件的警報：請相信您的安全軟件的判斷，避免將被識別為惡意的程序添加到信任列表中，也不要在沒有充分理由的情況下關(guān)閉安全軟件；
l  定期進(jìn)行安全檢查：對于已知易受攻擊的環(huán)境，如Java、通達(dá)OA、致遠(yuǎn)OA等，進(jìn)行定期的安全排查。這有助于識別和修復(fù)可能的安全風(fēng)險；
l  備份重要數(shù)據(jù)：定期備份您的重要數(shù)據(jù)，確保在遭受攻擊時能夠快速恢復(fù)，減少潛在的損失。