常见勒索病毒--后缀

勒索病毒

目前常见的勒索病毒大致分为三类：流行活跃的"企业级杀手"，适于中小型企业的"爆破流"，以及历史上的一些较为经典的病毒。

第一类：企业级杀手(RaaS 模式)

这类勒索病毒通常由专业黑客组织运营，采用 RaaS (Ransomware-as-a-Service, 勒索软件即服务) 模式，攻击手段复杂，常结合 APT 技术（如域控渗透、漏洞利用），且往往伴随着双重勒索（先窃取数据，再加密，不交钱就公开数据）。

1. LockBit (当前全球“头号”威胁)

• 特征： 加密速度极快，号称是世界上最快的加密软件。会自动扫描局域网，利用域控策略（GPO）或 SMB 下发病毒。
• 攻击手法： 常用钓鱼邮件、RDP 弱口令或漏洞（如 Citrix 漏洞）进入，利用 Cobalt Strike 横向移动。
• 现状： 虽然遭受多次执法打击（LockBit 3.0/Black），但依然非常活跃，变种多。

2. Cl0p

• 特征： 专攻大型漏洞。它是“零日漏洞（0-day）”利用的高手。
• 著名战役： 曾利用 MOVEit Transfer 文件传输漏洞，导致全球数千家公司数据泄露。
• 特点： 有时甚至不加密文件，仅通过“泄露数据”来勒索赎金（无加密勒索）。

3. BlackCat (ALPHV)

• 特征： 使用 Rust 语言编写（跨平台能力强，可攻击 Windows 和 Linux/ESXi）。
• 手段： 非常擅长规避杀毒软件，通常通过窃取的凭证进入网络。

---

第二类：中小企业与服务器的“噩梦” (爆破/数据库流)

这类勒索病毒主要在国内非常流行，攻击成本低，大多通过全网扫描的方式寻找弱口令，一旦进得去就加密。

1. Phobos

• 特征： 它是 Dharma 家族的变种，非常顽固。
• 攻击入口： RDP（远程桌面）暴力破解是其最主要的方式。
• 文件特征： 加密后的后缀通常很长，包含受害者 ID 和黑客邮箱，例如 .id[xxxx].[email].phobos，或者伪装成 .eking、.eight 等后缀。

2. Mallox (TargetCompany)

• 特征： 专杀 SQL Server 数据库。
• 攻击入口： 针对开放公网的 MS-SQL 服务进行暴力破解或 SQL 注入。
• 文件特征： 后缀名为 .mallox、.fargo、.xollam。一旦中招，数据库文件（.mdf, .ldf）全灭。

3. Makop

• 特征： 与 Phobos 类似，也是 RDP 爆破的常客。
• 特点： 更新频率高，解密难度极大（私钥通常无法从内存中提取）。后缀常为 .mkp。

4. Beast / Weaxor / Wmansvcs (近期国内活跃)

• 特征： 360 等安全厂商近期监测到的活跃家族，主要通过软件捆绑、破解软件下载或简单的弱口令投毒。
• 特点： 属于“大撒网”式的低端勒索，但感染量很大。

---

第三类：历史经典 (Worm 蠕虫类)

虽然现在不那么流行，但它们改变了安全行业。

1. WannaCry (想哭)

• 爆发时间： 2017 年。
• 特征： 利用 NSA 泄露的 EternalBlue (永恒之蓝) 漏洞进行蠕虫式传播，无需人为操作，只要联网且没打补丁就会中招。
• 标志： 经典的红色锁头界面，后缀 .wncry。
• 现状： 至今仍有未打补丁的内网机器中招。

如何快速判断是哪种勒索->通过后缀

家族名称	典型后缀 (后缀常变，仅供参考)	主要入侵方式	目标倾向
LockBit	.lockbit, .lockbit3, 随机字符	钓鱼, 漏洞, 域渗透	大型企业, 域环境
Phobos	.eking, .devos, .phobos	RDP 爆破 (3389端口)	中小企业, 个人服务器
Mallox	.mallox, .fargo	SQL 爆破 (1433端口)	数据库服务器
Makop	.mkp, .makop	RDP 爆破	中小企业
WannaCry	.wncry	MS17-010 漏洞 (445端口)	内网未打补丁机器