2019年3月政企终端安全态势分析报告

《政企终端安全态势分析报告》是360终端安全实验室发布的针对政企网络终端的安全态势分析报告。报告数据来自360企业安全公有云安全监测数据，以勒索病毒、漏洞利用病毒、蠕虫病毒为主要研究对象，以每日感染病毒的终端为基本研究单位，通过对政企终端感染病毒情况的分析，帮助客户更清晰的看见风险态势，为安全决策提供必要的参考依据。

第一章、病毒攻击政企整体分析

360终端安全实验室监测数据显示，2019年3月，政企单位被各类病毒攻击的事件数量比2月增加61.3%，被病毒攻击的政企终端的累计数量比2月增加44.3%，被病毒攻击的政企单位的绝对数量比2月增加44.7%。

一、攻击整体态势

2019年3月，病毒攻击的最高峰出现在3月13日（星期三），最低谷则出现在3月9日（星期六）。

2019年3月，被病毒攻击的事件数量比2月增加61.3%。其中，病毒单日单次攻击政企单位的终端数仅为1台的事件比2月增加57.5%，占3月攻击事件总数的56.2%；单日单次攻击终端数为2~10台的事件比2月增加65.4%，占3月攻击事件总数的36.7%；单日单次攻击终端数为11~50台的事件比2月增加91.5%，占3月攻击事件总数的5.9%；单日单次攻击50台以上终端的事件比2月增加17.5%，占3月攻击事件总数的1.3%。

二、被攻击终端分析

2019年3月，被病毒攻击的政企终端的累计数量比2月增加44.3%。其中，遭遇蠕虫病毒攻击的政企终端的累计数量比2月增加34.9%，占3月被攻击政企终端的82.8%；遭遇漏洞利用病毒攻击的政企终端的累计数量比2月增加122.4%，占3月被攻击政企终端的16.1%；遭遇勒索病毒攻击的累计数量比2月增加61.9%，占3月被攻击政企终端的1.1%。

在被病毒攻击的政企终端中，广东地区最多，占比高达15.2%，被攻击终端的累计数量比2月增加134.5%；其次是北京，占比为9.9%，被攻击终端的累计数量比2月减少17.6%；江苏排在第三位，占比为8.2%，被攻击终端的累计数量比2月增加236.5%。

在被病毒攻击的政企终端中，卫生行业最多，占比高达17.5%，被攻击终端的累积数量比2月增加67.6%；其次是能源行业，占比为17.0%，被攻击终端的累积数量比2月增加73.7%；政府行业排在第三位，占比为14.5%，被攻击终端的累积数量比2月增加29.2%。

三、被攻击单位分析

2019年3月，被病毒攻击的政企单位的绝对数量比2月增加44.7%。在受到病毒攻击的政企单位中，87.8%的单位遭到蠕虫病毒的攻击，绝对数量比2月增加44.5%；31.3%的单位遭到漏洞利用病毒的攻击，绝对数量比2月增加73.8%；5.4%的单位遭到勒索病毒的攻击，绝对数量比2月增加32.4%。

在被病毒攻击的政企单位中，北京地区最多，占比高达11.5%，被攻击单位的绝对数量比2月增加78.7%；其次是广东，占比为11.1%，被攻击单位的绝对数量比2月增加41.3%；浙江排在第三位，占比为8.9%，被攻击单位的绝对数量比2月增加79.3%。

在被病毒攻击的政企单位中，卫生行业最多，占比高达21.6%，被攻击单位的绝对数量比2月增加51.5%；其次是政府行业，占比为21.5%，被攻击单位的绝对数量比2月增加32.4%；能源和金融行业并列第三，占比均为5.3%，被攻击单位的绝对数量比2月分别增加50.0%和33.3%。

第二章、勒索病毒攻击政企分析

360终端安全实验室监测数据显示，2019年3月，政企单位被勒索病毒攻击的事件数量比2月增加19.8%，被勒索病毒攻击的政企终端的累计数量比2月增加61.9%，被勒索病毒攻击的政企单位的绝对数量比2月增加32.4%。

一、攻击整体态势

2019年3月，勒索病毒攻击的最高峰出现在3月13日（星期三），最低谷则出现在3月23日（星期六）。

2019年3月，被勒索病毒攻击的事件数量比2月增加19.8%。其中，单日单次攻击政企单位的终端数仅为1台的事件比2月增加15.4%，占3月勒索病毒攻击事件总数的72.4%；单日单次攻击终端数为2~10台的事件比2月增加26.7%，占3月勒索病毒攻击事件总数的26.2%；单日单次攻击终端数为11~50台的事件占3月勒索病毒攻击事件总数的1.4%；没有监测到单日单次攻击终端数超过10台以上的事件。

二、被攻击终端分析

2019年3月，被勒索病毒攻击的政企终端的累计数量比2月增加61.9%。

在被勒索病毒攻击的政企终端中，山东地区最多，占比高达44.4%，被攻击终端的累计数量比2月增加144.7%；其次是北京和广东，占比均为13.1%，被攻击终端的累计数量比2月分别增加78.9%和70.0%。

在被勒索病毒攻击的政企终端中，能源行业最多，占比高达19.7%，而2月该行业只有极少量终端受到勒索病毒攻击；其次是运营商行业，占比为18.9%，被攻击终端的累计数量比2月增加88.5%；公检法行业排在第三位，占比为15.8%，被攻击终端的累计数量比2月增加28.1%。

三、被攻击单位分析

2019年3月，被勒索病毒攻击的政企单位的绝对数量比2月增加32.4%。

在被勒索病毒攻击的政企单位中，北京地区最多，占比高达16.9%，被攻击单位的绝对数量比2月增加100%；其次是新疆，占比为11.9%，被攻击单位的绝对数量比2月增加16.7%；福建、广东、山东并列第三，占比均为10.2%。

在被勒索病毒攻击的政企单位中，政府行业最多，占比高达26.5%，被攻击单位的绝对数量比2月增加30.0%；其次是能源行业，占比为14.3%，被攻击单位的绝对数量比2月增加250.0%；交通行业排在第三位，占比为12.2%，被攻击单位的绝对数量比2月增加50.0%。

第三章、漏洞利用病毒攻击政企分析

360终端安全实验室监测数据显示，2019年3月，政企单位被漏洞利用病毒攻击的事件数量比2月增加92.9%，被漏洞利用病毒攻击的政企终端的累计数量比2月增加124.4%，被漏洞利用病毒攻击的政企单位的绝对数量比2月增加73.8%。

一、攻击整体态势

2019年3月，漏洞利用病毒攻击的最高峰出现在3月25日（星期一），最低谷则出现在3月10日（星期日）。

2019年3月，被漏洞利用病毒攻击的事件数量比2月增加92.9%。其中，单日单次攻击政企单位的终端数仅为1台的事件比2月增加91.4%，占3月漏洞利用病毒攻击事件总数的63.0%；单日单次攻击终端数为2~10台的事件比2月增加98.1%，占3月漏洞利用病毒攻击事件总数的31.9%；单日单次攻击终端数为11~50台的事件比2月增加78.3%，占3月漏洞利用病毒攻击事件总数的4.3%；单日单次攻击50台以上终端的事件比2月增加100.0%，占3月漏洞利用病毒攻击事件总数的0.8%。

二、被攻击终端分析

2019年3月，被漏洞利用病毒攻击的政企终端的累计数量比2月增加73.8%。

在被漏洞利用病毒攻击的政企终端中，甘肃地区最多，占比高达17.7%，被攻击终端的累计数量比2月增加139倍；其次是北京，占比为14.3%，被攻击终端的累计数量比2月增加40.9%；福建排在第三位，占比为13.4%，被攻击终端的累计数量比2月增加58.8%。

在被漏洞利用病毒攻击的政企终端中，能源行业最多，占比高达27.4%，被攻击终端的累计数量比2月增加212.4%；其次是公检法行业，占比为10.5%，被攻击终端的累计数量比2月增加20.8倍；政府行业排在第三位，占比为8.3%，被攻击终端的累计数量比2月减少15.9%。

三、被攻击单位分析

2019年3月，被漏洞利用病毒攻击的政企单位的绝对数量比2月增加73.8%。

在被漏洞利用病毒攻击的政企单位中，北京地区最多，占比高达14.2%，被攻击单位的绝对数量比2月增加121.7%；其次是广东，占比为12.5%，被攻击单位的绝对数量比2月增加55.2%；浙江排在第三位，占比为8.6%，被攻击单位的绝对数量比2月增加158.3%。

在被漏洞利用病毒攻击的政企单位中，政府行业最多，占比高达18.9%，被攻击单位的绝对数量比2月增加42.1%；其次是卫生行业，占比为9.8%，被攻击单位的绝对数量比2月增加86.7%；能源行业排在第三位，占比为6.7%，被攻击单位的绝对数量比2月增加137.5%。

第四章、蠕虫病毒攻击政企分析

360终端安全实验室监测数据显示，2019年3月，政企单位被蠕虫病毒攻击的事件数量比2月增加57.3%，被蠕虫病毒攻击的政企终端的累计数量比2月增加34.9%，被蠕虫病毒攻击的政企单位的绝对数量比2月增加44.5%。

一、攻击整体态势

2019年3月，蠕虫病毒攻击的最高峰出现在3月28日（星期四），最低谷则出现在3月2日（星期六）。

2019年3月，被蠕虫病毒攻击的事件数量比2月增加57.3%。其中，单日单次攻击政企单位的终端数仅为1台的事件比2月增加52.9%，占3月攻击事件总数的54.1%；单日单次攻击终端数为2~10台的事件比2月增加61.5%，占3月攻击事件总数的38.1%；单日单次攻击终端数为11~50台的事件比2月增加92.3%，占3月攻击事件总数的6.4%；单日单次攻击50台以上终端的事件比2月增加11.3%，占3月攻击事件总数的1.4%。

二、被攻击终端分析

2019年3月，被蠕虫病毒攻击的政企终端数量比2月增加34.9%。

在被蠕虫病毒攻击的政企终端中，广东地区最多，占比高达16.6%，被攻击终端的累计数量比2月增加131.7%；其次是贵州，占比为9.9%，被攻击终端的累计数量比2月增加82.4%；北京排在第三位，占比为9.0%，被攻击终端的累计数量比2月减少27.6%。

在被蠕虫病毒攻击的政企终端中，卫生行业最多，占比高达20.3%，被攻击终端的累计数量比2月增加65.1%；其次是政府行业，占比为15.7%，被攻击终端的累计数量比2月增加36.1%；能源行业排在第三位，占比为15.0%，被攻击终端的累计数量比2月增加49.9%。

三、被攻击单位分析

2019年3月，被蠕虫病毒攻击的政企单位的绝对数量比2月增加44.7%。

在被蠕虫病毒攻击的政企单位中，广东地区最多，占比高达11.5%，被攻击单位的绝对数量比2月增加43.0%；其次是北京，占比为11.2%，被攻击单位的绝对数量比2月增加74.6%；浙江排在第三位，占比为8.8%，被攻击单位的绝对数量比2月增加64.2%。

在被蠕虫病毒攻击的政企单位中，卫生行业最多，占比高达23.3%，被攻击单位的绝对数量比2月增加48.8%；其次是政府行业，占比为22.0%，被攻击单位的绝对数量比2月增加37.5%；金融行业排在第三位，占比为5.3%，被攻击单位的绝对数量比2月增加50.0%。

第五章、3月热点病毒事件关注

一、GandCrab V5.2利用恐吓主题钓鱼邮件传播

近期，360威胁情报中心捕获到一起针对中文使用者的钓鱼邮件。该邮件带有一个压缩包，压缩包内是最新的GandCrab 5.2勒索软件。

由于Gandcrab5.2版本会通过垃圾电子邮件分发，因此建议用户不要打开任何未知来源的电子邮件，尤其是不要打开附件。即使附件来自常用联系人，也建议您在打开之前使用360天擎对其进行扫描，以确保不包含任何恶意文档或文件。

二、多家医院服务器受到GlobeImposter勒索病毒攻击

3月10日，360安全服务应急响应团队接到某省多家医院服务器遭受攻击的应急救援，该省同一卫生专网遭到GlobeImposter V3勒索病毒攻击，多台业务服务器遭黑客加密勒索，影响该省近60家市县医院。

从截获的样本和勒索攻击溯源分析来看，GlobeImposter V3的攻击手段和加密方式和以往版本相比并没有新的变化：攻击手段依然是定向爆破和投递勒索，通过RDP远程桌面弱密码攻击服务器。

三、首个利用WinRAR漏洞传播的未知勒索软件出现

3月17日，360威胁情报中心截获了首个利用WinRAR漏洞（CVE-2018-20250）传播未知恶意勒索软件的ACE文件。该恶意压缩文件名为vk_4221345.rar，当受害者在本地计算机上通过WinRAR解压该文件后便会触发漏洞，漏洞利用成功后会将内置的勒索软件写入到用户计算机启动项目录中，当用户重启或登录系统都会执行该勒索软件从而导致重要资料被加密。

由于该勒索软件执行后并没有保存生成的RSA公私钥，也没有通过其他渠道将公私钥信息发送给攻击者，所以即便受害者向勒索软件作者支付相应的赎金也不可能解密文件。360威胁情报中心提醒用户，如遇到类似的勒索软件攻击，切忌支付赎金，并再次提醒广大用户务必对此高危漏洞做好十足的防护措施。

四、海德鲁公司多个工厂遭遇LockerGoga勒索病毒攻击

3月18日，世界最大的综合性铝业集团之一的挪威海德鲁公司（Norsk Hydro）在美国和欧洲的多个工厂遭受勒索软件攻击，导致IT系统无法使用，造成多个工厂关闭和部分工厂切换为手动运营模式。该公司临时关闭多个工厂，并将挪威、卡塔尔和巴西等国家的工厂运营模式部分改为“可以使用的”手动模式，以缓解对生产的影响。该勒索病毒似乎还攻击了美国的化工企业Hexion和Momentive，以至于部分员工无法正常登陆系统。

360威胁情报中心对该勒索病毒（LockerGoga）进行了进一步的详细分析，发现该勒索病毒极可能为定向攻击的破坏性勒索病毒，会加密各种类型的文件，包括PE文件、系统目录以及启动目录下的文件，因此具有很强的破坏性。 

关于360终端安全实验室

360终端安全实验室由多名经验丰富的恶意代码研究专家组成，着力于常见病毒、木马、蠕虫、勒索软件等恶意代码的原理分析和研究，致力为中国政企客户提供快速的恶意代码预警和处置服务，在曾经流行的WannaCry、Petya、Bad Rabbit的恶意代码处置过程中表现优异，受到政企客户的广泛好评。

360终端安全实验室以360天擎新一代终端安全管理系统为依托，为政企客户提供简单有效的终端安全管理理念、完整的终端解决方案和定制化的安全服务，帮助客户解决内网安全与管理问题，保障政企终端安全。

关于360天擎新一代终端安全管理系统

360天擎新一代终端安全管理系统是360企业安全集团为解决政企机构终端安全问题而推出的一体化解决方案，是中国政企客户4000万终端的信赖之选。系统以功能一体化、平台一体化、数据一体化为设计理念，以安全防护为核心，以运维管控为重点，以可视化管理为支撑，以可靠服务为保障，提供了十六大基础安全能力，帮助政企客户构建终端威胁检测、终端威胁响应、终端威胁鉴定等高级威胁对抗能力，提升安全规划、战略分析和安全决策等终端安全治理能力。

特别的是，360企业安全还面向所有360天擎政企用户免费推出敲诈先赔服务：如果用户在开启了360天擎敲诈先赔功能后，仍感染了勒索软件，360企业安全将负责赔付赎金，为政企用户提供百万先赔保障，帮政企客户免除后顾之忧。

关于360天擎终端安全响应系统

360天擎终端安全响应系统（EDR）以行为引擎为核心，基于人工智能和大数据分析技术，对主机、网络、文件和用户等信息，进行深层次挖掘和多维度分析，结合云端优质威胁情报，将威胁进行可视化，并通过场景化和全局性的威胁追捕，对事件进行深度剖析，识别黑客/威胁意图，追踪威胁的扩散轨迹，评估威胁影响面，从而协同EPP、SOC、防火墙等安全产品，进行快速自动化的联动响应，将单次响应转化为安全策略，控制威胁蔓延，进行持续遏制，全面提升企业安全防护能力。

声明：本文来自奇安信终端安全实验室，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。