360预警：Sorry勒索病毒集中开火，专挑中小型企业“偷家”

近期，360数字安全集团集中接到大量勒索攻击反馈，受害文件被加密并添加.sorry后缀，攻击时间集中在3月14日至15日。360安全智能体监测发现，本次Sorry勒索软件采用了当前流行的无文件攻击手段，从入侵到加密全程仅在内存中运行，未在硬盘中写入任何恶意文件。

综合现有信息分析，推测其攻击手法与当前活跃的Tellyouthepass勒索家族高度相似，但留在系统中的勒索信格式则更接近WormHole家族的特征。

在此基础上，360结合部分受害者的反馈，对遭勒索软件攻击的系统环境及勒索信息进行了深入分析。尽管事发突然、信息有限，360安全智能体仍快速作出初步研判：本轮攻击主要利用部分中小型企业第三方插件应用（供应链攻击）中存在的漏洞进行传播。攻击者通过批量扫描存在漏洞的第三方插件，向目标服务器植入勒索软件，并尝试以此为跳板进一步渗透企业内网。

进一步分析攻击者的入侵路径发现，其均通过控制各类第三方插件调起恶意代码，具体手法为向被利用的第三方插件中写入恶意WebShell，从而实现对服务器的持久化控制与后续攻击。

从攻击针对的服务进程来看，分布情况如下；

从地域分布来看，受害最严重的地区为北京、广东、上海，居全国前三。其他经济或人口大省也多有涉及，分布较为平均。

值得一提的是，目前360接到的受害反馈案例中，绝大多数用户事前未部署360终端安全探针。鉴于该勒索软件具备内网传播能力，建议各政企单位尽快部署，迅速开展全面排查，及时消除安全隐患。

作为数字安全的领导者，360数字安全集团多年来一直致力于勒索病毒的防范。基于过去20年积累的安全大数据、实战对抗经验，以及全球顶级安全专家团队等优势能力，360创新构建出依托安全大模型赋能的“安全智能体蜂群”体系。

该体系将安全专家能力和经验进行固化，集成终端防勒索、钓鱼邮件检测、终端病毒查杀等数十类垂直安全智能体。通过安全智能体的协同调度，该体系不仅可以完成自动化、毫秒级的威胁识别与处置，并能够针对勒索病毒从攻击前、攻击中到攻击后的每一个主要节点进行定向查杀，助力广大政企机构构建AI时代下面向勒索病毒的全生命周期防护能力。

让病毒进不来：在终端与流量侧部署360安全探针，通过互联网入口检测等主动防御能力实时监测威胁。一旦触发病毒告警，终端安全智能体将自动获取样本，快速完成病毒家族鉴定，并联动威胁情报进行深度分析，最终实时同步威胁级别与处置结果，实现在病毒落地阶段的精准查杀与拦截；

让病毒散不开：终端勒索防御智能体能够对勒索病毒的异常加密行为和横向渗透攻击行为，进行智能化分析拦截和检测阻断，实现“一点发现，全网阻断”；

让病毒难加密：通过终端安全探针结合云端情报赋能，利用终端安全智能体的自动溯源分析能力，能够精准判断勒索病毒身份，并进行反向查杀；同时内置文档备份机制，可无感知备份日常办公文档和敏感业务数据，对备份区文件进行全面保护，不允许第三方程序对备份区进行非授权操作，从而阻断勒索病毒对备份区的加密行为；

加密后易恢复：内置大量360独家文档解密工具及云端解密平台，云端支持1000+类勒索文件解密、本地支持100+类勒索文件解密，并通过终端安全智能体实现加密后的全方位恢复工作。

目前，360安全智能体蜂群体系针对不同类别的勒索病毒，不同客户体量与需求，推出了多元产品及服务套餐，已累计为超万例勒索病毒救援求助提供帮助。

如需咨询相关服务

请联系电话

400-0309-360



来源：360数字安全