自4月中旬以來，我們監測到國內一個新興勒索家族，Wormhole勒索軟件開始崛起。在4月下旬，其攻擊量開始達到峰值，最高峰時單日攔截該勒索軟件攻擊數百次之多。
但我們注意到，在隨后的五一勞動節假期期間，Wormhole勒索軟件的傳播出乎意料的出現了暫停(而作為同類傳播方式的老牌勒索軟件TellYouThePass則更喜歡在節假日、休息日發起攻擊)。而且在假期一結束，Wormhole的傳播活動又迅速恢復了其攻擊態勢。因此，我們也更加懷疑，這個勒索黑產團伙，更有可能是國內的攻擊團伙所為。在此我們提醒，不管是假期還是工作日，都應持續保持警惕，加強網絡安全防護措施，以防被勒索軟件抓到可趁之機。
Wormhole勒索軟件基本信息
Wormhole勒索軟件利用了瑞**翼軟件中的SQL注入漏洞作為其主要傳播手段。此漏洞允許攻擊者在沒有進行適當身份驗證的情況下向數據庫注入惡意SQL代碼，從而獲取對當前系統的非法訪問權限。
目前，我們已經監測到Wormhole勒索軟件有兩個主要版本，這兩個版本的勒索軟件僅在加密文件后的勒索策略上存在細微差異。其中一個版本會在被加密的文件后添加“.locked”后綴。在該版本的勒索提示信息中雖明確提出了0.04個比特幣（BTC）的贖金要求，但受害者仍可以通過電子郵件與攻擊者進行談判，并有可能通過這一談判來壓低最終實際成交的贖金金額。
而另一個版本則會在被加密的文件后添加“.Wormhole”的后綴。與前一個版本不同，該版本的勒索提示信息并沒有給出明確的勒索金額。受害者只能通過攻擊者提供的TOX ID（一個用于點對點通信的標識符）與其進行聯系和談判。這種缺乏明確贖金金額信息的做法可能會使受害者在談判過程中處于更為劣勢的地位。
漏洞利用類勒索病毒異?；钴S，典型攻擊目標包括：瑞友天翼、恩軟EnterCRM、億賽通電子文檔管理系統、金蝶K3Cloud、金蝶星空云、?？低旾VMS、用友時空KSOA、用友U8、用友時空CCERP、用友時空CDM、速達天耀、泛微OA、致遠OA、通達OA、泛微E-Office、暢捷通T+、IBM WebSphere，攻擊方法均為Web應用服務漏洞。建議使用上述產品的用戶盡快更新產品補丁至最新版。
安全建議
對于漏洞利用攻擊，我們提出以下幾點安全建議：
l  安裝殺毒軟件：例如360、卡巴斯基、火絨等。
l  未知程序慎重打開：例如不打開未知網址或下載未知郵件、附件 軟件等。
l  及時更新軟件補?。赫埗ㄆ谑褂冒踩浖械穆┒葱迯凸ぞ撸瑸椴僮飨到y、瀏覽器以及所有常用軟件應用及時打上安全補?。?br /> l  信任安全軟件的警報：請相信您的安全軟件的判斷，避免將被識別為惡意的程序添加到信任列表中，也不要在沒有充分理由的情況下關閉安全軟件；
l  定期進行安全檢查：對于已知易受攻擊的環境，如Java、通達OA、致遠OA等，進行定期的安全排查。這有助于識別和修復可能的安全風險；
l  備份重要數據：定期備份您的重要數據，確保在遭受攻擊時能夠快速恢復，減少潛在的損失。