自4月中旬以来，我们监测到国内一个新兴勒索家族，Wormhole勒索软件开始崛起。在4月下旬，其攻击量开始达到峰值，最高峰时单日拦截该勒索软件攻击数百次之多。
但我们注意到，在随后的五一劳动节假期期间，Wormhole勒索软件的传播出乎意料的出现了暂停(而作为同类传播方式的老牌勒索软件TellYouThePass则更喜欢在节假日、休息日发起攻击)。而且在假期一结束，Wormhole的传播活动又迅速恢复了其攻击态势。因此，我们也更加怀疑，这个勒索黑产团伙，更有可能是国内的攻击团伙所为。在此我们提醒，不管是假期还是工作日，都应持续保持警惕，加强网络安全防护措施，以防被勒索软件抓到可趁之机。
Wormhole勒索软件基本信息
Wormhole勒索软件利用了瑞**翼软件中的SQL注入漏洞作为其主要传播手段。此漏洞允许攻击者在没有进行适当身份验证的情况下向数据库注入恶意SQL代码，从而获取对当前系统的非法访问权限。
目前，我们已经监测到Wormhole勒索软件有两个主要版本，这两个版本的勒索软件仅在加密文件后的勒索策略上存在细微差异。其中一个版本会在被加密的文件后添加“.locked”后缀。在该版本的勒索提示信息中虽明确提出了0.04个比特币（BTC）的赎金要求，但受害者仍可以通过电子邮件与攻击者进行谈判，并有可能通过这一谈判来压低最终实际成交的赎金金额。
而另一个版本则会在被加密的文件后添加“.Wormhole”的后缀。与前一个版本不同，该版本的勒索提示信息并没有给出明确的勒索金额。受害者只能通过攻击者提供的TOX ID（一个用于点对点通信的标识符）与其进行联系和谈判。这种缺乏明确赎金金额信息的做法可能会使受害者在谈判过程中处于更为劣势的地位。
漏洞利用类勒索病毒异常活跃，典型攻击目标包括：瑞友天翼、恩软EnterCRM、亿赛通电子文档管理系统、金蝶K3Cloud、金蝶星空云、海康威视IVMS、用友时空KSOA、用友U8、用友时空CCERP、用友时空CDM、速达天耀、泛微OA、致远OA、通达OA、泛微E-Office、畅捷通T+、IBM WebSphere，攻击方法均为Web应用服务漏洞。建议使用上述产品的用户尽快更新产品补丁至最新版。
安全建议
对于漏洞利用攻击，我们提出以下几点安全建议：
l  安装杀毒软件：例如360、卡巴斯基、火绒等。
l  未知程序慎重打开：例如不打开未知网址或下载未知邮件、附件 软件等。
l  及时更新软件补丁：请定期使用安全软件中的漏洞修复工具，为操作系统、浏览器以及所有常用软件应用及时打上安全补丁；
l  信任安全软件的警报：请相信您的安全软件的判断，避免将被识别为恶意的程序添加到信任列表中，也不要在没有充分理由的情况下关闭安全软件；
l  定期进行安全检查：对于已知易受攻击的环境，如Java、通达OA、致远OA等，进行定期的安全排查。这有助于识别和修复可能的安全风险；
l  备份重要数据：定期备份您的重要数据，确保在遭受攻击时能够快速恢复，减少潜在的损失。