卡巴斯基实验室：2018 Q2 IT威胁演变的统计分析

第二季度相关数字

根据KSN：

卡巴斯基实验室解决方案阻止了来自全球187个国家/地区的在线资源发起的962,947,023次攻击。 网络防病毒组件将351,913,075个唯一的URL识别为恶意URL。 记录了215,762个用户遭到的旨在通过在线访问银行帐户来窃取资金的恶意软件感染。 记录了158,921个唯一用户遭到的勒索软件攻击。 文件防病毒产品记录了192,053,604个不同的恶意和潜在有害的样本。 卡巴斯基实验室移动设备防护产品检测到： o 1,744,244个恶意安装包 o 61,045个移动银行木马安装包 o 14,119个移动勒索软件木马安装包

移动威胁

综合统计

在2018年第二季度，卡巴斯基实验室检测到1,744,244个恶意安装包，比上一季度增加了421,666个。

检测到的恶意安装包数量，2017年第二季度 - 2018年第二季度

检测到的恶意移动app的类型分布

检测到的恶意移动app的类型分布，2018年第一季度

新近检测到的恶意移动app的类型分布，2018年第二季度

在2018年第二季度发现的所有威胁中，最大的份额属于潜在有害的RiskTool app（ 55.3％）；与上一季度相比，它们的份额增加了6个百分点，RiskTool.AndroidOS.SMSreg 家族的成员对该指标贡献最大。

排名第二的是Trojan-Dropper威胁（13％），其份额下降了7个百分点。检测到的大多数这种类型的文件来自Trojan-Dropper.AndroidOS.Piom和Trojan-Dropper.AndroidOS.Hqwar 。

广告app的份额继续下降了8％，占所有检测到的威胁的 9％（上一季度是11％）。

在报告期间一个显著的变化是，SMS木马的份额从第一季度的4.5 ％增加到了第二季度的8.5％。

排名前**20**的移动恶意软件

请注意，此恶意软件评级不包含潜在危险或有害的程序，如RiskTool或Adware。

样本 | %* | | —- | —- | —- | | 1 | DangerousObject.Multi.Generic | 70.04 | | 2 | Trojan.AndroidOS.Boogr.gsh | 12.17 | | 3 | Trojan-Dropper.AndroidOS.Lezok.p | 4.41 | | 4 | Trojan.AndroidOS.Agent.rx | 4.11 | | 5 | Trojan.AndroidOS.Piom.toe | 3.44 | | 6 | Trojan.AndroidOS.Triada.dl | 3.15 | | 7 | Trojan.AndroidOS.Piom.tmi | 2.71 | | 8 | Trojan.AndroidOS.Piom.sme | 2.69 | | 9 | Trojan-Dropper.AndroidOS.Hqwar.i | 2.54 | | 10 | Trojan-Downloader.AndroidOS.Agent.ga | 2.42 | | 11 | Trojan-Dropper.AndroidOS.Agent.ii | 2.25 | | 12 | Trojan-Dropper.AndroidOS.Hqwar.ba | 1.80 | | 13 | Trojan.AndroidOS.Agent.pac | 1.73 | | 14 | Trojan.AndroidOS.Dvmap.a | 1.64 | | 15 | Trojan-Dropper.AndroidOS.Lezok.b | 1.55 | | 16 | Trojan-Dropper.AndroidOS.Tiny.d | 1.37 | | 17 | Trojan.AndroidOS.Agent.rt | 1.29 | | 18 | Trojan.AndroidOS.Hiddapp.bn | 1.26 | | 19 | Trojan.AndroidOS.Piom.rfw | 1.20 | | 20 | Trojan-Dropper.AndroidOS.Lezok.t | 1.19 |

*遭相关恶意软件攻击的唯一用户占所有被攻击的卡巴斯基实验室移动防病毒软件的用户的百分比。

和以前一样，我们的TOP20中的第一名是DangerousObject.Multi.Generic（ 70.04％），它是我们通过云技术检测到的恶意软件。排在第二位的是Trojan.AndroidOS.Boogr.gsh（12.17％），它是我们通过机器学习识别为恶意软件的文件。第三名是Dropper.AndroidOS.Lezok.p（4.41％），然后是只相差0.3个百分点的Trojan.AndroidOS.Agent.rx（4.11％），它是第一季度的第三名。

移动威胁的地理分布

移动恶意软件感染的地理分布，2018年第二季度

遭移动恶意软件攻击的用户所占比例排名前10位的国家/地区：

国家* | **％** | | —- | —- | —- | | 1 | 孟加拉国 | 31.17 | | 2 | 中国 | 31.07 | | 3 | 伊朗 | 30.87 | | 4 | 尼泊尔 | 30.74 | | 5 | 尼日利亚 | 25.66 | | 6 | 印度 | 25.04 | | 7 | 印度尼西亚 | 24.05 | | 8 | 科特迪瓦共和国 | 23.67 | | 9 | 巴基斯坦 | 23.49 | | 10 | 坦桑尼亚 | 22.38 |

评级中排除了卡巴斯基实验室移动防病毒软件用户数量相对较少的国家（10,000以下）。 *该国家遭到攻击的唯一用户占该国家卡巴斯基实验室移动防病毒软件的所有用户的比例。

在2018年第二季度，孟加拉国（31.17％）名列榜首。中国（31.07％）以微弱优势排名第二。伊朗（30.87％）和尼泊尔（30.74％）分别获得第三和第四名。

本季度俄罗斯（8.34％）排名下降到了第38位，落后于中国台湾（8.48％）和新加坡（8.46％）。

移动银行木马

在报告期间内，我们检测到61,045个移动银行木马的安装包，是2018年第一季度的 3.2倍。最大的贡献来自于Trojan-Banker.AndroidOS.Hqwar.jck - 这个木马几乎占了检测到的新银行木马的一半。其次是Trojan-Banker.AndroidOS.Agent.dq ，约占5000个安装包。

卡巴斯基实验室检测到的移动银行木马安装包数量，2017年第二季度 - 2018年第二季度

十大移动银行木马

样本 | %* | | —- | —- | —- | | 1 | Trojan-Banker.AndroidOS.Agent.dq | 17.74 | | 2 | Trojan-Banker.AndroidOS.Svpeng.aj | 13.22 | | 3 | Trojan-Banker.AndroidOS.Svpeng.q | 8.56 | | 4 | Trojan-Banker.AndroidOS.Asacub.e | 5.70 | | 5 | Trojan-Banker.AndroidOS.Agent.di | 5.06 | | 6 | Trojan-Banker.AndroidOS.Asacub.bo | 4.65 | | 7 | Trojan-Banker.AndroidOS.Faketoken.z | 3.66 | | 8 | Trojan-Banker.AndroidOS.Asacub.bj | 3.03 | | 9 | Trojan-Banker.AndroidOS.Hqwar.t | 2.83 | | 10 | Trojan-Banker.AndroidOS.Asacub.ar | 2.77 |

*遭相关恶意软件攻击的唯一用户占所有遭银行木马攻击的卡巴斯基实验室移动防病毒软件用户的百分比

第二季度最流行的移动银行木马是Trojan-Banker.AndroidOS.Agent.dq（17.74％），紧随其后的是Trojan-Banker.AndroidOS.Svpeng.aj（13.22％）。这两个木马使用网络钓鱼窗口来窃取用户的银行卡和网上银行凭据信息。此外，它们还通过滥用短信服务（包括手机银行）来窃取资金。流行的银行恶意软件 Trojan-Banker.AndroidOS.Svpeng.q（8.56％）在评级中排名第三，从第二季度的第二名下降一位。

移动银行威胁的地理分布，2018年第二季度

遭移动银行木马攻击的用户比例排名前**10**的国家

国家* | **％** | | —- | —- | —- | | 1 | 美国 | 0.79 | | 2 | 俄国 | 0.70 | | 3 | 波兰 | 0.28 | | 4 | 中国 | 0.28 | | 5 | 塔吉克斯坦 | 0.27 | | 6 | 乌兹别克斯坦 | 0.23 | | 7 | 乌克兰 | 0.18 | | 8 | 新加坡 | 0.16 | | 9 | 摩尔多瓦 | 0.14 | | 10 | 哈萨克斯坦 | 0.13 |

评级中排除了卡巴斯基实验室移动防病毒软件用户数量相对较少的国家（10,000以下）。 *该国家遭移动银行木马攻击的唯一用户占该国家卡巴斯基实验室移动防病毒软件所有用户的百分比。

总体而言，评级与第一季度相比没有太大变化：俄罗斯（0.70％）和美国（0.79％）交换了位置，但均保持在前三。

由于两个木马的活跃传播，波兰（0.28％）从第九位上升到第三位，这两个木马是Trojan-Banker.AndroidOS.Agent.cw和Trojan-Banker.AndroidOS.Marcher.w。后者于2017年11月首次被发现，它通过典型的银行恶意软件工具集：SMS拦截、网络钓鱼窗口和设备管理员权限来确保其在系统中的持久性。

移动勒索软件木马

在2018年第二季度，我们检测到14,119**个**移动勒索软件木马的安装包，比第一季度增加了一半。

卡巴斯基实验室检测到的移动勒索软件木马的安装包数量，2017年第二季度- 2018年第二季度

样本 | %* | | —- | —- | —- | | 1 | Trojan-Ransom.AndroidOS.Zebt.a | 26.71 | | 2 | Trojan-Ransom.AndroidOS.Svpeng.ag | 19.15 | | 3 | Trojan-Ransom.AndroidOS.Fusob.h | 15.48 | | 4 | Trojan-Ransom.AndroidOS.Svpeng.ae | 5.99 | | 5 | Trojan-Ransom.AndroidOS.Egat.d | 4.83 | | 6 | Trojan-Ransom.AndroidOS.Svpeng.snt | 4.73 | | 7 | Trojan-Ransom.AndroidOS.Svpeng.ab | 4.29 | | 8 | Trojan-Ransom.AndroidOS.Small.cm | 3.32 | | 9 | Trojan-Ransom.AndroidOS.Small.as | 2.61 | | 10 | Trojan-Ransom.AndroidOS.Small.cj | 1.80 |

*遭到相关恶意软件攻击的唯一用户占所有遭到勒索软件木马攻击的卡巴斯基实验室移动防病毒软件用户的百分比

第二季度最流行的移动勒索软件是Trojan-Ransom.AndroidOS.Zebt.a（26.71％），超过四分之一的用户遭到该恶意软件的攻击。其次是Trojan-Ransom.AndroidOS.Svpeng.ag（19.15％），领先于曾经最流行的 Trojan-Ransom.AndroidOS.Fusob.h（15.48％）。

移动勒索软件木马的地理分布，2018年第二季度

受移动勒索软件木马攻击的用户所占比例排名前**10**位的国家

国家* | **％** | | —- | —- | —- | | 1 | 美国 | 0.49 | | 2 | 意大利 | 0.28 | | 3 | 哈萨克斯坦 | 0.26 | | 4 | 比利时 | 0.22 | | 5 | 波兰 | 0.20 | | 6 | 罗马尼亚 | 0.18 | | 7 | 中国 | 0.17 | | 8 | 爱尔兰 | 0.15 | | 9 | 墨西哥 | 0.11 | | 10 | 奥地利 | 0.09 |

评级排除了卡巴斯基实验室的移动防病毒软件的用户数量相对较少的国家/地区（少于10,000） *该国家受到移动勒索软件木马攻击的唯一用户占该国家所有卡巴斯基实验室移动防病毒软件用户的百分比

前十名中的第一名是美国（0.49％）；该国家最活跃的移动勒索软件家族是Trojan-Ransom.AndroidOS.Svpeng ：

样本 | %* | | —- | —- | —- | | 1 | Trojan-Ransom.AndroidOS.Svpeng.ag | 53.53% | | 2 | Trojan-Ransom.AndroidOS.Svpeng.ae | 16.37% | | 3 | Trojan-Ransom.AndroidOS.Svpeng.snt | 11.49% | | 4 | Trojan-Ransom.AndroidOS.Svpeng.ab | 10.84% | | 5 | Trojan-Ransom.AndroidOS.Fusob.h | 5.62% | | 6 | Trojan-Ransom.AndroidOS.Svpeng.z | 4.57% | | 7 | Trojan-Ransom.AndroidOS.Svpeng.san | 4.29% | | 8 | Trojan-Ransom.AndroidOS.Svpeng.ac | 2.45% | | 9 | Trojan-Ransom.AndroidOS.Svpeng.h | 0.43% | | 10 | Trojan-Ransom.AndroidOS.Zebt.a | 0.37% |

*美国受相关恶意软件攻击的唯一用户占该国所有受勒索软件木马攻击的卡巴斯基实验室移动防病毒软件用户的百分比

意大利（0.28％）在受移动勒索软件攻击的用户比例的国家排名中位列第二。在这个国家大多数攻击都是Trojan-Ransom.AndroidOS.Zebt.a 导致的。哈萨克斯坦位于第三名（0.26％），Trojan-Ransom.AndroidOS.Small.cm是那里最流行的移动勒索软件。

针对物联网设备的攻击

从我们的蜜罐数据来看，暴力破解Telnet密码是最常见的物联网恶意软件自我传播方法。但是，最近针对其他服务（例如控制端口）的攻击数量有所增加。这些端口被分配了用于通过路由器进行远程控制的服务 – 这一功能是ISP等所需要的。我们已经观察到通过端口8291和端口7547（TR-069协议）发起的针对IoT设备的攻击尝试。端口8291是MikrotikRouterOS的控制服务使用的端口。端口7547用于管理德国电信网络中的设备。

在这两个案例中，攻击的性质都比普通的暴力攻击要复杂得多；确切地说，它们涉及到漏洞利用。我们倾向于认为，在以下两个因素的支持下，此类攻击的数量将在未来继续增长：

· 暴力破解Telnet密码是一种低效率的策略，因为攻击者之间存在激烈的竞争。每隔几秒钟就会有暴力攻击的尝试；一旦成功，攻击者就会阻止所有其他攻击者通过Telnet访问。 · 每次重启设备后，攻击者都必须重新感染它，从而导致部分僵尸网络丢失以及必须在一个充满竞争的环境中再次获得它。

从另一方面来讲，利用一个漏洞的首个攻击者可以在最短的时间内获得大量设备的访问权限。

遭到攻击的服务的受欢迎程度（按受攻击的唯一设备的数量），2018年第二季度

Telnet攻击

攻击模式如下：攻击者发现目标设备，检查Telnet端口是否打开，并启动密码暴力破解程序。由于许多物联网设备制造商忽视了安全性（例如，他们在设备上保留服务密码并且不允许用户定期更改它们），这种攻击变得十分成功并且可能影响整个设备产线。受感染的设备开始扫描新的网络段并感染其中的新的类似设备或工作站。

通过Telnet攻击感染的物联网设备的地理分布，2018年第二季度

通过**Telnet攻击感染的物联网设备所占比例排名前10位的国家/**地区

国家 | ％* | | —- | —- | —- | | 1 | 巴西 | 23.38 | | 2 | 中国 | 17.22 | | 3 | 日本 | 8.64 | | 4 | 俄罗斯 | 7.22 | | 5 | 美国 | 4.55 | | 6 | 墨西哥 | 3.78 | | 7 | 希腊 | 3.51 | | 8 | 韩国 | 3.32 | | 9 | 土耳其 | 2.61 | | 10 | 印度 | 1.71 |

*每个特定国家/地区的受感染设备占所有遭到Telnet攻击的物联网设备的百分比

在第二季度，巴西（23.38％）在受感染设备的数量方面处于领先地位，同样地，其在Telnet攻击数量方面也处于领先地位。其次是小幅上涨的中国（17.22％），第三名则是日本（8.64％）。

在这些攻击中，攻击者最常将Backdoor.Linux.Mirai.c（15.97％）下载到受感染的设备。

在成功的**Telnet攻击中下载到受感染的IoT**设备的十大恶意软件

样本 | %* | | —- | —- | —- | | 1 | Backdoor.Linux.Mirai.c | 15.97 | | 2 | Trojan-Downloader.Linux.Hajime.a | 5.89 | | 3 | Trojan-Downloader.Linux.NyaDrop.b | 3.34 | | 4 | Backdoor.Linux.Mirai.b | 2.72 | | 5 | Backdoor.Linux.Mirai.ba | 1.94 | | 6 | Trojan-Downloader.Shell.Agent.p | 0.38 | | 7 | Trojan-Downloader.Shell.Agent.as | 0.27 | | 8 | Backdoor.Linux.Mirai.n | 0.27 | | 9 | Backdoor.Linux.Gafgyt.ba | 0.24 | | 10 | Backdoor.Linux.Gafgyt.af | 0.20 |

*在成功的Telnet攻击中每个特定恶意软件程序下载到IoT设备的比例占此类攻击中所有恶意软件下载量的百分比

SSH攻击

此类攻击的发起类似于Telnet攻击，唯一的区别是它们需要僵尸机器在其上安装SSH客户端以暴力破解登录凭据。SSH协议是加密保护的，因此暴力破解密码需要大量的计算资源。因此，来自物联网设备的自我传播效率低下，攻击者往往是使用成熟的服务器来发起攻击。SSH攻击的成功取决于设备所有者或制造商的失误；换句话说，这又是制造商分配给整个设备产线的弱密码或预设密码导致的。

中国在物联网设备受SSH攻击方面处于领先地位。此外，中国在受Telnet攻击方面排名第二。

通过SSH攻击感染的物联网设备的地理分布，2018年第二季度

通过**SSH攻击感染的物联网设备所占比例排名前10**位的国家

国家 | ％* | | —- | —- | —- | | 1 | 中国 | 15.77％ | | 2 | 越南 | 11.38％ | | 3 | 美国 | 9.78％ | | 4 | 法国 | 5.45％ | | 5 | 俄罗斯 | 4.53％ | | 6 | 巴西 | 4.22％ | | 7 | 德国 | 4.01％ | | 8 | 韩国 | 3.39％ | | 9 | 印度 | 2.86％ | | 10 | 罗马尼亚 | 2.23％ |

*每个国家/地区受感染设备的比例占所有遭到SSH攻击的受感染IoT设备的百分比

金融行业面临的在线威胁

第二季度相关事件

新银行木马**DanaBot**

DanaBot木马于5月被发现。它具有模块化结构，能够加载额外的模块以拦截流量、窃取密码和加密货币钱包等 - 通常是此类威胁的标准功能集。该木马通过包含恶意office文档的垃圾邮件传播，此文档随后用于加载木马的主体。DanaBot 最初主要针对澳大利亚的用户和金融机构，但是在4月初，我们注意到它已经变得积极针对波兰的金融机构。

独特的**BackSwap**技术

银行木马BackSwap变得更加有趣。大多数类似的威胁，包括Zeus**、**Cridex 和Dyreza在内，都是通过拦截用户的流量，将恶意脚本注入受害者访问的银行页面或将其重定向到钓鱼网站。相比之下，BackSwap使用了一种创新的技术来注入恶意脚本：利用WinAPI。它通过模拟敲击键盘以在浏览器中打开开发者控制台，然后使用此控制台将恶意脚本注入网页。在BackSwap的后续版本中，它使用JavaScript 代码通过地址栏注入恶意脚本。

Carbanak**团伙头目被逮捕**

3月26日，欧洲刑警组织宣布逮捕Carbanak 和CobaltGoblin背后的网络犯罪团伙的头目。这是由西班牙皇家警察、欧洲刑警组织、联邦调查局以及罗马尼亚、摩尔多瓦、白俄罗斯和中国台湾当局以及私人信息安全公司之间的联合行动。预计该头目的被捕将减少该组织的活动，但最近的数据显示，该组织的活动没有发生明显的下降。在 5月和6月，我们发现了针对东欧银行和加工公司的多起针对性网络钓鱼攻击浪潮。Carbanak 发出的钓鱼邮件伪装成信誉良好的反恶意软件供应商、欧洲中央银行和其他组织的支持热线。这些电子邮件包含利用CVE-2017-11882和CVE-2017-8570 漏洞的文件附件。

勒索软件木马使用**Doppelgänging**技术

卡巴斯基实验室的专家检测到了勒索软件 TrojanSynAck使用ProcessDoppelgänging技术的案例。该恶意软件的作者使用这种复杂的技术使其更加隐蔽，并使安全解决方案的检测变得更加困难。这是第一个将该技术用于勒索软件木马的案例。

另一个引人注目的事件是加密类恶意软件Purga（又名Globe）的传播活动，在此期间，这个恶意软件与包括一个银行木马在内的其他恶意软件一起被加载到感染了木马Dimnie的计算机上。

关于金融威胁的综合统计

这些统计数据是基于从同意提供统计数据的用户那里收到的卡巴斯基实验室产品检测到的样本数据。

在2018年第二季度，卡巴斯基实验室解决方案帮助215,762个用户阻止了一个或多个试图从银行账户窃取资金的恶意软件的企图。

遭金融恶意软件攻击的唯一用户的数量，2018年第二季度

攻击的地理分布

银行恶意软件攻击的地理分布，2018年第二季度

按遭到攻击的用户比例排名前**10位的国家/**地区

国家* | 遭到攻击的用户比例**%** | | —- | —- | —- | | 1 | 德国 | 2.7％ | | 2 | 喀麦隆 | 1.8％ | | 3 | 保加利亚 | 1.7％ | | 4 | 希腊 | 1.6％ | | 5 | 阿拉伯联合酋长国 | 1.4％ | | 6 | 中国 | 1.3％ | | 7 | 印度尼西亚 | 1.3％ | | 8 | 利比亚 | 1.3％ | | 9 | 多哥 | 1.3％ | | 10 | 黎巴嫩 | 1.2％ |

这些统计数据是基于从同意提供统计数据的卡巴斯基实验室产品用户收到的防病毒产品的检测数据。

不包括卡巴斯基实验室产品的用户相对较少的国家（10,000以下）。 *其计算机遭到银行木马或ATM/ PoS恶意软件攻击的卡巴斯基实验室唯一用户占该国家卡巴斯基实验室产品所有唯一用户的百分比。

十大银行恶意软件家族

名称 | 样本* | 遭到攻击的用户比例**%** | | —- | —- | —- | —- | | 1 | Nymaim | Trojan.Win32. Nymaim | 27.0% | | 2 | Zbot | Trojan.Win32. Zbot | 26.1% | | 3 | SpyEye | Backdoor.Win32. SpyEye | 15.5% | | 4 | Emotet | Backdoor.Win32. Emotet | 5.3% | | 5 | Caphaw | Backdoor.Win32. Caphaw | 4.7% | | 6 | Neurevt | Trojan.Win32. Neurevt | 4.7% | | 7 | NeutrinoPOS | Trojan-Banker.Win32.NeutrinoPOS | 3.3% | | 8 | Gozi | Trojan.Win32. Gozi | 2.0% | | 9 | Shiz | Backdoor.Win32. Shiz | 1.5% | | 10 | ZAccess | Backdoor.Win32. ZAccess | 1.3% |

这些统计数据是基于从同意提供统计数据的卡巴斯基实验室产品用户收到的卡巴斯基产品的检测样本。 *受此恶意软件攻击的唯一用户占所有受金融恶意软件攻击的用户的百分比。

在2018年第二季度，TOP10的整体构成保持不变，但排名发生了一些变化。在交换位置后， Trojan.Win32.Zbot（26.1％）和Trojan.Win32.Nymaim（27％）依旧保持领先。银行木马Emotet的攻击活动增加，因此受攻击用户的比例从2.4％增加到5.3％。反之，Caphaw的攻击活动从第一季度的15.2％大幅缩减至4.7％，在评级中排名第五。

加密类恶意软件

新变体的数量

在第二季度，我们检测到7,620个新的加密类恶意软件变体。这比第一季度要高，但仍远低于去年的数字。

加密类恶意软件新变体的数量，2017年第二季度- 2018年第二季度

遭到加密木马攻击的用户数量

在2018年第二季度，卡巴斯基实验室的产品帮助158,921个唯一用户阻止了其计算机上的加密类恶意软件攻击。我们的统计数据显示，第二季度网络犯罪分子的活动与第一季度相比和环比均有所下降。

遭到加密木马攻击的唯一用户数，2018年第二季度

攻击的地理分布

遭到加密木马攻击的前十大国家

国家* | 遭到加密木马攻击的用户比例**%** | | —- | —- | —- | | 1 | 埃塞俄比亚 | 2.49 | | 2 | 乌兹别克斯坦 | 1.24 | | 3 | 越南 | 1.21 | | 4 | 巴基斯坦 | 1.14 | | 5 | 印度尼西亚 | 1.09 | | 6 | 中国 | 1.04 | | 7 | 委内瑞拉 | 0.72 | | 8 | 阿塞拜疆 | 0.71 | | 9 | 孟加拉国 | 0.70 | | 10 | 蒙古 | 0.64 |

不包括卡巴斯基实验室用户相对较少的国家/地区（50,000以下）。 *其计算机遭到加密木马攻击的唯一用户占该国家卡巴斯基实验室产品所有唯一用户的百分比。

第二季度的TOP10国家列表几乎与第一季度相同。然而，还是有一些排名变化：埃塞俄比亚（2.49％）使得乌兹别克斯坦（1.24％）从第一位下降到第二位，而巴基斯坦（1.14％）上升到第四位。越南（1.21％）保持第三位，印度尼西亚（1.09％）继续排名第五。

十大最广泛传播的加密木马家族

名称* | 样本 | 遭到攻击的用户比例**%** | | —- | —- | —- | —- | | 1 | WannaCry | Trojan-Ransom.Win32.Wanna | 53.92 | | 2 | GandCrab | Trojan-Ransom.Win32.GandCrypt | 4.92 | | 3 | PolyRansom/VirLock | Virus.Win32.PolyRansom | 3.81 | | 4 | Shade | Trojan-Ransom.Win32.Shade | 2.40 | | 5 | Crysis | Trojan-Ransom.Win32.Crusis | 2.13 | | 6 | Cerber | Trojan-Ransom.Win32.Zerber | 2.09 | | 7 | (generic verdict) | Trojan-Ransom.Win32.Gen | 2.02 | | 8 | Locky | Trojan-Ransom.Win32.Locky | 1.49 | | 9 | Purgen/GlobeImposter | Trojan-Ransom.Win32.Purgen | 1.36 | | 10 | Cryakl | Trojan-Ransom.Win32.Cryakl | 1.04 |

统计数据是基于卡巴斯基实验室产品的检测样本。这些信息由同意提供统计数据的卡巴斯基实验室产品的用户提供。 *遭特定加密木马家族攻击的卡巴斯基实验室唯一用户占所有遭加密木马攻击的用户的百分比。

WannaCry进一步扩大了其家族的领先优势，其份额从第一季度的38.33％上升至53.92 ％。与此同时，GandCrab（4.92％，在2018 年第一季度刚刚出现）背后的网络犯罪分子在传播方面投入了大量精力，一路上升到第二位，取代了多态蠕虫PolyRansom（3.81％）。榜单中的其余位置，就像在Q1中一样，被熟悉的加密木马Shade、Crysis、Purgen、Cryakl等所占据。

恶意挖矿软件

正如我们在《2016 - 2018年勒索软件和恶意挖矿软件趋势报告》中报告的，勒索软件正在逐渐下降，而加密货币矿工正在开始取而代之。因此，今年我们开始决定发布有关威胁类型状况的季度报告。同时，我们开始使用更广泛的样本作为收集矿工统计数据的基础，因此第二季度的统计数据可能与我们早期出版物的数据并不一致。它包括了我们检测为木马的隐匿矿工以及发布在 “非病毒的灰色软件”中的矿工。

新变体的数量

在2018年第二季度，卡巴斯基实验室解决方案检测到了13,948个新的矿工变体。

新矿工变体的数量，2018年第二季度

遭到恶意挖矿软件攻击的用户数量

在第二季度，我们在全球2,244,581名卡巴斯基实验室用户的计算机上检测到涉及挖矿程序的攻击。

遭恶意挖矿软件攻击的唯一用户数量，2018年第二季度

在4月和5月，遭到攻击的用户数量大致相等，而在6月份，加密矿工的攻击活动略有减少。

攻击的地理分布

恶意挖矿攻击的地理分布，2018年第二季度

按遭到攻击的用户比例排名前**10位的国家/**地区

国家* | 遭到攻击的用户比例**%** | | —- | —- | —- | | 1 | 埃塞俄比亚 | 17.84 | | 2 | 阿富汗 | 16.21 | | 3 | 乌兹别克斯坦 | 14.18 | | 4 | 哈萨克斯坦 | 11.40 | | 5 | 白俄罗斯 | 10.47 | | 6 | 印度尼西亚 | 10.33 | | 7 | 莫桑比克 | 9.92 | | 8 | 越南 | 9.13 | | 9 | 蒙古 | 9.01 | | 10 | 乌克兰 | 8.58 |

不包括卡巴斯基实验室产品用户相对较少的国家（50,000以下）。 *其计算机遭到恶意挖矿软件攻击的卡巴斯基实验室唯一用户占该国家所有卡巴斯基实验室产品唯一用户的百分比。

易被网络犯罪分子利用的脆弱应用程序

在2018年第二季度，我们再次观察到最常遭到攻击的平台分布上的一些重大变化。Microsoft Office 漏洞利用的比例（67%）相比第一季度增加了一倍，如果与2017年的平均值相比，则是四倍。这种急剧增长主要是由于包含漏洞利用（CVE-2017-11882）的垃圾邮件的大规模传播导致的。存在于旧版本的公式编辑器组件中的该栈溢出漏洞影响了过去18年来发布的每一个Office 版本。该漏洞利用可在Office软件包和Windows的所有可能组合中稳定生效。另一方面，它还允许攻击者使用各种混淆技术来绕过保护措施。这两个因素使得该漏洞利用成为第二季度网络犯罪分子手中最受欢迎的工具。其他 Office漏洞利用的比例与第一季度相比则没有发生大的变化。

第二季度KSN的统计数据还显示，越来越多的AdobeFlash漏洞通过MicrosoftOffice被利用。尽管Adobe和微软努力阻止对FlashPlayer 的漏洞利用，但新的零日漏洞CVE-2018-5002在第二季度被发现。该漏洞利用通过XLSX文件传播，并使用了一个鲜为人知的技术来远程下载漏洞利用而不是直接在文件中包含该漏洞利用。与其他多种文件格式一样，SWF文件以OLE对象的格式在Office文档中呈现。该OLE对象包含实际的文件和属性列表，其中一个属性指向SWF文件的路径。漏洞利用中的OLE对象并没有包含SWF文件，但只包含了一个属性的列表，包括指向SWF文件的web链接，这会强制Office 从该远程链接中下载缺失的文件。

网络犯罪分子使用的漏洞利用针对的应用程序的类型分布，**2018**年第二季度

在2018年3月下旬，在 VirusTotal上检测到一个包含两个零日漏洞的PDF文档： CVE-2018-4990和CVE-2018-8120 。前者允许通过利用AcrobatReader中的JPEG2000格式图像处理器中的软件错误从 JavaScript执行shellcode。后者存在于win32k 函数SetImeInfoEx中 ，用于进一步提权到SYSTEM级别，并使该PDF阅读器能够逃离沙箱。对该文档的分析和我们的统计数据显示，在上传到 VirusTotal时，此漏洞利用尚处于开发阶段，并未用于野外攻击。

4月下旬，卡巴斯基实验室专家利用沙箱在InternetExplorer中发现了零日漏洞 CVE-2018-8174，并向微软报告。对此漏洞的利用使用了与CVE-2017-0199 相关联的技术（通过特制的OLE对象从远程源启动HTA脚本），以便在MicrosoftOffice 的帮助下利用易受攻击的InternetExplorer组件。我们观察到漏洞利用程序包的创建者已经集成了这个漏洞并通过网站和包含恶意文档的电子邮件主动分发该漏洞利用。

还是在第二季度，我们观察到网络攻击的数量不断增长。利用MS17-010漏洞利用的攻击尝试越来越多；它构成了我们检测到的网络攻击的大多数。

通过网络资源发起的攻击

本章中的统计信息是基于Web反病毒产品，它可以在恶意对象从恶意/受感染的网页下载时保护用户。恶意网站是由网络犯罪分子专门创建的；包含用户创建内容的Web资源（例如论坛）以及被黑客入侵的合法资源可能会被感染。

在线资源被植入恶意软件的排名前十大的国家/地区

以下统计信息是基于攻击中使用的在线资源（包含恶意重定向的网页、包含漏洞利用以及恶意软件的网站、僵尸网络C&C服务器，等等）的物理位置，这些攻击被我们的防病毒组件所阻止。任何唯一的主机都可能是一个或多个网络攻击的来源。为了确定网络攻击来源的地理分布，我们将其域名与其实际域IP地址进行匹配，然后建立一个特定IP的地理位置库（GEOIP）。

在2018年第二季度，卡巴斯基实验室解决方案阻止了来自全球187个国家的网络资源发起的962,947,023次攻击。网络防病毒组件将351,913,075个唯一URL识别为恶意URL。

网络攻击来源的国家分布，2018年第二季度

在第二季度，网络攻击来源国家排名的前四名保持不变。美国（45.87％）是大多数网络攻击来源的所在地。荷兰（25.74 ％）排名第二，德国（5.33％）排名第三。第五名发生了变化：俄罗斯（1.98％）取代了英国，尽管其份额下降了 0.55个百分点

用户面临在线感染风险最大的国家/地区

为了评估不同国家/地区的用户面临的在线感染风险，我们计算了每个国家/地区的卡巴斯基实验室用户的计算机在本季度触发Web防病毒组件的百分比。由此产生的数据代表了计算机在不同的国家运行所面临的风险指标。

此评级仅涵盖属于恶意软件类型的恶意程序的攻击；不包括针对潜在的危险或有害程序（如灰色软件或广告软件）的Web防病毒检测数据。

国家* | 遭到攻击的用户比例** | | —- | —- | —- | | 1 | 白俄罗斯 | 33.49 | | 2 | 阿尔巴尼亚 | 30.27 | | 3 | 阿尔及利亚 | 30.08 | | 4 | 亚美尼亚 | 29.98 | | 5 | 乌克兰 | 29.68 | | 6 | 摩尔多瓦 | 29.49 | | 7 | 委内瑞拉 | 29.12 | | 8 | 希腊 | 29.11 | | 9 | 吉尔吉斯斯坦 | 27.25 | | 10 | 哈萨克斯坦 | 26.97 | | 11 | 俄罗斯 | 26.93 | | 12 | 乌兹别克斯坦 | 26.30 | | 13 | 阿塞拜疆 | 26.12 | | 14 | 塞尔维亚 | 25.23 | | 15 | 卡塔尔 | 24.51 | | 16 | 拉脱维亚 | 24.40 | | 17 | 越南 | 24.03 | | 18 | 格鲁吉亚 | 23.87 | | 19 | 菲律宾 | 23.85 | | 20 | 罗马尼亚 | 23.55 |

*这些统计数据是基于Web防病毒模块返回的检测结果，这些检测结果是从同意提供统计数据的卡巴斯基实验室产品用户处收到的。 不包括卡巴斯基实验室用户相对较少的国家/地区（10,000以下）。 **恶意软件类的攻击所针对的唯一用户占该国家卡巴斯基实验室产品所有唯一用户的百分比。

恶意网络攻击的地理分布（受攻击用户的百分比），2018年第二季度

平均而言，全球有19.59％的互联网用户的计算机至少经历过一次恶意软件类的网络攻击。

本地威胁

用户计算机的本地感染统计数据是一个非常重要的指标：它们反映了通过被感染文件、可移动媒介或最初以加密格式进入计算机的文件（例如集成在复杂安装程序、加密文件等中的程序）侵入计算机系统的威胁。

本节中的数据是基于防病毒组件对硬盘驱动器上的文件的扫描结果，以及对可移动存储介质的扫描结果的分析统计。

在2018年第二季度，我们的文件防病毒组件检测到192,053,604个恶意和潜在有害的对象。

用户面临本地感染风险最高的国家/地区

对于每个国家/地区，我们计算了在报告期间触发了计算机文件防病毒组件的卡巴斯基实验室产品用户的百分比。这些统计数据反映了不同国家的个人计算机感染程度。

此评级仅涵盖属于恶意软件类型的攻击。它不包括文件防病毒组件检测到的潜在危险或有害程序，如灰色软件或广告软件。

国家* | 遭到攻击的用户比例** | | —- | —- | —- | | 1 | 乌兹别克斯坦 | 51.01 | | 2 | 阿富汗 | 49.57 | | 3 | 塔吉克斯坦 | 46.21 | | 4 | 也门 | 45.52 | | 5 | 埃塞俄比亚 | 43.64 | | 6 | 土库曼斯坦 | 43.52 | | 7 | 越南 | 42.56 | | 8 | 吉尔吉斯斯坦 | 41.34 | | 9 | 卢旺达 | 40.88 | | 10 | 蒙古 | 40.71 | | 11 | 阿尔及利亚 | 40.25 | | 12 | 老挝 | 40.18 | | 13 | 叙利亚 | 39.82 | | 14 | 喀麦隆 | 38.83 | | 15 | 莫桑比克 | 38.24 | | 16 | 孟加拉国 | 37.57 | | 17 | 苏丹 | 37.31 | | 18 | 尼泊尔 | 37.02 | | 19 | 赞比亚 | 36.60 | | 20 | 吉布提 | 36.35 |

这些统计数据是基于OAS和ODS防病毒模块从同意提供统计数据的卡巴斯基实验室产品用户处收到的返回的检测数据。这些数据包括对位于用户计算机上或连接到计算机的可移动介质，例如闪存驱动器、相机和电话存储卡或外部硬盘驱动器上的恶意程序的检测结果。

不包括卡巴斯基实验室用户相对较少的国家/地区（10,000以下）。

*在其计算机上阻止了恶意软件类本地威胁的唯一用户占该国家卡巴斯基实验室产品的所有唯一用户的百分比。

恶意本地攻击的地理分布（按受攻击用户的百分比进行归类），2018年第二季度

平均而言，全球19.58％的计算机在第二季度经历过至少一个恶意软件类的本地威胁。

*本文作者：vitaminsecurity，转载请注明来自FreeBuf.COM