近日，网络安全公司Cybereason于网上透露，“老选手”Phorpiex恶意脚本重新出现，被不法分子利用散播细心版本的LockBit勒索软件。此勒索恶意软件具有高度自动化的特性，一旦用户设备遭到入侵，则会自动夏赞运行LockBit勒索木马，无需恶意分子进行远程操作。

Phorpiex脚本主要通过伪装成普通邮件进行传播，其中内涵一个ZIP压缩包，当用户双击点开压缩包中的 .SCR 文件时，就会迅速与恶意分子的服务器相连接，并自动下载名为lbbb.exe的LockBit勒索程序，并且脚本会在下载恶意软件前先清除受害者设备上的 URL 缓存记录，以保证后续重新下载不受本地缓存干扰，更值得一提的是，在下载完成后，Phorpiex脚本还会自动自我销毁并清除日志，这使其具有高度隐秘性的特点，令后续追踪调查变得困难。

【IP风险画像：https://www.ipdatacloud.com/?utm-source=LMN&utm-keyword=?2082】

而我们可以通过安全软件在最初接收邮件时进行阻拦，也可以将 IP 地址数据库数据进行风险识别。IP 地址库主要通过以下方式进行风险识别：

IP 地址黑名单拦截​

① 收集曾参与勒索软件传播等恶意活动的 IP 地址​；

② 用户设备连接 IP 时，库内比对，匹配则阻断连接​。

风险标签​

① 添加 “高风险勒索软件源” 等标签评估风险​；

② 依标签等级对连接请求提示、限制或拦截​。

流量行为分析​

① 监测 IP 流量规律，对比正常与异常模式​；

② 发现异常流量即判定风险并防护​。

威胁情报关联​

① 与全球平台关联获取恶意 IP 及攻击趋势​；

② 同步数据更新规则，快速响应威胁​。

历史行为记录追踪​

① 记录 IP 历史行为数据​；

② 分析行为变化趋势，动态调整风险等级与防护力度。

【IP风险画像：https://www.ipdatacloud.com/?utm-source=LMN&utm-keyword=?2082】

网络恶意行径持续迭代，但其核心始终围绕 IP 地址。广大网民与企业用户务必要时刻保持警觉，强化网络安全防护意识，定期更新并升级安全软件，以应对层出不穷的网络威胁。与此同时，相关网络安全机构亦需不断完善 IP 地址库的风险识别机制，提升对新型网络攻击的检测及防御能力，携手维护网络空间的安全与稳定。