安基網 首頁 資訊 安全報 查看內容

2020年3月勒索病毒疫情分析

2020-4-14 12:45| 投稿: xiaotiger |來自: 互聯網


免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!

摘要: 勒索病毒的蔓延,給企業和個人都帶來了嚴重的安全威脅。360安全大腦針對勒索病毒進行了全方位的監測與防御。本月新增勒索病毒家族有DoppelPaymer、Teslarvng和One-OAPlugins等360解密大師在2020年3月新增對DiskParasite勒索病毒家族的解密支持。感染數據分析分析本月勒索病毒家族占比:GlobeImposter占 ...

勒索病毒的蔓延,給企業和個人都帶來了嚴重的安全威脅。360安全大腦針對勒索病毒進行了全方位的監測與防御。本月新增勒索病毒家族有DoppelPaymer、Teslarvng和One-OAPlugins等

360解密大師在2020年3月新增對DiskParasite勒索病毒家族的解密支持。

感染數據分析

分析本月勒索病毒家族占比:GlobeImposter占22.25%居首位;其次是占比22.11%的phobos;Sodinokibi家族以占比11.86%位居第三。新出現不久的勒索病毒Makop占比有明顯的上升——這個曾經名不見經傳的勒索病毒本月直接躍居至榜單第8位。

而從被感染系統占比看:本月位居前三的系統仍是Windows 10、Windows 7和Windows Server 2008。同2月一樣,Windows 10操作系統占比繼續超過Windows 7。

3月被感染系統中桌面系統和服務器系統占比,仍是桌面系統占據絕對多數。與上個月的統計進行比較,并未出現較大的波動幅度。

此外,我們還關注了360論壇的勒索病毒板塊在2020年2月的用戶反饋動態(https://bbs.#/forum.php?mod=forumdisplay&fid=7592):

本月論壇反饋總計77個案例,涉及19個家族,并幫助其中部分用戶進行了解密。

反饋次數最多的三個家族依次為:GlobeImposter、Sodinokibi以及phobos。反饋新增的家族/變種包括:Crysis(修改文件后綴為iu21j、eight)、DoppelPaymer(修改文件后綴為doppeled、how2decrypt.txt)、Teslarvng(修改文件后綴為yakuza)、Stop(修改文件后綴為npsk、remk)等。

勒索病毒疫情分析

Teslarvng勒索病毒家族

Teslarvng勒索病毒為本月新出現的一款勒索病毒。由于國內的傳播量較小,目前暫時并未引起廣泛關注。該勒索病毒通過常見的弱口令攻擊方式進行傳播(暴力破解獲取到遠程桌面口令后手動投毒)。

該勒索病毒會在每個被加密文件末尾填寫“x93x9Fx7BxA9”,并將加密成功和加密失敗的文件分別寫入到AdobeExtension Manager CCLogs目錄下的c.txt和fails.txt文件中。

和大部分勒索病毒相同,該病毒也是讓用戶通過勒索提示信息中留下的郵箱聯系黑客,并修改文件后綴為.Teslarvng。該勒索病毒在本月還出現一個新型變種,修改文件后綴為.yakuza。

Nemty勒索病毒家族

在3月中旬,360安全大腦監控到Nemty勒索病毒開始利用U盤蠕蟲進行傳播,該渠道曾被GandCrab勒索病毒家族在2019年11月份第一次使用,并感染了大量設備。在本月蠕蟲攻擊量呈上漲態勢,同時從態勢圖可以看到該蠕蟲比較受工作時間影響,周末期間攻擊量會有一個較大的下降。但3月份的整體依然呈上漲態勢。


One-OAPlugins勒索病毒家族

360安全大腦在本月監測到一款勒索病毒利用通達OA系統的文件上傳漏洞進行傳播,該勒索病毒加密文件后會在其后綴名末尾增加一個數字1,并留下勒索信要求用戶支付0.3個比特幣的贖金。

黑客信息披露:

以下是本月搜集到的黑客郵箱信息:

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

jabber [email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

表格1. 黑客郵箱


系統安全防護數據分析

通過對2020年2月和3月數據進行對比發現,本月各個系統占比變化均不大。位居前三的仍是Windows 7 、Windows 8和Windows 10。

以下是對2020年3月被攻擊系統所屬IP采樣制作的地域分布圖,與之前幾個月采集到的數據進行對比,地區排名和占比變化不大。數字經濟發達地區仍是被攻擊的主要對象。

通過對2020年3月弱口令攻擊態勢分析發現,在本月Mssql的弱口令攻擊在本月中旬有兩次峰值。Rdp和Mysql弱口令攻擊在本月的攻擊整體無較大波動。

下圖展示的是利用Mssql攻擊系統行為的整體趨勢,整月數據相對平穩,沒有太大的波動。

圖11. Mssql攻擊攔截態勢圖


勒索病毒關鍵詞

該數據來自lesuobingdu.#的搜索統計。(不包括WannCry、AllCry、TeslaCrypt、Satan、Kraken、Jsworm、X3m以及GandCrab幾個家族)

l Devos:屬于phobos勒索病毒家族,由于被加密文件后會被修改devos而成為關鍵詞,該勒索病毒主要通過暴力破解遠程桌面密碼,拿到密碼后手動投毒傳播。

l globeimposter-alpha865qqz:屬于GlobeImposter勒索病毒家族,由于被加密文件后綴會被修改為happychoose而成為關鍵詞,該勒索病毒主要通過爆破破解遠程桌面密碼,拿到密碼后手動投毒傳播。

l dewar:同devos

l Happychoose:同globeimposter-alpha865qqz。

l Voyager:屬于Hermes837勒索病毒家族,由于文件被加密后會被修改為voyager而成為關鍵詞。該勒索病毒家族主要通過暴力破解遠程桌面密碼,成功后手動投毒傳播。

l Stopv:為Stop家族,該勒索病毒的變種很多,通過破解軟件或者激活工具進行傳播。

l Readinstructions:屬于MedusaLocker勒索病毒家族又被稱作“美杜莎”勒索病毒,該勒索病毒主要通過暴力破解遠程桌面密碼,拿到密碼后手動投毒傳播。

l Ako:屬于Ako勒索病毒家族,該勒索病毒主要通過垃圾郵件和暴力破解遠程桌面密碼后手動投毒兩個渠道進行傳播。

l Globeimposter:同globeimposter-alpha865qqz。

l Harma:屬于Crysis勒索病毒家族,由于文件被加密后會被修改為ncov而成為關鍵詞。該勒索病毒家族主要通過暴力破解遠程桌面密碼,成功后手動投毒傳播。

解密大師

從解密大師本月解密數據來看:解密文件數量最大的仍是GandCrab,其次是“已鎖定”;而從尋求解密的中招設備數量維度看,最多的則是HackedSecret家族,其次是Stop家族。


總結

針對服務器的勒索病毒攻擊依然是當下勒索病毒的一個主要方向,企業需要加強自身的信息安全管理能力——尤其是弱口令、漏洞、文件共享和遠程桌面的管理,以應對勒索病毒的威脅,在此我們給各位管理員一些建議:

1. 多臺機器,不要使用相同的賬號和口令

2. 登錄口令要有足夠的長度和復雜性,并定期更換登錄口令

3. 重要資料的共享文件夾應設置訪問權限控制,并進行定期備份

4. 定期檢測系統和軟件中的安全漏洞,及時打上補丁。

5. 定期到服務器檢查是否存在異常。查看范圍包括:

(1) 是否有新增賬戶

(2) Guest是否被啟用

(3) Windows系統日志是否存在異常

(4) 殺毒軟件是否存在異常攔截情況

6. 安裝安全防護軟件,并確保其正常運行。

7. 從正規渠道下載安裝軟件。

8. 對不熟悉的軟件,如果已經被殺毒軟件攔截查殺,不要添加信任繼續運行。

此外,無論是企業受害者還是個人受害者,都不建議支付贖金。支付贖金不僅變相鼓勵了勒索攻擊行為,而且解密的過程還可能會帶來新的安全風險。

常見的勒索病毒,很多只加密文件頭部數據,對于某些類型的文件(如數據庫文件),可以嘗試通過數據修復手段來挽回部分損失。如果不得不支付贖金的話,可以嘗試和黑客協商來降低贖金價格,同時在協商過程中要避免暴露自己真實身份信息和緊急程度,以免黑客漫天要價。由于解密服務公司多是通過聯系黑客購買密鑰解密文件,所以盡量避免咨詢太多第三方解密公司(咨詢太多第三方解密公司相當于咨詢多次黑客,可能會導致黑客漲價。)




小編推薦:欲學習電腦技術、系統維護、網絡管理、編程開發和安全攻防等高端IT技術,請 點擊這里 注冊賬號,公開課頻道價值萬元IT培訓教程免費學,讓您少走彎路、事半功倍,好工作升職加薪!

本文出自:https://www.toutiao.com/a6815180470045639175/

免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!


鮮花

握手

雷人

路過

雞蛋

相關閱讀

最新評論

 最新
返回頂部
洗衣店赚钱联系澳洁 炒股配资公司 大发快三下载网站 永不亏钱的炒股方法 内蒙古十一选五五开奖走势 青海快3选号技巧 幸运农场多少钱一注 浙江省十一选五基本 陕西11选五定位票怎么选 北京快3一定牛遗漏号 股票涨跌幅度是看昨天的吗