2019年08月勒索病毒疫情分析

2019年08月勒索病毒疫情分析

作者: Lovingd.

全网最全的网络资源分享网站

手机扫码查看

标签:

特别声明:文章多为网络转载,资源使用一般不提供任何帮助,特殊资源除外,如有侵权请联系!

勒索病毒的蔓延,给企业和个人都带来了严重的安全威胁。360安全大脑针对勒索病毒进行了全方位的监控与防御。从本月数据来看,反勒索服务反馈量有较大幅度的上升,其中Stop勒索病毒为反馈上升最高的一个家族。360解密大师在8月新增对JsWorm 4.0.3、Nemsis(修改后缀为Wecanhelp)、Planetary(修改后缀为haka)、ECh0raix、Spades五个勒索病毒家族的解密支持。感染数据分析相较于7月数据,本月的反勒索服务反馈有大幅度的上升,其中Stop反馈量上升最大。GlobeImposter在本月发布了带简体中文的新变种。Sodinokibi攻击团伙,也开始有针对性的对大陆用户发送钓鱼邮件攻击。模仿Sodinokibi的Nemty新型勒索病毒国内开始出现传播。近12个月勒索病毒反馈统计对本月勒索病毒家族占比分析看:Stop家族以占比36.83%居首位,其次是占比为20.08%的phobos家族,GlobeImposter家族以占比15.44%位居第三。2019年8月勒索病毒家族占比勒索病毒疫情分析Sodinokibi勒索病毒360安全大脑监控到,Sodinokibi勒索病毒在8月9日前后出现一次较大规模的钓鱼邮件传播。本次勒索病毒传播者下发的邮件附件开始使用简体中文命名 (此前下发的邮件附件文件名均为繁体字,由此推测该勒索病毒可能开始了一轮针对中国大陆地区的传播)。Sodinokibi勒索病毒8月通过邮件传播趋势图该勒索病毒本月被爆出攻击了德克萨斯22个地方政府,总计要求支付高达250万美元的赎金。同时该勒索病毒在本月还被曝出通过入侵国外的一些WordPress网站,注入JavaScript代码进行钓鱼传播。该攻击方式类似于之前GandCrab伪装字体更新的传播方式,从传播渠道上看,Sodinokibi与GandCrab有着千丝万缕的联系。Stop根据360解密大师数据,单针对Stop勒索病毒一种,本月就解密设备超1400台。中招该勒索病毒的机器,大部分是由于从境外下载破解软件或者激活工具导致文件被加密。该勒索病毒传播途径单一,但由于渠道特点,即使被杀毒软件查杀的状态下,仍有大量用户中招。该勒索病毒在本月进行了一次大的更新,最近更新修改文件后缀为geto、seto、peta等,此次更新主要在加密算法上做了加强。此前是同类型文件一个密钥,现在则是一个文件一个密钥,同时该勒索病毒不再是运行就直接加密文件,而是在下次开机时进行加密。开机自启动被加密文件Nemty360安全大脑监测到本月新增一款勒索病毒Nemty,该病毒主要通过爆破远程桌面后手动投毒进行传播。Nemty勒索病毒生的勒索提示信息和已知的Sodinokib勒索病毒极其的相似。发布论坛公开信息显示,该勒索病毒的制作者正是之前JsWorm勒索病毒的制作者,也采用RaaS模式(全名“Ransomware-as-a-Service”:勒索病毒即服务)。勒索病毒制作者为网络犯罪组织开发勒索病毒,网络犯罪组织负责传播勒索病毒,双方根据合作协议瓜分赎金。该模式已被多个家族所采用,例如知名的GandCrab、Sodinokibi和FilesLokcer等。JSWorm作者发文Ouroboros360安全大在7月末,就检测到Ouroboros勒索病毒在国内进行传播,8月开始收到多个受害者求助。从监测数据来看,该勒索病毒目前主要通过投放垃圾邮件进行传播。该勒索病毒家族变种目前大部分均使用Lazarus后缀(前期还有limbo等后缀),联系邮箱有多个。被Ouroboros加密的文件有趣的是该勒索病毒在加密文件前会和www.sfml-dev.org建立连接,如果不能建立连接就会使用硬编码在程序中的密钥来加密文件,如果能建立连接就会向发服务器发送在本地生成的ID,服务器根据该ID生成一个密钥来加密文件。Ouroboros的内置密钥GlobeImposterGlobeImposter勒索病毒在本月进行了一次更新。此次更新主要在勒索提示信息上做了一些改动,针对中国用户新增简体中文提示,同时在每个文件夹下生成的勒索提示信息均改为可执行程序不再是txt文档。后缀由之前“十二主神”+666变为“十二主神”+865.例如最新后缀:Aphrodite865、Hermes865、artemis865、Hades865、Apollon865等。(国外有安全研究机构将近期的GlobeImposter变种称为Maoloa家族,二者使用了相同的勒索信息,解密手段上也比较接近,国内统一称为GlobeImposter家族)。GlobeImposter勒索提示信息黑客邮箱披露以下是2019年8月被360勒索病毒搜索引擎收录的黑客邮箱:

服务器防护数据分析通过与上月数据对比分析,本月的操作系统占比无较大波动。2019年8月被攻击系统占比以下是对2019年8月被攻击系统所属IP采样制作的地域分部图,与之前几个月采集到的数据进行对比,地区排名和占比变化都不大。数字经济发达地区仍是被攻击的主要对象。被攻击地域分布图通过与上月数据对比,最近两月数据相对稳定,口令爆破攻击趋势平稳。2019年8月弱口令攻击趋势图勒索病毒关键词该数据源自lesuobingdu.360.cn的搜索统计。(不包括WannaCry、AllCry、TeslaCrypt、Satan以及kraken几个家族)对本月用户搜索勒索病毒关键词进行统计,共计检索2.5万次。以下是本月TOP10搜索关键词:l GandCrabV5.2:属于GandCrab勒索病毒家族的一个版本,该勒索病毒于2019年6月1号宣布停止更新,360解密大师在当月发布解密工具。由于感染量众多,一直属于热门搜索,目前在“最新可解密勒索病毒”列表中。l Wecanhelp:属于Nemesis(同属X3m)勒索病毒家族的一个变种,由于被加密文件后缀会被修改为wecanhelp而成为关键词。该勒索病毒家族主要通过爆破远程桌面,成功后手动投毒传播。中毒用户可参考自救指南(https://bbs.360.cn/thread-15780698-1-1.html)查找存有密钥的temp000000.txt文档尝试解密文件。l x3m:属于X3m勒索病毒,该勒索病毒在6月份开始出现,最新流行变种被称为Nemesis。目前上榜“最新可解密勒索病毒”列表。l help989:属于GlobeImposter家族,由于被加密文件后缀会被修改为help989而成为关键词。该勒索病毒家族主要通过爆破远程桌面,成功后手动投毒传播。GlobeImposter变种频繁,版本众多,但是该后缀变种在最近两月都处于一个较高流行度。l JsWorm:属于JsWorm勒索病毒,360解密大师在本月已支持该家族最新版本4.0.3的解密。目前上榜“最新可解密勒索病毒”列表。l Pisca:属于phobos家族,由于被加密文件后缀会被修改为pisca而成为关键词。该勒索病毒家族主要通过爆破远程桌面,成功后手动投毒传播。l Adage:属于phobos家族,同Pisca。l diller13:属于GlobeImposter家族,同help989l panindogliker@protonmail.com: 属于phobos家族,由于被加密文件中含有该邮箱而成为关键词。该勒索病毒家族主要通过爆破远程桌面,成功后手动投毒传播。l bitcoin1@foxmail.com:同panindogliker@protonmail.com2019年8月勒索病毒搜索关键词TOP10360解密大师从解密大师本月的解密统计数据看,本月解密量最大的仍是GandCrab勒索病毒,其次是Planetary家族;其中使用解密大师解密文件的用户数最高的仍是Stop家族。其次是GandCrab家族,由于在国内有过长期传播,解密量一直居高不下。2019年8月解密大师解密情况总结针对服务器的勒索病毒攻击依然是当下勒索病毒的一个主要方向,企业需要加强自身的信息安全管理能力——尤其是弱口令、漏洞、文件共享和远程桌面的管理,以应对勒索病毒的威胁,在此我们给各位管理员一些建议:1. 多台机器,不要使用相同的账号和口令2. 登录口令要有足够的长度和复杂性,并定期更换登录口令3. 重要资料的共享文件夹应设置访问权限控制,并进行定期备份4. 定期检测系统和软件中的安全漏洞,及时打上补丁。5. 定期到服务器检查是否存在异常。查看范围包括:a) 是否有新增账户b) Guest是否被启用c) Windows系统日志是否存在异常d) 杀毒软件是否存在异常拦截情况而对于本月又重新崛起的这对个人电脑发起攻击的勒索病毒,建议广大用户:1. 安装安全防护软件,并确保其正常运行。2. 从正规渠道下载安装软件。3. 慎用各种激活工具。4. 对不熟悉的软件,如果已经被杀毒软件拦截查杀,不要添加信任继续运行。5. 遇到陌生人发送的邮件,要谨慎查看,尽量避免下载附件。如需要下载,也要先用安全软件对附件进行检查。

                           了解更多安全资讯或咨询安全问题,请关注以下微信公众号
分享到:
打赏
未经允许不得转载:

作者: Lovingd., 转载或复制请以 超链接形式 并注明出处 舟之家
原文地址: 《2019年08月勒索病毒疫情分析》 发布于2019-9-20

切换注册

登录

您也可以使用第三方帐号快捷登录

切换登录

注册

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏

Sitemap