2019年7月勒索病毒疫情分析
勒索病毒的蔓延,给企业和个人都带来了严重的安全威胁。360安全大脑针对勒索病毒进行了全方位的监控与防御。从本月数据来看,反勒索服务反馈量有小幅度上升,其中Stop是反馈量上升最大的一个家族。
360解密大师在本月新增了对LoopCipher勒索病毒家族的解密支持。
感染数据分析
相较于六月数据,本月反勒索服务的反馈量有小幅度的上升,其中以Stop的反馈量上升最大。同时在本月反馈中,勒索病毒的类型也是最为丰富的一次,共出现了29个不同家族勒索病毒。
图1.近12个月勒索病毒反馈统计
对本月勒索病毒家族占比分析看:GlobeImposter家族占比21.21%居首位, phobos和Stop两个家族则以14.20%和13.65%的占比分列二三位。xise
图2.2019年7月勒索病毒家族占比
从被感染系统占比看:本月占比居前三的仍是Windows7、Windows10和Windows Server 2008,但是各自占比都有大幅度的变化。其中变化最大的Windows 7从6月的29.47%跃升到本月的56.45%。
图3.2019年7月被感染系统占比
对比2019年6月与7月被感染系统情况,本月个人系统占比有较大上升。个人系统从69%上升至本月的86%。这与本月Stop、Sodinokibi两个勒索病毒家族的异常活跃紧密相关。
图4.2019年6月和7月被感染系统占比对比图
勒索病毒疫情分析
Stop
本月Stop勒索病毒家族新增format、bopador、masok、cosakos、lotej、prandel、 zatrov、brusaf等后缀。中毒用户几乎都是从国外网站下载激活工具、破解软件导致大量文件被加密。虽然国内反馈量很大,但是相对于国外,量会小很多。
由于Stop本身的可定制化,传播者可以根据自己的喜好去设置被加密文件后缀、设置加密文件时使用的密钥,导致其变种非常多——迄今为已有100多种。为应对不同变种不断更新离线key的情况,360解密大师还提供了无需更新离线key的解密方案:用户可以通过提供一对文件(加密后的文件和加密前的原始文件)在用户本地进行密钥碰撞运算,以此来解密文件。
图5.解密大师解密Stop勒索病毒
Sodinokibi
360安全大脑监控到,Sodinokibi勒索病毒在7月21号,有一次较大规模的钓鱼邮件传播。勒索病毒传播者冒充DHL(告知用户快递被无限期延迟,具体原因查看附件)、网警(告知用户使用过的图片造成侵权将受到罚款,具体情况查看附件)向用户发送垃圾邮件,诱惑用户下载运行邮件附件从而加密。这次攻击事件,也造成很多计算机被攻击中招。
图6.Sodinokibi通过邮件传播趋势图
Ech0Raix
本月中旬,一款名为Ech0Raix的勒索病毒开始针对国内进行传播,主要攻击目标为NAS服务器,国内群辉(Synology)和威联通(QNAP)等主流NAS设备都有中招反馈。该勒索病毒加密文件后修改文件后缀为encrypt,并向受害者索要0.06个比特币。
图7.被Ech0Raxi加密的文件
通过对中招服务器分析发现,服务器上存在大量的远程桌面口令爆破记录和SSH口令爆破记录,并且在文件被加密前有通过远程桌面成功登录服务器记录。经过360分析人员的进一步分析发现该勒索病毒传播是先通过爆破拿到远程桌面密码,登录到系统后在本地创建计划任务,通过计划任务去下载执行勒索病毒,实现对用户本地文件的加密。
图8.黑客创建删除计划任务
黑客信息披露
以下是2019年7月份以来,黑客在使用的勒索病毒联系邮箱。
表格1.黑客邮箱
服务器防护数据分析
通过对2019年6月和7月的数据进行对比分析发现,操作系统占比变动不大,在小范围内浮动。二四六天天好彩
图9.2019年7月被弱口令攻击系统占比
以下是对2019年7月被攻击系统所属IP采样制作的地域分部图,与之前几个月采集到的数据进行对比,地区排名和占比变化都不大。数字经济发达地区仍是被攻击的主要对象。
图10.被攻击地域分部图
通过对6月和7月的弱口令攻击数据数据进行分析,两月的数据相对比较稳定,未发现大规模弱口令攻击。
图11.2019年7月弱口令攻击趋势图
勒索病毒关键词
该数据来源lesuobingdu.360.cn的搜索统计。(由于WannaCry、AllCry、TeslaCrypt、Satan以及kraken几个家族在过去曾出现过较大规模传播,之前的搜索量较高,长期停留在推荐栏里,对结果有一定影响,故在统计中去除了这几个家族的数据。)
对本月用户搜索勒索病毒关键词进行统计,检索量较大的关键词如下:
· Help989:属于GlobeImposter家族的一个变种,由于被加密文件后缀会被修改为Help989而成为关键词,该勒索病毒家族主要通过爆破远程桌面,手动投毒传播。
· Your_last_chance:属于Nemesis家族的一个变种,由于被加密文件后缀会被修改为Your_last_chance而成为关键词,该勒索病毒家族主要通过爆破远程桌面,手动投毒传播。
· Actin:属于phobos家族的一个变种,由于被加密文件后缀会被修改为Actin而成为关键词,该勒索病毒家族主要通过爆破远程桌面,手动投毒传播。
· Jsworm4.0.1:属于Jsworm家族,该勒索病毒主要通过垃圾邮件进行传播,国内也出现通过爆破远程桌面后通过手动投毒进行传播。
· Supporhelpgood:同Help989。
· Adage:同Actin。
· Firex3m:同Your_last_chance。
· Diller13:同Actin。
· Pig4444:同Help989
· Sin_easter.666@aol.com: 同Help,不同点在于该关键词为邮箱,是黑客留下用来沟通解密所用。
图12.2019年7月勒索病毒关键词Top10
360解密大师
从360解密大师本月的解密统计数据看,本月解密量最大为GandCrab家族,其次是Plantery。其中使用解密大师解密文件的用户数量最高的为Stop家族,其次为GandCrab家族。
图13.2019年7月解密大师解密情况图
总结
针对服务器的勒索病毒攻击依然是当下勒索病毒的一个主要方向,企业需要加强自身的信息安全管理能力——尤其是弱口令、漏洞、文件共享和远程桌面的管理,以应对勒索病毒的威胁,在此我们给各位管理员一些建议:
1. 多台机器,不要使用相同的账号和口令
2. 登录口令要有足够的长度和复杂性,并定期更换登录口令
3. 重要资料的共享文件夹应设置访问权限控制,并进行定期备份
4. 定期检测系统和软件中的安全漏洞,及时打上补丁。
5. 定期到服务器检查是否存在异常。查看范围包括:
a) 是否有新增账户
b) Guest是否被启用
c) Windows系统日志是否存在异常
d) 杀毒软件是否存在异常拦截情况
而对于本月又重新崛起的这对个人电脑发起攻击的勒索病毒,建议广大用户:
1. 安装安全防护软件,并确保其正常运行。
2. 从正规渠道下载安装软件。
3. 慎用各种激活工具。
4. 对不熟悉的软件,如果已经被杀毒软件拦截查杀,不要添加信任继续运行。
5. 遇到陌生人发送的邮件,要谨慎查看,尽量避免下载附件。如需要下载,也要先用安全软件对附件进行检查。
2019年7月勒索病毒疫情分析相关推荐
- 国内勒索病毒疫情严重 每天十多万台电脑被感染
2019独角兽企业重金招聘Python工程师标准>>> 4月10日消息,国内安全团队近日发出安全警报,报告称国内勒索病毒疫情非常严峻,政府.企业和个人用户都在被攻击之列,而系统漏洞是 ...
- 美创安全实验室|2020年9月勒索病毒报告
本月,美创安全实验室威胁平台监测到多起勒索病毒攻击事件,发现勒索病毒的活跃情况呈上升趋势,常年霸榜的Phobos.Globelmposter.Dharma三大勒索病毒家族为2020年9月勒索病毒&qu ...
- 2019年4月最新勒索病毒样本分析及数据恢复
1. satan病毒升级变种satan_pro 特征:.satan_pro 后缀 勒索邮箱:satan_pro@mail.ru evopro@protonmail.com 等 2.YYYYBJQOQD ...
- 2019年5月最新勒索病毒样本分析及数据恢复
1.GANDCRAB病毒 病毒版本:GANDCRAB V5.2 中毒特征:<原文件名>.随机字符串 勒索信息:随机字符串-MANUAL.txt 特征示例: readme.txt.pfdjj ...
- ransomware(假的勒索病毒)逆向分析
0x01:PEiD查壳 无壳 运行之后也没中毒 无毒 0x02: 运行一下看看 可用的只有一个输入框和一个按钮(Decrypt) 这里可以通过Restorator进行分析 随意输入12345678 ...
- 物联网下的防勒索病毒案例分析
近年来,随着物联网技术和互联网技术的日益发展,各种具有智能.自动.联网等智慧系统的研究已在全球范围内广泛开展,以汽车.船舶.电梯.机器人.家电等行业的智能化已经成为全球的大势所趋.未来10-20年各种 ...
- 流行勒索病毒分析总结
一.概述 信息安全 (Information Security) ,意为保护信息及信息系统不受侵害.主要保护计算机硬件.软件.数据不因偶然的或恶意的原因而遭到破坏.更改.显露.从层面的概念来看,计算机 ...
- 2019年1-6月网络安全态势分析及建议
2019年上半年,网络攻击数量总体呈上升趋势,网站态势依然严峻,教育行业的网站漏洞数量发现最多. 上半年发现高发勒索病毒是GlobeImposter和GandCrab家族,攻击次数最多的家族是Wann ...
- [系统安全] 二十八.WannaCry勒索病毒分析 (4)全网“最“详细的蠕虫传播机制解读
您可能之前看到过我写的类似文章,为什么还要重复撰写呢?只是想更好地帮助初学者了解病毒逆向分析和系统安全,更加成体系且不破坏之前的系列.因此,我重新开设了这个专栏,准备系统整理和深入学习系统安全.逆向分 ...
最新文章
- java中有符号数和无符号数,C语言中无符号数和有符号数之间的运算
- python怎么安装matplotlib-python 安装matplotlib
- 设置下载安装 桌面_小妖精美化app最新版下载-小妖精美化V5.3.9.800下载安装
- 在 Vue 中正确使用 防抖 和 节流
- mysql 如果存在修改_mysql如存在并发修改可能,一定要注意保证数据一致性
- 飞鸽传书:谈谈RenderControl手动调用
- db h2 数据类型_H2数据库函数及数据类型概述
- PDF虚拟打印机是如何打印文件的
- 基于FPGA卡拉ok系统的设计--反馈抑制
- 兆位和兆字节之间有什么区别?
- mysql master thread_Mysql的InnoDB引擎-3.CheckPoint手艺、Master Thread
- vue部署到内网和外网配置简要说明
- 【ArcGIS微课1000例】0053:注记(水平、沿直线、跟随要素、牵引线、弯曲注记)的创建与编辑
- hover在两种情况下的两种用法
- ES-Module导入导出配合使用
- 市值掉了15亿,向商家赔付1.5亿元!微盟再发公告:数据恢复期延后至3月3日
- eva破晓服务器无响应,EVA破晓黑屏怎么办 EVA破晓黑屏、已停止解决方案[图]
- Using insecure protocols with repositories, without explicit opt-in, is unsupported. Switch Maven...
- BVH树simple
- linux转换flv文件格式,安装和使用ffmpeg转换视频为flv文件(windows和linux)
热门文章
- 最受欢迎的五大bug管理平台
- C# PDF转为图片的方法
- 微信jsapi开发教程之如何获取jsapi_ticket(第二课)
- Word文档被限制编辑了怎么办?
- Linux实验搭建个人网页
- python docx转换成txt文本
- 【STM32F429的DSP教程】第3章 Matlab简易使用之基础操作
- [译] Erlang 之禅第一部分
- win7 计算机一直寻找项目,开机后打开我的电脑出现寻找项目,持续2分分钟昨天从WIN7换回了 爱问知识人...
- ctP2ISP:使用卷积和数据增强的转换器预测蛋白质-蛋白质相互作用位点