首页 > 安全资讯 > 正文

360安全卫士7月勒索病毒疫情分析

前言

勒索病毒给企业和个人的数据安全带来了严重的威胁,360互联网安全中心针对勒索病毒进行了多方位的监控和防御。根据我们的反馈数据分析本月勒索病毒的感染情况呈下降趋势,同时防护记录显示,针对服务器的攻击依然活跃,单日的弱口令爆破拦截次数高达400万次。

另外,本月更新的解密大师针对部分版本Satan勒索病毒提供了对应的解密支持。目前已经帮很多之前中招的用户挽回损失,恢复了文件。

感染用户数据

从今年1到7月的反馈数据来看,在4月份之后一直在处于下降状态,360安全卫士针对服务器的防爆破保护产生了明显效果。


图1. 2018年勒索病毒反馈趋势

从7月份的监控数据来看,弱口令攻击依然活跃,但漏洞攻击的情况开始增加,尤其是第三方软件的漏洞攻击,如weblogic的反序列化漏洞被利用这类情况。从本月的感染趋势看,勒索病毒的传播量并不稳定,而是呈现出周期性的波动。这个和它的传播方式有一定的联系,攻击者会集中一段时间发起攻击。


图2. 7月份服务器勒索病毒感染趋势

针对被感染的系统进行分析,Windows 7系统的感染量占比依然是占比最大。


图3.7月份被勒索病毒感染的系统分布

勒索病毒分析

通过对7月份的反勒索服务数据进行统计,主流的勒索病毒家族还是GlobeImposter和Crysis两个家族。而且从本月的数据来看,GlobeImposter的占比已经高于Crysis家族的占比,之前反馈量较多的BTCWare家族在这个月没有新增反馈,同时新出现了关于Scarab家族的反馈。


图4.7月份勒索病毒占比

其中GlobeImposter家族和Crysis家族的手法和勒索病毒程序并没有多大变化,目前仍在使用的后缀如下表格:


表格1.勒索病毒后缀

7月份仍在传播的勒索病毒中值得一提的是Satan家族的勒索病毒,该家族的勒索病毒在6月份开始爆发,在7月下旬的时候就被破解了。解密工具已经添加到了360安全卫士中的文件解密工具中。

下图是用户反馈提供的使用360文件解密工具进行解密的截图:


图5.使用360"文件解密"工具协助用户解密文件

该勒索病毒的传播在7月份中旬的时候传播达到最高点的,单天的拦截量达到800多次,此之后开始下降。


图6.Satan攻击趋势图

另外需要注意的是新出现的Scarab家族。该家族的勒索病毒之前主要在俄罗斯进行传播,但是在7月份开始,国内出现有用户被该家族的勒索病毒感染,导致服务器宕机。

该勒索病毒的早期传播主要是利用Necurs僵尸网络进行传播,后期则使用了弱口令爆破的方式来植入病毒到用户机器。和GlobeImposter类似,该勒索病毒也使用了大量不同的文件后缀。下图是其中的一个变种:


图7.Scarab勒索病毒变种

GandCrab勒索病毒在7月初出现了新的版本——V4.0。并且在一个月内还进行了小版本的迭代更新,截止到本稿编写时,360捕获到的最新版本为V4.2。在更新版本的过程中,GandCrab曾因传播量较大导致有研究人员猜测其加入了SMB横向攻击来进行传播。但后经核实,该勒索病毒还未加入此类传播手段。在V3.0到V4.0这个大版本的更新中,主要更新点在于对文件的加密算法:该勒索病毒从最开始的使用RSA-2048加密算法变为了使用加密效率更高的Salsa2.0算法。


图8.GandCarb勒索病毒使用salsa算法

虽然国内GandCrab的感染量并不大,但是从360互联网的拦截数据来看,该家族的勒索病毒仍在持续不断进行传播。


图9.GandCrab传播趋势图

攻击数据

以下是7月份以来黑客还在使用的勒索病毒联系邮箱(部分来自用户反馈)


表格2.黑客邮箱

攻击防护数据

从7月份的攻击防护数据来看,被攻击的系统中Windows7占比是最高的,主要原因还是Windows7 的用户基数较大。


图10.防黑加固防护系统攻击分布

以下是根据7月份的攻击防护数据制作的被攻击地域分部图(颜色越深代表攻击量越大)。从地图中可以看出,黑客攻击主要还是高发于经济发达地区和人口稠密地区这两类区域。


图11.被攻击分布图

对攻击数据进行分析发现,美国的IP占据了所有IP的大半部分,以下是攻击IP对应国家的TOP10的饼状图。


图12.攻击IP对应国家和地区TOP10

目前防爆破已经支持对RDP, MySQL, MSSQL的弱口令攻击进行拦截,以下是7月份的拦截数据。


图13.弱口令拦截趋势

从拦截趋势来看,拦截次数在本月主体呈现小幅上升趋势。通过对IP数据和被攻击用户的分析,发现原因是黑客加大了攻击频率,试图更高效的获取用户登录口令导致。

总结

针对服务器的勒索病毒攻击已经成为当下勒索病毒的一个主要方向,企业应该加强自身的信息安全管理能力,尤其是弱口令,漏洞,文件共享和远程桌面的管理,在此我们给各位管理员一些建议:


· 多台机器,不要使用相同的账号和口令。

· 登录口令一定要复杂,采用大小写字母、数字、特殊符号混合的口令结构,且口令位数应足够长,并定期更换登录口令。

· 共享文件夹要设置访问权限管理。如果因为其他需要不能设置访问权限,则建议对该文件夹进行定期安全备份

· 定期检测系统和软件中的安全漏洞,及时打上补丁。

· 小编再次提示安全卫士下载地址:https://dl.360safe.com/inst.exe


360安全卫士

热点排行

用户
反馈
返回
顶部