首页 > 安全资讯 > 正文

2019年1月勒索病毒疫情分析

随着勒索病毒的蔓延,给企业和个人都带来了严重的威胁,360互联网安全中心针对勒索病毒进行了全方位的监控与防御。从本月的数据来看,反勒索服务的反馈量有明显降低。但在本月又新增多款勒索病毒首次在国内开始传播,本月360解密大师增加了对Keypass/Stop勒索病毒家族最新变种以及FilesLocker变种的解密。本次报告涉及数据涵盖2018年12月27日~2019年1月26日的反勒索服务数据,报告由360核心安全反病毒部提供。

反勒索服务情况

通过对2018全年和2019年1月的反勒索服务反馈量进行对比,2019年1月份的整体反馈量回归正常,反馈降幅超过50%。其主要原因是由于去年年末时,GandCrab、unnamed1989和Satan三个勒索病毒家族先后爆发,而这一爆发趋势在今年年初时停止。

图1. 2018年全年到2019年1月反馈统计

从2019年1月反勒索服务的反馈趋势来看,本报告周期出现三次反馈高峰,分别是2018年12月29日、2019年1月14日、2019年1月23日。

图2. 1月勒索病毒反馈趋势

对1月勒索病毒家族占比进行分析发现,在本月GandCrab勒索病毒家族占比仍是最高,达到50%。其次是占22%的Crysis勒索病毒家族和占15%的GlobeImposter勒索病毒家族。本月Keypass/Stop勒索病毒虽然排名并不靠前,但感染增长趋势较为明显。同时国内新增Matrix勒索病毒的感染情况。

图3. 1月份勒索病毒反馈分布

对被感染系统占比进行分析发现,本月Windows 7系统虽然以48%的占比在各系统中位居榜首,但与去年年末时61%的过半占比相比,仍旧是有明显的下降。出现这一现象,主要是因为个人版本系统中使用更高版本系统(Windows 10)的占比有所提升,同时由于勒索病毒攻击目标进一步偏向服务器,所以服务器系统的占比提升也挤占了一部分Windows 7系统的占比。

图4. 2019年1月被感染系统占比

通过对2018年12月和2019年1月被感染系统进行分析,显示2019年个人电脑占比有所下降,服务器占比上升。从2018年11月份到2019年1月份这三个月,服务器类系统占比都在呈上涨趋势,服务器仍需加强防护。

图5. 2018年12月与2019年1月被感染系统类型比对图

勒索病毒最新情报

GandCrab相关情报

GandCrab勒索病毒在2019年1月17日进行了一次更新,从v5.0.4更新到v5.1,国内在1月24日监控到了其利用WebLogic漏洞进行传播。

此次更新主要对代码中的静态字符串进行了加密处理,同时还对文件加密模块进行了代码防护,增加安全软件查杀难度以及分析人员的分析难度。

图6. GandCrab勒索病毒家族2019年1月通过漏洞传播趋势

通过对360互联网安全中心的监控数据分析发现,GandCrab家族通过U盘蠕虫进行传播的渠道受假期影响较为明显。节假日期间其播量会有明显下降,工作日期间这一传播趋势则会回升。

图7. GrandCrab勒索病毒通过U盘蠕虫传播趋势

Satan相关情报

360安全大脑监测到,1月28日凌晨Satan勒索病毒进行了一次更新,更新后仍旧使用之前的漏洞渠道进行传播。

图8. Satan勒索病毒传播趋势

不同的是,此次更新后会修改文件后缀为"evopro",该勒索病毒使用的勒索病毒提示信息不再使用英语和韩语,而仅使用中文。同时该版本为了提高支付率,提示用户72小时内付款才能解密文件,72小时后则不再支持对该勒索病毒的解密。在技术层面上,此次更新后不仅加强了算法,还加强了对不同系统的兼容性。

图9. Satan勒索病毒提示信息

Keypass勒索病毒相关情报

Keypass(又称Stop)勒索病毒近期主要通过伪装成激活工具进行传播,用户通过类似网站下载激活工具而勒索病毒。

图10. keypass勒索病毒传播渠道

用户在运行时,该勒索病毒会弹出一个系统更新界面,让用户误以为是在进行系统升级,所以导致系统比较卡顿,而其实是在后台加密文件,使用户造成大量损失。

图11. Keypass/Stop加密时界面

针对该勒索病毒,360解密大师在1月18日率先发布了解密功能,中招用户可通过在360安全卫士→功能大全→360解密大师对被加密文件进行解密。

图12. Keypass/Stop勒索病毒解密情况

GarrantyDecrypt相关情报

本月,我们发现一款新的勒索病毒在国内开始传播。该勒索病毒传播方式仍是爆破远程桌面登录口令,拿到口令后登录到用户系统进行手动投毒。该勒索病毒的一个重要特征是,被加密的每一个文件都拥有一份自己独立的密钥,且每次使用完密钥后都会在内存中进行销毁。避免用户在未重启系统的情况下在内存中获取密钥。

图13. GarrantyDecrypt勒索病毒加密情况

FilesLcoker相关情报

FilesLocker勒索病毒本月出了一款元旦特制版,该勒索病毒制作者还在暗网公开招募勒索病毒传播代理,并声称免费加入,直接分成。该勒索病毒制作者在更新版本后公布出了用于解密的密钥,360解密大师也及时增加了相应的解密功能。

图14. Filelocker勒索病毒元旦定制版

黑客信息披露

以下是2019年1月份以来黑客在使用的勒索病毒联系邮箱:

表格1. 黑客联系邮箱

口令爆破攻击防护数据分析

通过对2019年1月和2018年12月的数据进行对比分析会发现,在本月XP系统有大幅度降低,从2018年12月份的占比21%下降到本月的9%。服务器系统中Windows 2003的占比仍是最高,为7%。老版本的一些操作系统已经失去了安全支持,建议用户更新到更高版本的系统,新版本的操作系统在总体的安全性上更有保障。

图15. 被攻击系统分部

以下是对2019年1月被攻击系统所属IP采样制作的地域分布图,与之前几个月采集到的数据进行对比,地区排名和占比变化都不大。信息产业发达地区仍是攻击的主要对象。

图16. 被攻击系统所属地域分布图

通过对弱口令攻击数据进行统计分析发现,在本月SMB弱口令攻击量曾出现过短暂爆发,一度超过其他几种弱口令攻击方式,这是在之前的数据中未曾出现过的情况。同时,本月MySQL弱口令攻击量远超远程桌面弱口令攻击。2018年12月也曾监控到MySQL弱口令攻击量超过远程桌面弱口令攻击的情况,数据库弱口令攻击可能会进一步加强,管理员需要做好防护准备。

图17. 弱口令攻击类型趋势图

总结

针对服务器的勒索病毒攻击依然是当下勒索病毒的一个主要方向,企业需要加强自身的信息安全管理能力——尤其是弱口令、漏洞、文件共享和远程桌面的管理,以应对勒索病毒的威胁,在此我们给各位管理员一些建议:

1. 多台机器,不要使用相同的账号和口令

2. 登录口令要有足够的长度和复杂性,并定期更换登录口令

3. 重要资料的共享文件夹应设置访问权限控制,并进行定期备份

4. 定期检测系统和软件中的安全漏洞,及时打上补丁。

5. 定期到服务器检查是否存在异常。查看范围包括:

a) 是否有新增账户

b) Guest是否被启用

c) windows系统日志是否存在异常

d) 杀毒软件是否存在异常拦截情况

而对于本月又重新崛起的这对个人电脑发起攻击的勒索病毒,建议广大用户:

1. 安装安全防护软件,并确保其正常运行。

2. 从正规渠道下载安装软件。

3. 对不熟悉的软件,如果已经被杀毒软件拦截查杀,不要添加到信任区继续运行。


360安全卫士

热点排行

用户
反馈
返回
顶部