首页 > 安全资讯 > 正文

2019年4月勒索病毒疫情分析

   随着勒索病毒的蔓延,给企业和个人都带来了严重的威胁,360安全大脑针对勒索病毒进行了全方位的监控与防御。从本月的数据来看,反勒索病毒的反馈量有小幅度下降。本月新增Sodinokibi、Planetary以及MegaCortext勒索病毒。

360解密大师在本月新增了对PokemonGo、Stop/KeyPass以及SadComputer三款勒索病毒的解密。

感染数据分析

  通过对2019年4月勒索病毒的反馈数据统计看,本月反馈相对于3月有小幅度的下降。同时,本月有两种新增勒索病毒值得关注:通过Windows域控下发的Planetary勒索病毒,以及和GandCrab传播渠道高度重合的Sodinokibi勒索病毒(“锁蓝”勒索病毒)。

 

图1. 近12个月勒索病毒反馈统计

  从反馈量分布情况看,本月有两次高峰反馈:分别出现在4月11日以及4月17日。而从用户反馈的家族来看,并无某单独一个家族出现大爆发情况,两次反馈高峰都属于勒索病毒家族种类增多导致的。

 

图2. 2019年4月勒索病毒反馈趋势

  本月勒索病毒家族占比情况看:GandCrab勒索病毒滑落至第二位,在本月的占比为24.78%;而GlobeImposter以35.4%的占比重回首位;Crysis勒索病毒则以16.81%的占比继续保持第三位。导致GandCrab家族占比降低的主要原因是,GandCrab的传播渠道也被其它两家勒索病毒Paradise和Sodinokib分流。

 

图3. 2019年4月勒索病毒反馈分布图

  从被感染系统的占比看,本月占比居前三的仍是Windows 7、Windows 2008和Windows 10。其中,Windows 7系统以占比41.73%在所有系统版本中居首位,但相较于上个月的49.71%,有下降趋势。

 

图4. 2019年4月被感染系统占比图

  对比2019年3月和4月被感染系统情况,发现这两个月被感染系统中个人系统占比和服务器系统占比相对稳定,变化不是很大。

 

图5. 2019年3月份与2019年4月被感染系统类型对比图

  勒索病毒疫情分析

  Sodinokibi勒索病毒

   4月底,360安全大脑监测到该勒索病毒使用多种方法进行传播,其中主要使用了本月底刚披露的WebLogic远程代码执行漏洞CVE-2019-2725并配合其它漏洞对Windows服务器发起攻击,此外,改勒索病毒还使用了垃圾邮件进行传播。而垃圾邮件传播方式又存在两种方法:方法一是伪装exe程序为图片附件进行传播;方法二是利用Word文档的宏进行传播。以下是360安全大脑检测到该勒索病毒通过漏洞进行传播的态势图。

 

图6. Sodinokibi勒索病毒通过漏洞传播的态势

GandCrab勒索病毒

  本月GandCrab由于受到了Paradsie以及Sodinokibi两个勒索病毒家族的分流,导致传播量下降不少。同时360安全大脑检测到,在本月GandCrab的传播被分为了三个阶段:第一阶段使用漏洞、U盘蠕虫、远程桌面弱口令攻击以及垃圾邮件进行传播;第二解阶段几乎没有传播量;第三阶段则是冒充DHL(全球物流)发送邮件,提示包裹交付无限延长,附件为延迟说明。附件中包含两个exe和两个快捷键方式(两个可执行程序均为勒索病毒),快捷方式指向被隐藏的勒索病毒。

 

图7. GandCrab勒索病毒压缩包内文件

MegaCortext勒索病毒

MegaCortext勒索病毒是在本月底新出现的一款勒索病毒,该勒索病毒传播者在入侵到域控服务器后会向整个域内下发一个批处理,该批处理文件关闭掉44个进程、199个系统服务并会禁用掉194个服务,于此同时还会下发勒索病毒加载器。该加载器有批处理传递一个basbe64字符串作为参数调起。使用base64字符串和硬编码的字符串进行异或生成一个key,用该key通过AES算法解密出加密文件的代码。

 

图8. 解密加密代码

 

图9. MegaCortext勒索病毒提示信息

Satan勒索病毒

  360安全大脑监测到,在本月Satan勒索病毒并没有发起较大攻击,4月份整体传播量较小。但是在本月Satan再次对加密程序进行更新,将后缀更改为session的同时也不在使用之前的邮箱。此外,本次更新中还对代码进行了混淆以及加入了反调试功能。

 

图10. Satan勒索病毒传播趋势

 

图11. 被Satan加密的文件

黑客信息披露

                                               以下是2019年4月份以来,黑客在使用的勒索病毒联系邮箱。

beam@firemail.cc

support@p-security.li

supportbest@protonmail4.com

tracsebluopa1975@aol.com

pedantback@protonmail.com

datadecrypt@qq.com

falitodalgliesh@aol.com

coffix@india.com

encrypted@cock.li

crypt_sherhagdomski@godzym_bid

Coffix@Tuta.Io

helpme@countermail.com

gabbiemciveen@aol.com

jaffe@india.com 

veracrypt@foxmail.com

barddoling@ganefs.com

kolet@tuta.io

ngeloco1337@protonmail.com

alphonsepercy@aol.com

andriybakyn@india.com

btc@decoding.biz

park.jehu@aol.com

cartmelsutton@venom.io

killsever@portonmail.com

mr.crypt@aol.com

supportbest@protonmail.com

icanhelp@cock.li

bk666@protonmail.com

evilcock@cock.li

serverkill@protonmail.com

mr.hacker@tutanota.com

goliaf@tuta.io

software7@tutanota.com

reek@tuta.io

alekstraza@bigmir.net

break@cock.li

return.data@qq.com

altairs35@protonmail.com

savefiles@cock.li

clasp@firemail.cc

backupfiles@keemail.me

decryptyourdata@qq.com

DonovanTudor@aol.com

booth_beau@aol.com

killbillkill@protonmail3.com

Killserver@protonmail.com

calwiposla1974@aol.com

China.helper@aol.com

alldataback@protonmail.com

data@decoding.biz

barddolling@ganefs.com

phobosrecovery@cock.li

decryptdocs@airmail.cc

mrgrayhorse@protonmail2.com

MailPayment@decoding.biz

decryptdocs@protonmail.com

scaletto@protonmail.com

parrnell.c@aol.com

decryptmyfiles@qq.com

backdata@qq.com

rodent@cock.li

decryptoperator@qq.com

decrypter2018@hotmail.com

killserver@protonmail.com

getbackdata@qq.com

nmare@protonmail.com

mailpayment@decoding.biz

helip@protonmail.com

tidwell.thibaud@aol.com

aq811@cock.li

lockhelp@qq.com

Benjamin_Jack2811@aol.com

donovantudor@aol.com

master777@tutanota.com

Benjamin_Jack2811@aol3.com

crypted_bizarrio@pay4me_in

recoveryhelp@airmail.cc

mrgrayhorse@protonmail3.com

autrey.b@aol.com

todecrypt@protonmail.com

support1prt@cock.li

hulkhoganztx@protonmail2.com

usacode@aol.com

franniestopp@magte.ch

hulkhoganztx@protonmail.com

immortalsupport@cock.li

unlock@cock.li

gorentos@bitmessage.ch

Benjamin_Jack2811@aol1.com

wixomd@ymolt2.com

merosa@firemail.cc

Benjamin_Jack2811@aol2.com

BIGBOSS777@airmail.cc

merosa@india.com

dresdent@protonmail1.com

decryptprof@qq.com

vengisto@firemail.cc

HulkHoganZTX@protonmail2.com

ramsey_frederick@aol.com

vengisto@india.com

Killback@protonmail2.com

REDHEADSHOT@PROTONMAIL2.COM


服务器防护数据分析

  通过对2019年3月份和4月份的数据进行对比分析发现操作系统占比排位并未有任何变化,仅占比有微小的波动。

 

图12. 2019年4月被攻击系统分布图

  以下是对2019年4月被攻击系统所属IP采样制作的地域分布图,与之前几个月采集到的数据进行对比,地区排名和占比变化都不大。信息长夜发达地区仍是被攻击的主要对象。

图13. 2019年4月被攻击的地域分布图

  通过对360安全大脑监控到的弱口令攻击数据进行统计分析发现,从整体上分析MySQL弱口令攻击趋势有较大的起伏,MySQL弱口令攻击成为黑客目前最为青睐的对象,RDP(远程桌面)弱口令攻击趋势相对来说比较稳定。

 

图14. 2019年4月弱口令攻击趋势图

  总结

  针对服务器的勒索病毒攻击依然是当下勒索病毒的一个主要方向,企业需要加强自身的信息安全管理能力——尤其是弱口令、漏洞、文件共享和远程桌面的管理,以应对勒索病毒的威胁,在此我们给各位管理员一些建议:

    1. 多台机器,不要使用相同的账号和口令

    2. 登录口令要有足够的长度和复杂性,并定期更换登录口令

    3. 重要资料的共享文件夹应设置访问权限控制,并进行定期备份

    4. 定期检测系统和软件中的安全漏洞,及时打上补丁。

    5. 定期到服务器检查是否存在异常。查看范围包括:

     a) 是否有新增账户

     b) Guest是否被启用

     c) Windows系统日志是否存在异常

    d) 杀毒软件是否存在异常拦截情况

  而对于本月又重新崛起的这对个人电脑发起攻击的勒索病毒,建议广大用户:

   1. 安装安全防护软件,并确保其正常运行。

   2. 从正规渠道下载安装软件。

   3. 对不熟悉的软件,如果已经被杀毒软件拦截查杀,不要添加信任继续运行。


360安全卫士

热点排行

用户
反馈
返回
顶部