2019年09月勒索病毒疫情分析

2019-10-14 16:55:39
我要分享


微信扫码分享

勒索病毒的蔓延，给企业和个人都带来了严重的安全威胁。360安全大脑针对勒索病毒进行了全方位的监控与防御。从本月数据来看Stop勒索病毒家族的传播量有所下降，Phobos、GlobeImposter两个家族的传播量有所上升。Nemty勒索病毒开始使通过发送垃圾邮件进行传播。

360解密大师在9月新增对Nemty、StopV2两个勒索病毒家族的解密支持。

感染数据分析

分析本月勒索病毒家族占比：Stop家族占22.90%，居首位；其次是GlobeImposter家族，占比为21.72%；phobos家族居第三，占比20.55%。和上个月的数据相比，本月Stop家族的占比降幅较大，下降12.24个百分点。

从被感染系统占比看：本月居前三的系统仍是Windows 7、Windows 10和Windows Server 2008。其中Windows 7系统占比下降较明显，与7月份数据相比Windows 7从56.45%下降到本月的36.77%。

分析9月被感染系统中个人系统和服务器系统占比，发现在本月主要的中招用户为个人用户。这和当前勒索病毒的传播渠道紧密相关：其中Sodinokidi、Nemty均通过发送垃圾邮件进行传播；Stop通过伪装成激活工具、破解软件进行传播，这两个渠道导致中招系统多数为个人系统。

勒索病毒疫情分析

Nemty

Nemty勒索病毒是2019年8月份开始传播的勒索病毒，在本月360安全大脑再次检测到该勒索病毒出现最新变种Nemty 1.5。该版本采用了与Sodinokibi相同的传播方式——向用户发送假冒的DHL邮件。从360安全大脑监测到的数据来看，Nemty勒索病毒是在9月23日开始通过邮件大批量下发。

该病毒不再利用邮件附件传播，而是在邮件内容中添加一个下载链接诱导用户点击下载并运行勒索病毒（下图中“Download now”按钮）。同时Nemty1.5版本的支付页面不再使用暗网（用户必须使用Tor浏览器访问），而是使用普通互联网，这样受害者使用任意浏览器均可访问支付网站。目前360解密大师已支持对该勒索病毒最新版本的解密。

GlobeImposter

GlobeImposter勒索病毒已经成为对企业危害巨大的一款勒索病毒，由于该勒索病毒传播者通常在爆破拿到一台机器的密码后，再利用该机器做为跳板继续在内网横向扩散，因此一旦内网中一台电脑被攻陷，企业内网便会出现多台电脑相继被感染情况。

该勒索病毒一直不断的在进行变种，上月出现了 “十二主神+865”系列，本月则在其基础上又衍生出了“十二主神+865+-20”系列。此外，其还发布新勒索提示信息弹窗。

图6. GlobeImposter勒索病毒提示信息

CXK

360安全大脑监测到一款勒索B币（bilibili网站的一种虚拟币）的勒索病毒，由于其早期传播量极小，因此在起出现之初（7月左右）并未披露。该勒索病毒采用windows自带certutil –encode命令对文件文件内容进行base64编码。遇到该勒索病毒的用户直接使用certutil –decode命令即可将被加密文件反向解码还原。

黑客邮箱披露

redheadshot@protonmail.com	sweetjesus@cock.li	MyDataRestore@tutanota.com
mattpear@protonmail.com	sugarman@tutamail.com.ver	MyDataRestore@protonmail.com
killbillkill@protonmail.com	stocklock@airmail.cc	mrgryhorse@protonmail.com
blitzkriegpc@protonmail.com	steven77xx@protonmail.com	mrgrayhorse@protonmail2.com
unlockcn@pm.unlockcn	sql811@protonmail.com	MerlinWebster@aol.com
zhaohuan@airmail.cc	sin.eater.666@acl.com	meachemvasili@aol.com
YourDataHere@yahoo.com	Servers70@tutanota.com	MailPayment@decoding.biz
yourDatahere@tutanota.com	scriptcod3r@protonmail.com	madmaxxx8@cock.li
YourDataHere@protonmail.com	Scriptc0der@pm.me	lockhelp@xmpp.jp
xmmh@tutanota.com	savignythayne@ferepot.info	lockhelp@qq.com
wewillhelpyou@qq.com	samurai@aolonline.top	Liweixin888@protonmail.com
wewillhelpqou@qq.com	Rezcrypt@cock.li	kokoklock@cock.li
wecanhelpyou@lude.in	return.data@qq.com	Kishemez@tutanota.com
walletwix@aol.com	restorebackup@qq.com	kazka222@cock.li
vite.mcclatchie@aol.com	RecoveryRDP@protonmail.com	karlosdecrypt@outlook.com
valallas@protonmail.com	recoveryfast@airmail.cc	jacdecr@tuta.io
uscodes17@gmail.com	recoverdatasupport@cock.li	impack@cock.li
Urus999@protonmail.com	qbix@qq.com	horsesecret@ctemplar.com
unlockmeplease@cock.li	prounlock@protonmail.com	hermes837@aol.com
unlockfiles@qq.com	partfile@airmail.cc	help_supps@protonmail.com
unlockcn@pm.me	paidservice@protonmail.com	heinonenfornoff@aol.com
unlock@goldenbay.su	pabpabtab@tuta.io	hardlog@protonmail.com
truesoft7@protonmail.com	onlyfiles@aol.com	hanesworth.fabian@aol.com
tracey.haigh@aol.com	online24decrypt@airmail.cc	greystars@protonmail.com
theonlyoption@qq.com	ninja_gaiver@aol.com	gorentos@bitmessage.ch
Blackbeard2019@protonmail.com	nichols_l@aol.com	getufiles@protonmail.com
bitcoin1@foxmail.com	neo2222@tutanota.com	gerentoshelp@firemail.cc
bincoin1@foxmail.com	MyDataRestore@yahoo.com	gerentoshelp@firemail.c
bigmacbig@cock.li	decryptions@protonmail.com	gadond@cock.li
beam@firemail.cc	decryptbox@airmail.cc	friends2019@protonmail.com
badfail@qq.com	datadecrypt@qq.com	Fastlose@protonmail.com
bacon@oddwallps.com	cyrixer@firemail.cc	fairman5@cock.li
back_filein@protonmail.com	cmdroot@airmail.cc	Erenahen@cock.li
avarufilturner@aol.com	churiladr@cock.li	eater666@aol.com
alanwalkergod@protonmail.com	btc2020@mailbox.co.za	eater.666@col.com
adren.kutospov.97@tutanota.com	broadbent@littlealienproducts.com	eater.666@ao1.com
Adminlazarus@cock.li	broadbent.f@shuryl.com	dontsleep911@protonmail.com
admin@stex777.com	britt.looper@aol.com	devie.e@aol.com
adagekeys@qq.com	brazzers@aolonline.top	decryptionsupport911@airmail.cc
455069328@qq.com	3316862150@qq.com	26464@qq.com
3442516480@qq.com	1048070683@qq.com	1931122466@qq.com

系统安全防护数据分析

通过对2019年8月和9月的数据进行对比分析发现，操作系统占比变动不大，在小范围内浮动。

以下是对2019年9月被攻击系统所属IP采样制作的地域分部图，与之前几个月采集到的数据进行对比，地区排名和占比变化都不大。数字经济发达地区仍是被攻击的主要对象。

通过对8月和9月的弱口令攻击数据进行分析，最近两个月的数据相对稳定，口令爆破攻击趋势平稳。

勒索病毒关键词

该数据来自lesuobingdu.360.cn的搜索统计。(不包括WannaCry、AllCry、TeslaCrypt、Satan、Krakeny、Jsworm以及GandCrab几个家族)。

l Wecanhelp：属于Nemsis勒索病毒家族，该勒索病毒近期通过爆破远程桌面进行传播。该勒索病毒会在系统中生成一个temp000000.txt文档，该文档包含解密文件用的密钥。一般都会被黑客直接删除掉，但是中招用户可以尝试以下链接中的方式找回temp000000.txt的内容：https://bbs.360.cn/thread-15780698-1-1.html。

l help989：属于GlobeImposter家族，由于被加密文件后缀会被修改为help989而成为关键词。该勒索病毒家族主要通过爆破远程桌面，成功后手动投毒传播。GlobeImposter变种频繁，版本众多，但是该后缀目前已经未看见传播。但搜索量依然较高，说明等待解密该勒索病毒的用户量较大。

l artemis865：同help989.不同的是该后缀为8月底新出的一个变种。被称为“十二主神”

l Horseliker：属于phobos家族，由于被加密文件后缀会被修改为horseliker而成为关键词。该勒索病毒家族主要通过爆破远程桌面，成功后手动投毒传播。

l bitcoin1@foxmail.com:属于Crysis勒索病毒家族，由于文件被加密后会被加入bitcoin1@foxmail.com而成为关键词。该勒索病毒家族主要通过爆破远程桌面，成功后手动投毒传播。

l Banta：同horseliker。

l Harma:同bitcoin1@foxmail.com。

l 3442516480@qq.com：同bitcoin1@foxmail.com。

l Actin：同horeseliker

Seto:属于Stop勒索病毒家族，该后缀为StopV2版本。该勒索病毒主要通过伪装成激活工具、破解软件进行传播。

360解密大师

从解密大师本月的解密统计数据看，本月解密量最大的仍是GandCrab勒索病毒，其次是Stop家族；其中使用解密大师解密文件的用户数最高的仍是Stop家族。其次是Crysis家族。8月底新出现的勒索病毒Nemty家族本月解密已进入Top10 .

总结：

针对服务器的勒索病毒攻击依然是当下勒索病毒的一个主要方向，企业需要加强自身的信息安全管理能力——尤其是弱口令、漏洞、文件共享和远程桌面的管理，以应对勒索病毒的威胁，在此我们给各位管理员一些建议：

1. 多台机器，不要使用相同的账号和口令

2. 登录口令要有足够的长度和复杂性，并定期更换登录口令

3. 重要资料的共享文件夹应设置访问权限控制，并进行定期备份

4. 定期检测系统和软件中的安全漏洞，及时打上补丁。

5. 定期到服务器检查是否存在异常。查看范围包括：

a) 是否有新增账户

b) Guest是否被启用

c) Windows系统日志是否存在异常

d) 杀毒软件是否存在异常拦截情况

而对于本月又重新崛起的这对个人电脑发起攻击的勒索病毒，建议广大用户：

1. 安装安全防护软件，并确保其正常运行。

2. 从正规渠道下载安装软件。

3. 慎用各种激活工具。

4. 对不熟悉的软件，如果已经被杀毒软件拦截查杀，不要添加信任继续运行。

遇到陌生人发送的邮件，要谨慎查看，尽量避免下载附件。如需要下载，也要先用安全软件对附件进行检查。