首页 > 安全资讯 > 正文

2020年5月勒索病毒疫情分析

勒索病毒的蔓延,给企业和个人都带来了严重的安全威胁。360安全大脑针对勒索病毒进行了全方位的监控与防御。本月新增WannaGreenHatBigLockImmuni等勒索病毒家族。

360解密大师在2020年5月新增对WannaGreenHat(加密文件后修改后缀为WannaGreenCap)、 Dodged(加密文件后修改后缀为dodged)的解密支持,以及Buran对部分格式文件修复的支持。

感染数据分析

统计本月勒索病毒家族占比:GlobeImposter家族在总量中占到了22.85%居首位;其次是占比19.5%phobos;Crysis家族以占比11.95%位居第三。进入TOP10的勒索病毒家族中仅BalaClava家族为近两月新出现的勒索病毒。

1. 20205月勒索病毒家族占比

从被感染系统占比看:本月位居前三的系统仍是Windows7Windows10Windows Server 2008

 

2. 20205月被感染系统占比图 

20205月被染系统中桌面系统和服务器系统占比显示,受攻击的主要系统仍是个人桌面系统。与20204月的统计进行比较,未出现明显波动。

 

3. 20205月被感染系统类型占比图 

此外,我们也分析了360论坛病毒板块在20205月的用户反馈动态(https://bbs.360.cn/forum.php?mod=forumdisplay&fid=7592):

本月收到反馈总计66个案例,共涉及16个勒索病毒家族:其中2个家族(分别为Samas-Samas和StopV1,涉及两名受害用户)支持解密。各家族累计反馈数Top3依次为:GlobeImposter、phobos和Sodinokibi。反馈中新增的家族/变种包括:Stop(后缀为koti、mzlq)、Vortext、phobos(后缀为eking)等

 

4. 20205月论坛反馈家族情况 

勒索病毒疫情分析

BalaClava勒索病毒家族

360安全大脑监控到在从4月底到5月,出现了一大批被BalaClava勒索病毒感染的受害者。该勒索病毒家族变种主要有KEY0001KEY0003KEY0004KEY0005,而其所采用的感染途径,也是较为常见的投毒手段——暴力破解远程桌面口令成功后再进行手动投毒。

 

5. BalaClava勒索病毒加密文件截图 

通常勒索病毒在进行密钥加密时会采用RSA加密算法,而BalaClava则采用了NTRU加密算法来进行密钥加密的操作。

 

6. BalaClava勒索病毒加密流程

WannaGreenHat勒索病毒家族

360安全大脑在本月监控到一款国产勒索病毒,该勒索病毒会修改文件后缀为WannaGreenCap,让中毒用户联系指定的QQ获取解密密钥。有趣的是,该勒索病毒作者还给出了 “友情提示”——“什么是QQ”。由此我们有理由猜测,作者是考虑到了海外受害者的“用户体验”的。

 

7. WannaGreenHat加密文件截图 

360安全大脑监控到的数据看,在该勒索病毒还未大范围传播之前,已被捕获查杀,并被360解密大师成功攻破并支持解密。

 

8. WannaGreenHat解密支持

RagnarLocker勒索病毒家族

RagnarLocker勒索病毒家族也是一款针对企业进行攻击的勒索病毒家族,该勒索病毒在本月采取了新的传播方式来试图绕过杀毒软件的检测,该勒索病毒会在被攻陷主机上部署一个完整的VirtualBox虚拟机软件,然后通过虚拟机将主机的磁盘映射到虚拟机中,从而达到在虚拟机中运行勒索病毒加密主机中文件的目的。

该病毒不仅加密用户文件,还会窃取用户重要数据以威胁用户支付赎金。据有效统计,该病毒索要的赎金在20万美元到60万美元不等。从勒索提示信息也能看出该勒索病毒家族主要针对企业进行攻击以及开出高额的赎金。

 

9. RagnarLocker勒索提示信息

黑客信息披露

以下是本月搜集到的黑客邮箱信息:

zip@email.tg

rdphelp@tutanota.com

booba.karis2542@gmail.com

ncov@cock.li

bitcoin1@foxmail.com

anna_adm1n@protonmail.com

5ss5c@mail.ru

sumpterzoila@aol.com

filecrypts@protonmail.com

todesh@gmx.de

wang_team666@aol.com

supp0rtdecrypti0n@aol.com

byd@india.com

saveyourfiles@qq.com

Bossi_tosi@protonmail.com

Zfile@Tuta4.Io

Heeeh98@tutanota.com

decrypt20@privatemail.com

maknop@cock.li

ancrypted@keemail.me

checkmail7@protonmail.com

foxbox@xmpp.cz

Trojan.Generic@ML.92

RECOVER10@TUTANOTA.COM

helper@aol.com

MerlinWebster@aol.com

dorejadid1@protonmail.com

r4ns0m@cock.li

creampie@ctemplar.com

helprecoveryfiles@cock.li

qq1935@mail.fr

danianci@airmail.cc x

helprecpveryfiles@cock.li

paybit@aol.com

joellereano@yahoo.com

511_made@cyber-wizard.com

OneWay@cock.li

btcsos@protonmail.com

backfile99@protonmail.com

RDPone@cock.li

harlin_marten@aol.com

support@covidworldcry.com

kupidon@cock.li

whitwellparke@aol.com

madeinussr@protonmail.com

team777@aol.com

hmdjam@protonmail.com

bivisfiles@protonmail.com

filedec@tuta.io

hobbsadelaide@aol.com

decrypt_sad@protonmail.com

decteam@tuta.io

keepcalmpls@india.com

patrick4452@protonmail.com

useHHard@cock.li

SupportClown@elude.in

Derekvirgil@protonmail.com

AllZData@cock.li

decspeed@tutanota.com

Gerardbroncks@tutanota.com

viginare@aol.com

samurai@aolonline.top

restoremanager@firemail.cc

leebob78@aol.com

blackrich@tutanota.com

goldbtc3301@protonmail.com

marjut56@cock.li

Bk_Data@protonmail.com

programiletisim1@gmail.com

btc.me@india.com

hotline@adpresence.net

noahdavis88@protonmail.com

alex_pup@list.ru

decryptyourdata@qq.com

NoahDavis88@protonmail.com

deerho@emaiil.tg

dinanit@protonmail.com

savemyfiles@protonmail.com

decrypt20@vpn.tg

ezequielanthon@aol.com

ambrosewelch@protonmail.ch

3441546223@qq.com

woodson.rosina@aol.com

JackBrown23@protonmail.com

sverdlink@aol.com

btc3301@messageden.com

onepconebtc@protonmail.com

savemydata@qq.com

DecodeGuide@Keemail.Me

decryptfilesonlinebuy@pm.me

support48@cock.li

supclown@protonmail.ch

recover_24_7@protonmail.com

ecnrypt98@cock.li

time2relax@firemail.cc

Bernardocarlos@tutanota.com

xalienx@india.com

recoveryfiles@firemail.cc

RDPrecovery1@protonmail.com

helpmakop@cock.li

savedata@cumallover.me

brokenbrow.teodorico@aol.com

stopen@firemail.cc

sorayaclarkyo@mail.com

DenisUfliknam@protonmail.com

squadhack@email.tg

helpiter@protonmail.com

RobertGorgris@protonmail.com

backup.iso@aol.com

helprecover@foxmail.com

chinarecoverycompany@cock.li

neural.net@tuta.io

se_harrd@protonmail.com

geniesanstravaillee@yahoo.fr

johnlibber@tuta.io

backinfo@protonmail.com

frthnfdsgalknbvfkj@yahoo.com

anna_adm1n@aol.com

johnlibber@ctemplar.com

frthnfdsgalknbvfkj@gmail.com

cryptfiles@goal.si

vivange123@tutanota.com

heniesanstravaille@yahoo.com

happydaayz@aol.com

helpdecoder@firemail.cc

heniesanstravaille@gmai1.com

connectme@elude.in

aroshany@protonmail.com

Deanlivermore@protonmail.com

supportme@elude.in

Unlock96@protonmail.com

TigerLadentop@protonmail.com

easyprocess@qq.com

flopored@protonmail.com

backupflies01@protonmail.com

bclaw@hitler.rocks

back20data@tutanota.com

established01@protonmail.com

gh0stcrypt@tuta.io

recoryfile@tutanota.com

FushenKingdee@protonmail.com

r4ns0m@tutanota.com

admin@covidworldcry.com

rapidorecovery@protonmail.com

kabennalzly@aol.com

scarry5@horsefucker.org

geniesanstravaillee@gmail.com

yourbackup@email.tg

wyvern@cryptmaster.info

frthnfdsgalknbvfkj@outlook.fr

happychoose@cook.li

JackBrown23@criptext.com

heniesanstravaille@out1ook.fr

zeppelin@keemail.me

use_harrd@protonmail.com

PepperTramcrop@protonmail.com

Decryption24h@pm.me

hershel_houghton@aol.com

fedoremelianenko@tutanota.com

strongman@india.com

advent313@protonmail.com

cashdashsentme@protonmail.com

becareful98@aol.com

Samanthareflock@mail.com

excentrique_inventeur@aol.com

dec_helper@elude.in

Decisivekey@tutanota.com

geniesanstravaillee@outlook.fr

Kishemez@tutano.com

wasbefore@protonmail.com

nopainnogain666@protonmail.com

bobelectron@cock.li

Sansatsuo@protonmail.com

chinarecoverycompany@airmail.cc

pinkiwinki78@mail.ru

lucky_top@protonmail.com

JeromeRotterberg@protonmail.com

cdforest@cemplar.com

xxcte2664@protonmail.com

Decrypthelpfiles@protonmail.com

china.helper@sol.com

ancrypted@protonmail.com

Benjamin_Franklin@derpymail.org

willi.stroud@aol.com

Agent.DMR@protonmail.com

SamanthaKirbinron@protonmail.com

jewkeswilmer@aol.com

bobelectron@tutanota.com

WarlockdeDieHard4@protonmail.com

patiscaje@airmail.cc

savedata2@protonmail.com

paymequickrecovery@protonmail.com

decrypt2021@elude.in

scarry38@horsefucker.org

recoveryfiles2spare@protonmail.ch

buydecryptor@aol.com

inc_evilsi@protonmail.ch

fedoremelianenko1976@protonmail.com

killingspree@cock.li

JackBrown23@tutanota.com

Fast_Decrypt_and_Protect@Tutanota.com

jakejake1234@cock.li

notgoodnews@tutanota.com

ifirsthelperforunlockyourfiles@privatemail.com

1. 黑客邮箱

系统安全防护数据分析

通过将20205月与上月(20204月)的数据进行对比发现,本月各个系统占比变化均不大,位居前三的系统仍是Windows 7Windows 8 Windows 10

 

10. 20205月被弱口令攻击系统占比图 

以下是对20205月被攻击系统所属IP采样制作的地域分布图,与之前几个月采集到的数据进行对比,地区排名和占比变化都不大。数字经济发达地区仍是攻击的主要对象。

 

11. 20205月被弱口令攻击区域图 

通过观察20205月弱口令攻击态势发现,在本月MSSQLRDP的弱口令攻击在本月有一次较大幅度的上涨。MYSQL弱口令攻击在本月的攻击态势整体无较大波动。

 

12. 20205月弱口令攻击态势 

参照20205月弱口令攻击态势图,发现与本月MSSQL投毒拦截态势图有一定出入。这一情况可能是由于MSSQL的峰值攻击可能存在测试性攻击,并非实战攻击,也有可能攻击者拿下服务器后并未立刻进行投毒操作,而是留作“库存”。

 

13. MSSQL投毒拦截态势 

勒索病毒关键词

该数据来自lesuobingdu.360.cn的搜索统计。(不包括WannCryAllCryTeslaCryptSatanKrakenJswormX3mWannaRen以及GandCrab几个家族)

Devos:属于phobos勒索病毒家族,由于被加密文件后缀会被修改为devos而成为关键词。该勒索病毒主要通过暴力破解远程桌面密码,拿到密码后手动投毒传播。

c4h: 属于GlobeImposter勒索病毒家族。由于被加密文件后缀会被修改为c4h而成为关键词。该勒索病毒主要通过暴力破解远程桌面密码,拿到密码后手动投毒传播。

voyager: 属于Hermes837勒索病毒家族,由于被加密文件后缀会被修改为voyager而成为关键词。该勒索病毒主要通过暴力破解远程桌面密码,拿到密码后手动投毒传播。

globeimposter-alpha865qqz:c4h

dewar:devos

c1h:c4h

globeimposterGlobeImposter家族名。该勒索病毒主要通过暴力破解远程桌面密码,拿到密码后手动投毒传播。

eight:同devos

永恒之蓝:永恒之蓝漏洞常被黑客用来传播勒索病毒。

Roger:属于Crysis勒索病毒家族,由于被加密文件后缀会被修改为roger而成为关键词。该勒索病毒主要通过暴力破解远程桌面密码,拿到密码后手动投毒传播。

 

14. 20205月关键词搜索TOP10 

解密大师

从解密大师本月的解密数据看,本月解密量最大的是GandCrab,其次是KimChinSev。其中,使用解密大师解密文件的用户数量最高的仍是Stop家族的中招设备,其次则是Crysis家族的中招设备。

 

15. 20205月解密大师解密情况 

总结

针对服务器的勒索病毒攻击依然是当下勒索病毒的一个主要方向,企业需要加强自身的信息安全管理能力——尤其是弱口令、漏洞、文件共享和远程桌面的管理,以应对勒索病毒的威胁,在此我们给各位管理员一些建议:

1. 多台机器,不要使用相同的账号和口令

2. 登录口令要有足够的长度和复杂性,并定期更换登录口令

3. 重要资料的共享文件夹应设置访问权限控制,并进行定期备份

4. 定期检测系统和软件中的安全漏洞,及时打上补丁。

5. 定期到服务器检查是否存在异常。查看范围包括:

(1) 是否有新增账户

(2) Guest是否被启用

(3) Windows系统日志是否存在异常

(4) 杀毒软件是否存在异常拦截情况

6. 安装安全防护软件,并确保其正常运行。

7. 从正规渠道下载安装软件。

8. 对不熟悉的软件,如果已经被杀毒软件拦截查杀,不要添加信任继续运行。

此外,无论是企业受害者还是个人受害者,都不建议支付赎金。支付赎金不仅变相鼓励了勒索攻击行为,而且解密的过程还可能会带来新的安全风险。

常见的勒索病毒,很多只加密文件头部数据,对于某些类型的文件(如数据库文件),可以尝试通过数据修复手段来挽回部分损失。如果不得不支付赎金的话,可以尝试和黑客协商来降低赎金价格,同时在协商过程中要避免暴露自己真实身份信息和紧急程度,以免黑客漫天要价。由于第三方均是通过联系黑客购买密钥解密文件,所以尽量避免咨询太多第三方(咨询太多第三方相当于咨询多次黑客,会导致黑客涨价。

360安全卫士

热点排行

用户
反馈
返回
顶部