首页 > 安全资讯 > 正文

2020年2月勒索病毒疫情分析

勒索病毒的蔓延,给企业和个人都带来了严重的安全威胁。360安全大脑针对勒索病毒进行了全方位的监控与防御。本月新增HackedSecret,Makop和Crypt0l0cker等勒索病毒家族。

360解密大师在2020年2月新增对“已锁定”V2版、HackedSecret和iwanttits勒索病毒家族的解密支持。

感染数据分析

分析本月勒索病毒家族占比:GlobeImposter家族占24.13%居首位;其次是占比23.78%的phobos;Crysis家族以占比10.66%位居第三。GlobeImposter和Phobos的占比在本月都有上升。其中GlobeImposter从1月的12.57%上升到本月的24.13%,phobos从1月份的16.85%上升至本月的23.78%。

而从被感染系统占比显示:本月居前三的系统仍是Windows 10、Windows 7和Windows 2008。但与以往不同的是,Windows 10系统的感染率首次大幅超过Windows 7成为第一。这和Windows 7在2020年停服有很重要关系,停服后一部分win7用户升级转用win10。

2020年2月被感染系统中桌面系统和服务器系统占比显示,主要受攻击的系统仍是桌面系统。与2020年1月的统计进行比较,没有较大的幅度波动。

此外,我们还关注了360论坛的勒索病毒板块在2020年2月的用户反馈动态(https://bbs.360.cn/forum.php?mod=forumdisplay&fid=7592):

本月论坛反馈总计77个案例,共涉及21个家族,其中4个家族已支持解密(Nemsis、Paradise、X3m、Crysis-old)。

反馈家族Top3依次为:GlobeImposter、phobos以及Sodinokibi。反馈中新增的家族/变种包括:GlobeImposter(修改文件后缀为tilcore、happychoose、happytwochoose、taagro)、phobos(修改文件后缀为dewar,devos)、Crysi(修改文件后缀为ncov)、Stop(修改文件后缀为nppp、rooe、bboo等)、Hermes837(修改文件后缀为voyager)、Makop(修改文件后缀为Makop和shootlook)等。

勒索病毒疫情分析

HackedSecret勒索病毒家族

近日,360安全大脑检测到一款新型勒索病毒——HackedSecret。这款勒索病毒隐藏在一款刷分软件中进行传播,并特意要求用户使用该刷分软件前应先推出杀毒软件。而用户一旦信以为真,推出杀毒软件并运行该软件后,文件将被加密,并被要求用户支付0.13个比特币或者11个门罗币。

360安全大脑在监控到该勒索病毒的第一时间对该勒索病毒进行分析,并成功过破解该勒索病毒。中招用户可使用360解密大师对被加密文件进行恢复。

Makop勒索病毒家族

360安全大脑监控到,在本月Makop勒索病毒开始在国内进行传播。该勒索病毒最早在2020年1月份被国外安全研究员发现通过垃圾邮件进行传播。在2020年2月份首次出现在国内。从国内多个受害者的日志进行分析发现,该勒索病毒在国内主要传播渠道是通过暴力破解远程桌面密码,拿到密码后手动投毒。到目前为止该勒索病毒已有多个变种。例如:修改文件后缀为makop以及shootlook。

该勒索病毒传播者在一个论坛上不断更新Makop相关的动态(版本更新内容、招募合作伙伴等)。从作者发布的论坛信息可以看出,病毒是从2020年1月27日开始传播,且制作者在招募更多的合作伙伴,想要更大程度的扩散该勒索病毒。在未来,该勒索病毒的传播渠道可能会越来越多样化。

“已锁定“勒索病毒家族

“已锁定”勒索病毒最早被发现是在2020年1月,在第一次传播就被360安全大脑成功破解后,该勒索病毒消失了一段时间又开始进行传播。此次传播该勒索病毒作者加强了加密算法,以及开始通过一些论坛广告进行传播。以下是两个版本具体的更新:

目前360解密大师已能完美解密该勒索病毒,中招用户可以使用解密大师解密被锁定文件。在相继两次算法被破解,该勒索病毒传播者已将传播该勒索病毒的网站关停。

黑客信息披露

    以下是本月搜集到的黑客邮箱信息:

           

表格2. 黑客邮箱

系统安全防护数据分析

通过对2020年1月和2020年2月数据进行对比发现,本月各个系统占比变化均不大,位居前三的仍是Windows 7、Windows 8和Windows 10。

    以下是对2020年2月被攻击系统所属IP采样制作的地域分布图,与之前几个月采集到的数据进行对比,地区排名和占比变化都不大。数字经济发达地区仍是被攻击的主要对象。


通过对2020年2月弱口令攻击趋势发现,在本月MSSQL的弱口令攻击在本月有一次较大幅度的上涨。RDP和MYSQL弱口令 攻击在本月的攻击趋势整体无较大波动。


360安全大脑检测到本月利用mssql攻击方式被投毒的机器量的整体趋势中也有一次较大幅度的上涨。和mssql弱口令攻击趋势相对吻合。

勒索病毒关键词

该数据来自lesuobingdu.360.cn的搜索统计。(不包括WannCry、AllCry、TeslaCrypt、Satan、Kraken、Jsworm、X3m以及GandCrab几个家族)

l  MedusaLocker:属于MedusaLocker勒索病毒家族又被称作“美杜莎”勒索病毒,该勒索病毒主要通过暴力破解远程桌面密码,拿到密码后手动投毒传播。

l  Devos:属于phobos勒索病毒家族,由于被加密文件后会被修改devos而成为关键词,该勒索病毒主要通过暴力破解远程桌面密码,拿到密码后手动投毒传播。

l  Cuba:属于cuba勒索病毒家族,由于被加密文件后缀会被修改为cuba而成为关键词,该勒索病毒主要通过垃圾邮件进行传播。

l  Happychoose:属于GlobeImposter勒索病毒家族,由于被加密文件后缀会被修改为happychoose而成为关键词,该勒索病毒主要通过爆破破解远程桌面密码,拿到密码后手动投毒传播。

l  globeimposter-alpha865qqz:同happychoose

l  dewar:同devos

l  globeimposter   属于GlobeImposter家族,同happychoose。

l  ncov: 属于Crysis勒索病毒家族,由于文件被加密后会被修改为ncov而成为关键词。该勒索病毒家族主要通过暴力破解远程桌面密码,成功后手动投毒传播。

l  voyager:属于Hermes837勒索病毒家族,由于文件被加密后会被修改为voyager而成为关键词。该勒索病毒家族主要通过暴力破解远程桌面密码,成功后手动投毒传播。

l  readinstructions:同MedusaLocker。

解密大师

从解密大师本月的解密数据看,本月解密量最大的仍是GandCrab,其次是“已锁定”;其中使用解密大师解密文件的用户数量最高的仍是Stop家族的中招设备,其次是HackedSecret家族的中招设备。

总结

    针对服务器的勒索病毒攻击依然是当下勒索病毒的一个主要方向,企业需要加强自身的信息安全管理能力——尤其是弱口令、漏洞、文件共享和远程桌面的管理,以应对勒索病毒的威胁,在此我们给各位管理员一些建议:

1.   多台机器,不要使用相同的账号和口令

2.   登录口令要有足够的长度和复杂性,并定期更换登录口令

3.   重要资料的共享文件夹应设置访问权限控制,并进行定期备份

4.   定期检测系统和软件中的安全漏洞,及时打上补丁。

5.   定期到服务器检查是否存在异常。查看范围包括:

(1)  是否有新增账户

(2)  Guest是否被启用

(3)  Windows系统日志是否存在异常

(4)  杀毒软件是否存在异常拦截情况

6.   安装安全防护软件,并确保其正常运行。

7.   从正规渠道下载安装软件。

8.   对不熟悉的软件,如果已经被杀毒软件拦截查杀,不要添加信任继续运行。

 

此外,无论是企业受害者还是个人受害者,都不建议支付赎金。支付赎金不仅变相鼓励了勒索攻击行为,而且解密的过程还可能会带来新的安全风险。

常见的勒索病毒,很多只加密文件头部数据,对于某些类型的文件(如数据库文件),可以尝试通过数据修复手段来挽回部分损失。如果不得不支付赎金的话,可以尝试和黑客协商来降低赎金价格,同时在协商过程中要避免暴露自己真实身份信息和紧急程度,以免黑客漫天要价。由于解密服务公司多是通过联系黑客购买密钥解密文件,所以尽量避免咨询太多第三方解密公司(咨询太多第三方解密公司相当于咨询多次黑客,可能会导致黑客涨价。)


360安全卫士

热点排行

用户
反馈
返回
顶部