首页 > 安全资讯 > 正文

2020年4月勒索病毒疫情分析

勒索病毒的蔓延,给企业和个人都带来了严重的安全威胁。360安全大脑针对勒索病毒进行了长期追踪与防御研究。本月新增WannaRen、BalaClava、NetWalker和Gogoogle等勒索病毒家族。

360解密大师在2020年2月新增对Gogoogle和WannaRen的解密支持。

感染数据分析

分析本月勒索病毒家族占比:phobos家族占19.65%居首位;其次是占比18.35%的GlobeImposter;Stop家族以占比9.97%位居第三。本月遭到WannaRen和BalaClava两个家族感染的系统占比进入TOP10,分别位于第七和第十位。

而从被感染系统占比看:本月居前三的系统仍是Windows 10 、Windows 7和Windows Server 2008。与过去两个月一样Windows 10系统占比位居第一。

   2020年4月被感染系统中桌面系统和服务系统占比显示,主要受攻击的系统仍是桌面系统。与2020年3月的统计进行比较,无明显变化。

此外,我们还关注了360论坛的勒索病毒板块在2020年4月的用户反馈动态(https://bbs.360.cn/forum.php?mod=forumdisplay&fid=7592):

本月论坛反馈总计84个案例,涉及21个家族:其中有4个家族目前已经支持解密(这4个家族分别是:AllCry、CryptoWire、Crysis-old、WannaRen)。反馈家族TOP3依次为:GlobeImposter、phobos、WannaRen。反馈中新增家族/新增变种包括:Stop家族(修改后缀为bboo、mado、jope、mapj等);BalaClava家族(修改后缀为KEY0001、KEY0003、KEY0004等);GlobeImposter家族(修改后缀为C4H、damerg等);Matrix家族(修改后缀为meks);Gibberish等

勒索病毒疫情分析

WannaRen勒索病毒家族

360安全大脑检测到在本月初一款名为WannaRen的勒索病毒爆发,在国内引起网民热议 。该勒索病毒由“匿影”家族进行传播,而“匿隐”家族主要通过BT下载器、激活工具等进行传播,曾在被攻陷机器上利用永恒之蓝漏洞利用工具包攻击内网其它机器。本次下发勒索病毒的攻击过程如下图。

该勒索病毒作者于2020年4月9日主动放出密钥,360解密大师也是国内首家支持该勒索病毒一键解密的工具。


Netfilim勒索病毒家族

Netfilim勒索病毒家族从4月份开始在国内传播,不仅会加密用户的文件,还会盗取用户数据,用做威胁用户支付赎金的又一个手段。从4月22号开始,该勒索病毒已经在暗网上公开了多个受害者的大量数据,任何人都可从该网站下载受害者的数据。

该勒索病毒与Nemty勒索病毒共享大部分代码,而与Nemty不同之处在于该勒索病毒通过留邮箱方式进行后续支付沟通。同时,从该勒索病毒留下的勒索提示信息能看出,其主要是针对企业进行攻击。针对企业进行攻击的勒索病毒已经不是第一次出现,相信在未来企业将会承受更多的勒索病毒攻击威胁


BalaClava勒索病毒家族

360安全大脑监控到本月BalaClava勒索病毒家族开始活跃。通过对受害者机器进行分析,该勒索病毒家族也是通过目前最常规渠道——RDP暴力破解后手动投毒的方式进行传播。

该勒索病毒从本月第一次国内传播到现在已经出现多个变种(修改文件后缀为Key0001、Key0002、Key0003、Key0004等)。

Gogoogle勒索病毒家族

本月360安全大脑检测到一款新型勒索病毒Gogoogle (又称aka BossiTossi),该勒索病毒目前为止有两个版本,其中一个版本存在算法漏洞(修改文件后缀为_H_BTC@qbmail.biz.google)。360解密大师在第一时间对该勒索病毒进行了解密支持。

   另外一个版本目前为止的变种很多,但均修改后缀为gogoogle。受害者通过邮箱黑客进行赎金支付问题沟通。

黑客信息披露

以下是本月搜集到的黑客邮箱信息:

以下是本月搜集到的黑客邮箱信息:

bkp@cock.li

squadhack@eamil.tg

ssimpotashka@gmail.com

btc@fros.cc

sivo.support@pm.me

n1njaCR@protonmail.com

sill@tuta.io

fevrbdy@airmail.cc

heslo_1@protonmail.com

zip@email.tg

r4ns0m@tutanota.com

decryptsupport@cock.li

1btc@cock.li

yourbackup@email.tg

tonistark@tutanota.com

pbsup@qq.com

filesreturn@cock.li

robot2018@tutanota.com

5ss5c@mail.ru

ventormi@airmail.cc

gladius_rectus@aol.com

zfile@tuta.io

danianci@airmail.cc

paymentbtc@firemail.cc

ntl01@tuta.io

decryptfiles@qq.com

dreamcloud@firemail.cc

makop@cock.li

kelli.holt3@aol.com

bolkemafetehia@aol.com

giter@cock.li

returndb@airmail.cc

payfile@protonmail.com

helper@aol.com

sills@protonmail.ch

antoniosanches@cock.li

maknop@cock.li

daves.smith@aol.com

destroed_total@aol.com

unlock@fros.cc

bitsupportz@cock.li

diablo_diablo2@aol.com

icrypt@cock.li

chagenak@airmail.cc

last_centurion@aol.com

Help911@cock.l

eucodes17@gmail.com

mknoobsaibot@india.com

zikont@iran.ir

sqlbackup20@cock.li

smartsupport@india.com

udacha@cock.li

sqlbackup40@cock.li

Theransom@tutanota.com

Blammo@cock.li

surprise24@rape.lol

CCD-help@protonmail.ch

gettkey@qq.com

zula.ryall2@aol.com

giantt1@protonmail.com

badfail@qq.com

rigopril123@cock.li

Bk_Data@protonmail.com

asanday@qq.com

mindysnell2@aol.com

DECRPToffice@gmail.com

fedor2@aol.com

filedecrypt@cock.li

SantaGman@criptext.com

info@kraken.cc

filerestore@cock.li

j73419517739xu@163.com

mk.jax@aol.com

weqa@protonmail.com

wuhaolin@protonmail.ch

p_pant@aol.com

mp35@protonmail.com

fevrbdy@protonmail.com

sman@india.com

black.mirror@qq.com

pansymarquis@yahoo.com

phomen@cock.li

bacon@oddwallps.com

Client9522@tutanota.com

test@gmail.com

GetDataBack@fros.cc

xtredboy@protonmail.com

deerho@email.tg

Darknes@420blaze.it

USDATAdecrypt@gmail.com

bitcon@email.tg

Mkliukang@india.com

generalchin@smime.ninja

ticrypt@cock.li

mk.scorpion@aol.com

g3t_base@protonmail.com

goro@keemail.me

interlock@india.com

giveyoukey@tutanota.com

n1njaCR@cock.li

matacas@foxmail.com

sebekgrime@tutanota.com

decrypt@fros.cc

mksubzero@india.com

helpiter@protonmail.com

youfiles@qq.com

nicecrypt@india.com

mitoplent@safe-mail.net

marat20@cock.li

DECRPT@tutanota.com

notgoodnews@tutanota.co

helpnow@cock.li

krastoken@gmail.com

badbusiness@tutanota.de

filedec@tuta.io

Frederik888@aol.com

ondneparrio1976@aol.com

Beamsell@qq.com

wang_team777@aol.com

contreavili1974@aol.com

skycry17@qq.com

WannaRenemal@goat.si

garenraypha1989@aol.com

mazma@india.com

arquivoszip@email.tg

overlord77@tutanota.com

Bas_ket@aol.com

mr.hack@tutanota.com

darrellgrant628@aol.com

lavandos@dr.com

happychoose3@cock.li

help@decrypt-files.info

mk.goro@aol.com

syndicateXXX@aol.com

biglocker@protonmail.ch

mk.rain@aol.com

chivas@aolonline.top

amanda_sofost@india.com

ssama@india.com

paydecryption@qq.com

enterprise_lost@aol.com

cov2020@aol.com

qeteway@tutanota.com

support_files@india.com

akzhq12@cock.li

brolin.tasso@aol.com

zynoxion@protonmail.com

Zir0@keemail.me

abibo@protonmail.com

youhelp5@protonmail.com

Zir0@airmail.cc

bitcoin143@india.com

covid19encodeer@jabb.im

zikont@uthki.com

moremo123123@cock.li

Wenuptwen1@tutanota.com

bitcoin@email.tg

code2uncrypt@cock.li

angry_war@protonmail.ch

mr.helper@qq.com

terrabyte8@india.com

Hichkasam@protonmail.com

vortechs@cock.li

flashprize@india.com

WuTang444@protonmail.com

COV-ID19@tuta.io

gotham_mouse@aol.com

werichbin@protonmail.com

wannaren@goat.si

joker_lucker@aol.com

contactfileszip@email.tg

damerg@wothi.com

mandanos@foxmail.com

terpsomnapor1978@aol.com

bitcon@email.com

mkscorpion@india.com

helpcov19@protonmail.com

dayonpay@aol.com

spacelocker@post.com

deliverymax@tutanota.com

geerban@email.tg

patiscaje@airmail.cc

backtonormal@foxmail.com

1024back@tuta.io

decrypt_here@xmpp.jp

condneparrio1976@aol.com

H_BTC@qbmail.biz

Heeeh98@tutanota.com

support@decrypt.ws.arena

payransom@qq.com

Fox606@protonmail.com

dalchanski.kolan@aol.com

fairman2@cock.li

creampie@ctemplar.com

gitersupp@protonmail.com

fairman1@cock.li

joellereano@yahoo.com

iaminfected.sac@elude.in

java2018@tuta.io

stevenxx134@gmail.com

meconsult@protonmail.com

iloveoov@cock.li

iamwaldo@tutamail.com

Decisivekey@tutanota.com

peekabooo@qq.com

decrypted8@bigmir.net

anenerbex@protonmail.com

hansolo@rape.lol

decrypt20@firemail.cc

regina4hgoregler@gmx.com

menhausl@aol.com

sabantui@tutanota.com

n0pr0blems@protonmail.com

Eterniity@qq.com

sh2137@email.vccs.edu

cryptfiles@protonmail.com

zec.cash@aol.com

raclawtravier@aol.com

cynthia-it@protonmail.com

GuardBTC@cock.li

pain@onefinedstay.com

Bossi_tosi@protonmail.com

ded_pool@aol.com

helperwindows@cock.li

newneo1312@protonmail.com

denied@india.com

fiesko@voicevaley.com

decrypter2018@hotmail.com

ice_snow@aol.com

diegobtc@tutanota.com

decrypt.guarantee@aol.com

kuprin@india.com

decodingfiles@tuta.io

Vegas_MOZ6@protonmail.com

mk.cyrax@aol.com

big.dangerous@aol.com

mission_inposible@aol.com

mk.kabal@aol.com

fidel_romposo@aol.com

whyruencrypt@tutanota.com

mkgoro@india.com

makedonskiy@india.com

anna.kurtz@protonmail.com

nort_dog@aol.com

mk.noobsaibot@aol.com

btpsupport@protonmail.com

versus@india.com

mk.sonyablade@aol.com

files-fastsupport@xmpp.jp

war_lost@aol.com

moneymaker2@india.com

worcservice@protonmail.ch

zaloha@india.com

sammer_winter@aol.com

vinilblind@protonmail.com

dfs20@keemail.me

supermagnet@india.com

hannesschubert0@gmail.com

geerban@email.rg

po2977@protonmail.com

killyouass@protonmail.com

bitcoin@enail.tg

fooox1@protonmail.com

coronaVi2022@protonmail.ch

zinont@uthki.com

2020x0@protonmail.com

bitsupportz@protonmail.com

admin@stex777.com

Cdforest@ctemplar.com

Laowaichina@protonmail.com

taargo@olszyn.com

cyberdyne@foxmail.com

marialz280williams@aol.com

correctway@qq.com

onlineim@hitler.rocks

cranbery@colorendgrace.com

zikont@awwabi.com

hudsonamily@gmail.com

Asmodeum_daemonium@aol.com

satana@keemail.me

btcsos@protonmailc.om

legionfromheaven@india.com

AndDora@india.com

bugbugo@protonmail.com

mission_inpossible@aol.com

fittanatos@cock.li

barddolling@ganefs.com

reserve-mk.kabal@india.com

squadack@email.tg

cake@youwhost.com

helpdiamond@protonmail.com

phomen@airmail.cc

obamausa7@aol.com

Frederik888@protonmail.com

298347823@tuta.io

zinont@awwabi.com

jacksparrow@protonmail.com

btc2017@india.com

btcsos@airmail.cc

cris_nickson@protonmail.com

combo@tutanota.de

anenerbex@cock.li

datewatchman@protonmail.com

WindyHill@cock.li

squadhack@email.tg

covid19encoder@tutanota.com

support0n@cock.li

returndb@seznam.cz

decrypt4data@protonmail.com

strongman@cock.li

infovip@airmail.cc

generalchin@countermail.com

btc.lexus@aol.com

509@protonmail.com

helpasupportservice@cock.li

Blacklist@cock.li

squaghack@email.tg

sqlsolutions@protonmail.com

walletwix@aol.com

satana@keemail.com

decryptfilesonlinebuy@pm.me

grand_car@aol.com

crown_desh@aol.com

DamianOlsonsnowdrop@cock.li

amagnus@india.com

giveyoukey@cock.li

decryptfile25@protonmail.com

dropped@india.com

stopstorage@qq.com

Recuperadados@protonmail.com

fire.show@aol.com

ccorrectway@qq.com

missdecryptor@protonmail.com

fly_goods@aol.com

decryptprof@qq.com

TYSON.PARRISH@PROTONMAIL.COM

m.reptile@aol.com

decryptdata@qq.com

covid19encodeer@tutanota.com

m.subzero@aol.com

stopencrypt@qq.com

backupfiles01@protonmail.com

mk@aol.com.baraka

Help_Files@aol.com

TentwenUpper1@protonmail.com

mk.johnny@aol.com

buydecrypt@qq.com

mccreight.ellery@tutanota.com

mk.kitana@aol.com

return.data@qq.com

recoverunknown@protonmail.com

mk.raiden@aol.com

katiabloom@aol.com

trustbuilding1@protonmail.com

mk.sektor@aol.com

aidaclark2@aol.com

Inchinaiturtle@protonmail.com

mk.sharik@aol.com

krastycorp@aol.com

sherminator.help@tutanota.com

MKSmoke@india.com

bitpandacom@qq.com

reddragon3335799@protonmail.ch

nort_folk@aol.com

bebenrowan@aol.com

cryptonationusa@protonmail.com

stopper@india.com

restorehelp@qq.com

JUANITA.SCHNEIDER@TUTANOTA.COM

tanksfast@aol.com

decrypthelp@qq.com

alanson_street8@protonmail.com

walmanager@qq.com

absolut.ep@aol.com

lambchristoffer@protonmail.com

warlokold@aol.com

whitecrypt@tuta.io

affrontUmerSummers@tutanota.com

webmafia@asia.com

donald_dak@aol.com

Encryptedxtredboy@protonmail.com

xmen_xmen@aol.com

first_wolf@aol.com

lanthanumRosaKiddgentile@cock.li

name4v@keemail.me

gutentag@india.com

william_jefferson1@protonmail.com

im.online@aol.com

HelpRobert@gmx.com

gibberishEdmundBass@protonmail.com

ackup.iso@aol.com

lesiones@india.com

resolutionransomware@protonmail.com

mk.liukang@aol.com

total_zero@aol.com

voyagermail@aol.li

mk.stryker@aol.com

webmafia@india.com

backup.iso@aol.com

mkjohnny@india.com

sjen6293@gmail.com

ccdhelp@airmall.cc

MKKitana@india.com

kokux@tutanota.com

shamudin@india.com

nomascus@india.com



表1. 黑客邮箱

系统安全防护数据分析

通过对2020年3月和2020年4月数据进行对比发现,本月各个系统占比无明显变化,位居前三的仍是Windows 7、Windows 8和Windows 10。

以下是对2020年4月被攻击系统所属IP采样制作的地域分布图,与之前几个月采集到的数据进行对比,地区排名和占比变化都不大。数字经济发达地区仍是攻击的主要对象。


   分析2020年4月弱口令攻击态势发现,针对MSSQL的弱口令攻击在本月有一次较大幅度的上涨。而针对RDP和MYSQL的弱口令攻击在本月的攻击态势整体无较大波动。

360安全大脑检测到本月利用mssql攻击方式被投毒的机器量整体态势和Mssql在中旬之后的态势相对吻合。

勒索病毒关键词

该数据来自lesuobingdu.360.cn的搜索统计。(不包括WannCry、AllCry、TeslaCrypt、Satan、Kraken、Jsworm、X3m以及GandCrab几个家族)

l  Wannaren:属于WannaRen勒索病毒家族,该勒索病毒通过隐匿者进行传播。

l  Devos:属于phobos勒索病毒家族,由于被加密文件后缀会被修改为devos而成为关键词。该勒索病毒主要通过暴力破解远程桌面密码,拿到密码后手动投毒传播。

l  Voyager:属于Hermes837勒索病毒家族,由于被加密文件后缀会被修改为voyager而成为关键词。该勒索病毒主要通过暴力破解远程桌面密码,拿到密码后手动投毒传播。

l  Dewar:同devos。

l  Globeimposter-alpha865qqz:属于GlobeImposter勒索病毒家族。由于被加密文件后缀会被修改为globeimposter-alpha865qqz而成为关键词。该勒索病毒主要通过暴力破解远程桌面密码,拿到密码后手动投毒传播。

l  helpservise@elude.in:属于Buran勒索病毒家族。由于黑客留下的勒索提示信息中包含该邮箱而成为关键词。该勒索病毒主要通过暴力破解远程桌面密码,拿到密码后手动投毒传播。

l  Happychoose:同Globeimposter-alpha865qqz。

l  Eight:同devos

l  Lockbit:属于Lockbit勒索病毒家族。由于被加密文件后缀会被修改为lockbit而成为关键词。该勒索病毒主要通过暴力破解远程桌面密码,拿到密码后手动投毒传播。

Globeimposter:GlobeImposter勒索病毒家族,该勒索病毒主要通过暴力破解远程桌面密码,拿到密码后手动投毒传播。


解密大师

从解密大师本月的解密数据看,本月解密量最大的是WannaRen,其次是GandCrab;其中使用解密大师解密文件的用户数量最高的仍是Stop家族的中招设备,其次是Crysis家族的中招设备。

总结

    针对服务器的勒索病毒攻击依然是当下勒索病毒的一个重要方向,企业需要加强自身的信息安全管理能力——尤其是弱口令、漏洞、文件共享和远程桌面的管理,以应对勒索病毒的威胁,在此我们给各位管理员一些建议:

1.   多台机器,不要使用相同的账号和口令

2.   登录口令要有足够的长度和复杂性,并定期更换登录口令

3.   重要资料的共享文件夹应设置访问权限控制,并进行定期备份

4.   定期检测系统和软件中的安全漏洞,及时打上补丁。

5.   定期到服务器检查是否存在异常。查看范围包括:

(1)  是否有新增账户

(2)  Guest是否被启用

(3)  Windows系统日志是否存在异常

(4)  杀毒软件是否存在异常拦截情况

6.   安装安全防护软件,并确保其正常运行。

7.   从正规渠道下载安装软件。

8.   对不熟悉的软件,如果已经被杀毒软件拦截查杀,不要添加信任继续运行。

此外,无论是企业受害者还是个人受害者,都不建议支付赎金。支付赎金不仅变相鼓励了勒索攻击行为,而且解密的过程还可能会带来新的安全风险。

常见的勒索病毒,很多只加密文件头部数据,对于某些类型的文件(如数据库文件),可以尝试通过数据修复手段来挽回部分损失。如果不得不支付赎金的话,可以尝试和黑客协商来降低赎金价格,同时在协商过程中要避免暴露自己真实身份信息和紧急程度,以免黑客漫天要价。由于第三方均是通过联系黑客购买密钥解密文件,所以尽量避免咨询太多第三方(咨询太多第三方相当于咨询多次黑客,会导致黑客涨价。


360安全卫士

热点排行

用户
反馈
返回
顶部