首页 > 安全资讯 > 正文

2020年6月勒索病毒疫情分析

勒索病毒传播至今,360互联网安全中心已累计接受到上万勒索病毒感染求助。勒索病毒的蔓延,给企业和个人都带来了严重的安全威胁。360安全大脑针对勒索病毒进行了全方位的监控与防御。本月新增Avaddons、Lolkek、Corab、panther、pojie等勒索病毒家族。

360解密大师在2020年6月新增对Cobra(后缀为cobra)、FileCry(后缀为filecry)、YourFilesEncrypted (后缀为flybox),Sodinokibi(版本较多,目前只支持其中一个版本)的解密支持。

感染数据分析

分析本月勒索病毒家族占比:GlobeImposter家族占比23.62%居首位;其次是占比21.79%的phobos;Crysis家族以占比15.37%位居第三。Avaddon勒索病毒于6月4日开始传播,很快便已经进入了本月的勒索病毒家族Top 10榜单中。

图1. 2020年6月勒索病毒家族占比 

而从被感染系统占比看:本月位居前三的系统是Windows 7、Windows 10和Windows Server 2012。其中被感染系统中Windows Server 2012是首次占比超过Windows Server 2008,但本月并未出现2012系统的重大安全事件,此次2012系统占比的增加有较大的偶然性。

图2. 2020年6月被感染系统占比图 

2020年6月被感染系统中桌面系统和服务器系统占比显示,受攻击的主要系统仍是个人桌面系统。与2020年5月的统计进行比较,个人桌面感染占比上升4.68%,这和本月新出现的勒索病毒家族Avaddon有一定关系。

图3. 2020年6月被感染系统类型占比图 

勒索病毒疫情分析

Avaddon勒索病毒家族

近日360安全大脑监测到一款新型勒索病毒——Avaddon开始在国内传播。监测到的数据显示,该勒索病毒从6月4日已经开始进行传播,最早开始传播时修改文件后缀为advn,而后续出现的变种则采用了与Sodinokibi相同的文件加密模式,被加密文件被改为随机后缀。

从360安全大脑监控发现,该勒索病毒利用Phorpiex僵尸网络进行传播。而Phorpiex具备蠕虫特性,迄今为止已经感染超过一百万台计算机。而其主要传播渠道有:

1.     可移动存储介质

2.     垃圾邮件

3.     爆破用户凭证

4.     漏洞利用工具包

5.     恶意程序安装等

和众多勒索病毒一样,Avaddon也采用RaaS模式,并在6月3号的时候在暗网开始公开售卖。而就在一天后的6月4号,就已经出现野外传播。

图4. Avaddon作者发帖截图

Crysis勒索病毒家族

Crysis勒索病毒家族从2016年出现至今已有近4年的传播历史,无论是传播手段还是在核心功能的代码实现都鲜有改动。但近日,360安全大脑监测到该家族也出现了一款新的变种。

通过代码分析发现,该版变种最大的改动是集成了多个工具便于投毒者了解当前系统中存在的杀毒软件、加密时的CPU占用率等信息,同时还可以将未挂载的设备挂载到本地以求尽可能多的加密文件。

图5. Crysis变种截图

YourFilesEncryped勒索病毒家族

近期360安全大脑还监测到YourFilesEncrypted勒索病毒家族出现的V3.3版本。该勒索病毒伪装成注册机进行传播,用户在中毒后文件后缀被修改为FlyBox。并向受害者索要0.009个比特币。

根据经验判断,对于通过破解软件、激活工具这类型进行传播的勒索病毒家族,索要的金额往往不会太高。因为这类型的受害者大多为普通个人用户,不会像企业用户一样有可能为了文档数据支付天文数字的赎金。

在控到该勒索病毒的第一时间,360解密大师便对其进行了分析,并成功对其进行了解密支持。

图6. 解密大师解密被YourFileEncrypted加密的文件

黑客信息披露

     以下是本月搜集到的黑客邮箱信息:

tors@tuta.io

moncler@tutamail.com

VoidFiles@protonmail.com

fonix@tuta.io

admin@stelsdatas.com

mrromber121@tutanota.com

kekin@cock.li

ruthlessencry@qq.com

manyfiles@protonmail.com

r3ad4@aol.com

china.he1per@ao1.com

xxcte2664@protonmail.com

day_0@aol.com

origami7@firemail.cc

tyrkinovusr@tutanota.com

jerjis@tuta.io

newrecoverybot@pm.me

pristonklav@tutanota.com

ucos2@elude.in

xilttbg@tutanota.com

helpservise@mail2tor.com

The777@tuta.io

torsed@protonmail.ch

helpservise@ctemplar.com

hitsbtc@tuta.io

mawienkiu@yandex.com

Lucky7267@protonmail.com

cavefat@tuta.io

coronalocker@cock.li

JamesBaker78@criptext.com

Mail@qbmail.biz

it125@protonmail.com

restoremanager@airmail.cc

vip1488@tuta.io

gluttony_002@aol.com

wecanhelp2@protonmail.com

dharm727@gmx.de

lxhlp@protonmail.com

johnsonwhate@tutanota.com

petya20@tuta.io

unlock@graylegion.su

decrypter02@cumallover.me

Red@gytmail.com

sory@countermail.com

EdsonEpsok@protonmail.com

harma277@gmx.de

recovery2020@cock.li

Pentagon11@protonmail.com

WTF2000@cock.li

begins@colocasia.org

gangflsbang@protonmail.ch

Delar69@cock.li

neo2222@tutanota.com

writehere@onlinehelp.host

H911X@yahoo.com

hellomyfriend@tuta.io

trevor@thwonderfulday.com

decphob@tuta.io

wang_team1111@aol.com

charlesetta.embody@aol.com

decrypt@files.mn

MerlinWebster@aol.com

proservicez@protonmail.com

tommycash@qq.com

wang_team2222@aol.com

mewellwisher@protonmail.ch

payransom@qq.com

bentleysali@india.com

bitcoinpayment@foxmail.com

repairdb@mail.fr

samurai@aolonline.top

write_me_soon@tutanota.com

savebase@aol.com

Jeremyhilton@mail.com

RestoreFile@protonmail.com

cov-id19@tuta.io

gomer@horsefucker.org

harrynarson@protonmail.com

61258@ECLIPSO.CH

piterpen02@keemail.me

jamesbrockner@tutanota.com

squahack@email.tg

dec_helper@dremno.com

mrimrssmith@protonmail.com

clubnika@elude.in

booomx@protonmail.com

jofkznve148172@outlook.com

A654763764@qq.com

Blackmax@tutanota.com

servicemanager@yahooweb.co

doctor666@mail.fr

missdecryptor@cock.li

imperial755@protonmail.com

doctor666@cock.li

Wang_team1111@aol.com

jimmtheworm@dicksinmyan.us

epairdb@seznam.cz

qqcore@protonmail.com

Bit_decrypt@protonmail.com

doctor777@mail.fr

pvphlp@protonmail.com

decrypt.files2017@gmail.co

tealjanos@aol.com

restorefiles69@cock.li

kabennalzly@protonmail.com

manyfiles@aol.com

skypaym@protonmail.com

dec_restore@protonmail.com

White@gytmail.com

dec_helper@outlook.com

sifre_cozucu@protonmail.com

keymaster@cock.li

Ssimpotashka@gmail.com

yourfile2020@protonmail.com

beijing520@aol.com

sorayaclarkyo@mail.com

tamesepo1980@protonmail.com

squadhack@email.tg

zorab28@protonmail.com

johnsonwhate@protonmail.com

hlpp@protonmail.ch

VitalyYermakov@cock.li

timothymandock@tutanota.com

wecanhelpu@tuta.io

paybtc24@protonmail.ch

langdiru1887@protonmail.com

gh0stcrypt@tuta.io

angelina.crypt@aol.com

Cobra_Locker@protonmail.com

RestoreFile@qq.com

hijackhorse@airmail.cc

helpdesk_makp@protonmail.ch

mr.hackpr0@aol.com

china_jm@protonmail.ch

computertricks2018@gmail.com

sqlbackup3@mail.fr

ripntfs@protonmail.com

fahydremu1981@protonmail.com

support911@cock.li

imperial@mailfence.com

Alfredhormund@protonmail.com

file.cry@gmail.com

uridzu@aaathats3as.com

HillaryGotsberg@tutanota.com

l1u1t1@secmail.pro

newrecoveryrobot@pm.me

systemdestroyer0108@gmail.com

unlock@gldenbay.su

Cleveraynazz@gmail.com

graff_de_malfet@protonmail.ch

admindevon@cock.li

VoidFiles@tutanota.com

mantiticvi1976@protonmail.com

Try2Cry@Indea.info

servicemanager@jabb.im

ChiaraChurcman@protonmail.com

beijing520@cock.li

wungasha@protonmail.ch

mrddnet_support@protonmail.ch

decrestore@cock.li

kalimenok@tutanota.com

decryptunknown@protonmail.com

coultard.c@aol.com

rkhairn@protonmail.com

Pameladuskhock@protonmail.com

openpgp@foxmail.com

bob@thwonderfulday.com

Tamarabuildpop@protonmail.com

openpgp@foxmail.com

bil@thwonderfulday.com

russel_donelly@protonmail.com

decoding@qbmail.biz

tinxony@protonmail.com

nopainnogain666@protonmail.com

yourbackup@email.tg

eight20@protonmail.com

Vitaly.Yermakov@protonmail.com

ICQ@fartwetsquirrel

helptraf@protonmail.com

vitalyyermakov@privatemail.com

chinahelper@ao1.com

anticrypto@tutanota.com

imBoristheBlade@protonmail.com

voyagermail@ao1.com

wyvern@cryptmaster.info

JoanaBarnucci20@protonmail.com

jerjis@tutamail.com

logiteam@protonmail.com

GilbertoPortaless@tutanota.com

Recovery@qbmail.biz

RestorFile@tutanota.com

salesrestoresoftware@gmail.com

Brianhooper@cock.li

gomersimpson@keemail.me

Bryan_Stevenson1@protonmail.com

yourbuckup@email.tg

decryptor911@airmail.cc

hacker_decryption@protonmail.ch

writemesoon@cock.li

Saratsuo@protonmail.com

Benjamin_Franklin@derpymail.org

mrimrssmith@cock.li

genfiles@protonmail.com

Hacker47817628648971@airmail.cc

dupuisangus@aol.com

pandoraman@tutanota.com

RupertMariner1958@protonmail.com

mrromber121@cock.li

akzhq615@protonmail.com

guaranteedsupport@protonmail.com

how_decrypt@aol.com

recoryfile@tutanota.com

salesrestoresoftware@firemail.cc

bilbo@colocasia.org

UnluckyWare@mail2tor.com

filedecryption770@Protonmail.com

frodo@colocasia.org

JamesBaker78@criptex.com

Dineshschwartz1965@Protonmail.com

91645@PROTONMAIL.CH

AlanGreen88@criptext.com

servicemanager2020@protonmail.com

yourbackup@email.th

Cryoteons@protonmail.com

StephanForenzzo1985@protonMail.com

gluttony_001@aol.com

yogynicof@protonmail.com

UnluckyWare@torbox3uiot6wchz.onion

ftsbk@protonmail.com

decryptor666@420blaze.it

everythingwillbeokay1234@protonmail.com

dec_helper@excic.com

wang_tema666@aol.com


表格1

系统安全防护数据分析

通过将2020年6月与5月的数据进行对比发现,本月各个系统占比变化均不大,位居前三的系统仍是Windows 7、Windows 10和Windows 8。

图7. 2020年6月被弱口令攻击系统占比图

以下是对2020年5月被攻击系统所属IP采样制作的地域分布图,与之前几个月采集到的数据进行对比,地区排名和占比变化都不大。数字经济发达地区仍是攻击的主要对象。

图8. 2020年6月被弱口令攻击区域图

通过观察2020年6月弱口令攻击态势发现,RDP弱口令和MySQL弱口令攻击 在本月的攻击态势整体无较大波动。MSSQL在本月初有两次上涨。

 

图9. 2020年6月弱口令攻击态势图

参照2020年6月弱口令攻击态势图,发现与本月MSSQL投毒拦截态势图有一定出入。这一情况可能是由于MSSQL的峰值攻击可能存在测试性攻击,并非实战攻击,也有可能攻击者拿下服务器后并未立刻进行投毒操作,而是留作“库存”。

图10. MSSQL投毒拦截态势图

勒索病毒关键词

该数据来自lesuobingdu.360.cn的搜索统计。(不包括WannCry、AllCry、TeslaCrypt、Satan、Kraken、Jsworm、X3m、WannaRen以及GandCrab几个家族)

l  Devos: 属于phobos勒索病毒家族,由于被加密文件后缀会被修改为devos而成为关键词。该勒索病毒主要通过暴力破解远程桌面密码,拿到密码后手动投毒传播。

l  c1h: 属于GlobeImposter勒索病毒家族。由于被加密文件后缀会被修改为c4h而成为关键词。该勒索病毒主要通过暴力破解远程桌面密码,拿到密码后手动投毒传播。

l  globeimposter-alpha865qqz:同c1h。

l  c4h:同c1h。

l  eking:同devos。

l  roger:属于Crysis勒索病毒家族,由于被加密文件后缀会被修改为roger而成为关键词。该勒索病毒主要通过暴力破解远程桌面密码,拿到密码后手动投毒传播。

l  voyager:属于Hermes837勒索病毒家族,由于被加密文件后缀会被修改为voyager而成为关键词。该勒索病毒主要通过暴力破解远程桌面密码,拿到密码后手动投毒传播。

l  avdn:属于Avaddon勒索病毒家族,由于被加密文件后续会被修改为avdn而成为关键词。该勒索病毒主要通过僵尸网络进行传播。

l  dewar:同devos。

l  globeimposter:GlobeImposter勒索病毒家族。该勒索病毒主要通过暴力破解远程桌面密码,拿到密码后手动投毒传播。

图11. 2020年6月关键词搜索TOP10

解密大师

从解密大师本月解密数据看,本月解密量最大的是GandCrab,其次是WannaRen。使用解密大师解密文件的用户数量最高的仍是Stop家族的中招设备,其次则是Crysis家族的中招设备。

图12. 2020年6月解密大师解密情况

总结

     针对服务器的勒索病毒攻击依然是当下勒索病毒的一个主要方向,企业需要加强自身的信息安全管理能力——尤其是弱口令、漏洞、文件共享和远程桌面的管理,以应对勒索病毒的威胁,在此我们给各位管理员一些建议:

1.    多台机器,不要使用相同的账号和口令

2.    登录口令要有足够的长度和复杂性,并定期更换登录口令

3.    重要资料的共享文件夹应设置访问权限控制,并进行定期备份

4.    定期检测系统和软件中的安全漏洞,及时打上补丁。

5.    定期到服务器检查是否存在异常。查看范围包括:

(1)  是否有新增账户

(2)  Guest是否被启用

(3)  Windows系统日志是否存在异常

(4)  杀毒软件是否存在异常拦截情况

6.    安装安全防护软件,并确保其正常运行。

7.    从正规渠道下载安装软件。

8.    对不熟悉的软件,如果已经被杀毒软件拦截查杀,不要添加信任继续运行。

此外,无论是企业受害者还是个人受害者,都不建议支付赎金。支付赎金不仅变相鼓励了勒索攻击行为,而且解密的过程还可能会带来新的安全风险。

常见的勒索病毒,很多只加密文件头部数据,对于某些类型的文件(如数据库文件),可以尝试通过数据修复手段来挽回部分损失。如果不得不支付赎金的话,可以尝试和黑客协商来降低赎金价格,同时在协商过程中要避免暴露自己真实身份信息和紧急程度,以免黑客漫天要价。由于第三方均是通过联系黑客购买密钥解密文件,所以尽量避免咨询太多第三方(咨询太多第三方相当于咨询多次黑客,会导致黑客涨价。)

360安全卫士

热点排行

用户
反馈
返回
顶部