360安全卫士
360杀毒
360文档卫士
360安全浏览器
360极速浏览器
360安全云盘
360随身WiFi
360搜索
系统急救箱
重装大师
勒索病毒救助
急救盘
高危漏洞免疫
360压缩
驱动大师
鲁大师
360换机助手
360清理大师Win10
360游戏大厅
360软件管家
360手机卫士
360防骚扰大师
360加固保
360贷款神器
360手机浏览器
360安全云盘
360免费WiFi
安全客
手机助手
安全换机
360帮帮
清理大师
省电王
360商城
360天气
360锁屏
手机专家
快剪辑
360影视
360娱乐
快资讯
你财富
360借条
360互助
信贷管家
360摄像机云台AI版
360摄像机小水滴AI版
360摄像机云台变焦版
360可视门铃
360摄像机云台1080p
家庭防火墙V5S增强版
家庭防火墙5Pro
家庭防火墙5SV2
家庭防火墙路由器5C
360儿童手表S1
360儿童手表8X
360儿童手表P1
360儿童手表SE5
360智能健康手表
行车记录仪M310
行车记录仪K600
行车记录仪G380
360行车记录仪G600
儿童安全座椅
360扫地机器人X90
360扫地机器人T90
360扫地机器人S7
360扫地机器人S6
360扫地机器人S5
360安全卫士
360杀毒
360文档卫士
360安全浏览器
360极速浏览器
360随身WiFi
360搜索
系统急救箱
重装大师
急救盘
勒索病毒救助
360压缩
驱动大师
鲁大师
360游戏大厅
360软件管家
360手机卫士
360防骚扰大师
手机急救箱
360加固保
360贷款神器
360免费WiFi
安全客
手机助手
一键root
安全换机
360帮帮
信用卫士
清理大师
省电王
360商城
流量卫士
360天气
360锁屏
手机专家
快剪辑
360影视
360娱乐
快资讯
你财富
360借条
360手机N7
360手机N6
Pro
360手机vizza
360手机N5S
360儿童手表6C
360儿童手表6W
360儿童手表SE2代
360手表SE2Plus
360老人手表
360摄像机大众版
360安全路由器P3
360安全路由器P2
360儿童机器人
外设产品
影音娱乐
平板电脑
二手手机
二代 美猴王版
二代
美猴王领航版
标准升级版
后视镜版
车载电器2020年9月勒索病毒疫情分析
- 2020-10-19 15:04:22
勒索病毒传播至今,360互联网安全中心已累计接收到上万勒索病毒感染求助。勒索病毒的蔓延,给企业和个人都带来了严重的安全威胁。360安全大脑针对勒索病毒进行了全方位的监控与防御。本月新增ThunderX、LeakThemAll、Pewpew、Demon、Dusk、Badbeetteam、WoodRat、Badbax等勒索病毒家族。
感染数据分析
分析本月勒索病毒家族占比:phobos家族占比23.89%居首位;其次是占比17.00%的Crysis;GlobeImposter家族以占比16.60%位居第三。本月新增的勒索并未有大量传播态势,针对NAS(网络附属存储)设备进行攻击的Ech0raix勒索病毒在本月再度活跃,并成功打入前十。
图1. 2020年09月勒索病毒家族占比
从被感染系统分布看:本月位居前三的系统是:Windows 10、Windows7和Windows Servers 2008。而从本月被感染设备数据看,NAS类设备再次被黑客作为攻击目标。
图2. 2020年09月被感染系统占比
2020年09月被感染系统中桌面系统和服务器系统占比显示,受攻击的主要系统仍是个人桌面系统。被攻击的NAS设备占少部分。
图3. 2020年09月被感染系统占比
勒索病毒疫情分析
Crysis
Crysis勒索病毒是持续活跃时间最长的勒索病毒之一。该勒索病毒的变种已累计高达数百种,这和其源代码在被暗网被公开售卖有很大关系。该家族大部分均要求受害者通过邮件与黑客进行联系,但在本月发现一个变种是通过暗网地址以及telegram进行联系的。在通过暗网地址进行联系时,回复响应不及时,且没有保存之前对话记录,每次打开都是一个全新的对话。
图4. Crysis变种暗网地址
在通过telegram联系黑客时,也发现有大量账户名类似的高仿账户,伪装成该勒索病毒传播者骗取用户赎金。在进行沟通中发现,这部分人并不会同意你免费试解密文件,而且非常的警觉——如果你问题太多或者对他产生质疑,他会直接将进行屏蔽。可能这也与该勒索病毒传播者回复消息不及时有关,不幸中招的用户如果联系黑客,也要注意甄别,以防被骗。
以下为部分与骗子的对话:
图5. Telegram对话
还有部分骗子,在用户提出需要测试解密文件,对方会向用户索要150美元的保证金后才会提供测试解密文件。但真的黑客为了赚取后续大笔的赎金,大多是会免费提供解密测试机会以展示解密能力的,这里也应该注意。
图6. Telegram对话
Ech0Raix
Ech0Raix勒索病毒是一款针对NAS (网络附属存储)设备进行攻击的勒索病毒。该病毒国内最早出现于2019年6月,通过nDay漏洞和暴力破解手段进行传播。这是该病毒在国内的第二次成规模的进行攻击,大部分中招用户均因登录口令太弱导致。该病毒在加密文件后会将文件后缀修改为encrypt,并向受害者索要0.005~0.06个比特币。
图7. Ech0Raix支付页面
勒索病毒新趋势——数据泄露
在以往,勒索病毒危害给人的印象仅为加密文件、破坏系统,但今年开始,越来越多的勒索病毒攻击会伴随着数据泄露,随之而来的这类攻击案例也越来越多,企业用户更应该加强防护,避免自己成为下一个受害者。
据不完全统计,自2019年11月首次公开报道出现勒索病毒窃取数据并泄露的事件以来,不到一年时间里,参与数据窃取的流行勒索病毒家族团伙已超过20个,其中具有代表性的家族有:Maze、Sodinokibi、Clop、Conti、NetWalker和SunCrypt等。
最先开始系统性的窃取数据,并以泄露为威胁勒索赎金的勒索病毒家族Maze,已在其网站公布184家受害者数据,其中139家数据被完全公布,45家的数据正在公布中。勒索病毒的危害正在进一步加强。
图8. 数据泄露
黑客信息披露
以下是本月搜集到的黑客邮箱信息:
x3m@usa.com | tools1990m@gmail.com | decryptor666@420blaze.it |
AESMew@pm.me | crypto0077@gmail.com | newhelper24@protonmail.ch |
rx99@cock.li | De-crypt@foxmail.com | sookie.stackhouse@gmx.com |
murryu@aol.com | rdp571@protonmail.ch | Ctorsenoria@ttutanota.com |
cryhelp@dr.com | maedeh81@firemail.cc | SurpriseN1@protonmail.com |
pewpew@TuTa.io | newrecoverybot@pm.me | alexwind46@protonmail.com |
r4ns0m@cock.li | xilttbg@tutanota.com | sorcinacin@protonmail.com |
alfryy@cock.li | PabFox@protonmail.com | neyhyretim@protonmail.com |
l_crypt@aol.com | Sidmouleux996@aol.com | securityteamex@yandex.com |
FoxHelp@cock.li | virus@countermail.com | MikeyMaus77@protomail.com |
epicday@cock.li | Genovo@protonmail.com | rdpconnect@protonmail.com |
moncler@cock.li | crioso@protonmail.com | Steven77xx@protonmail.com |
mr.yoba@aol.com | akzhq808@tutanota.com | TeslaBrain@protonmail.com |
mk.rain@aol.com | filerestory@gmail.com | unlock0101@protonmail.com |
mk_rain@aol.com | btcsupport@msgsafe.io | Founder94@yakuzacrypt.com |
jacdecr@tuta.io | sambolero@tutanoa.com | johnsonwhate@tutanota.com |
js3010@rape.lol | best@desharonline.top | decrypter02@cumallover.me |
newbang@cock.li | mrromber@tutanota.com | getthefiles2@protonmail.ch |
M0rphine@cock.li | decoderforyou@cock.li | leakthemall@protonmail.com |
Helpsir@rape.lol | immunityyoung@aol.com | suppdecrypt@protonmail.com |
operator3@qq.com | pewpew@Protonmail.Com | notesteam2018@tutanota.com |
decrypt@rape.lol | polssh@protonmail.com | MayarChenot@protonmail.com |
decrypt20@vpn.tg | lewismccown@yahoo.com | michael.reynolds74@aol.com |
corebitp@cock.li | ultrasert77@gmail.com | yourlastchancehelp@cock.li |
mk.kabal@aol.com | blair_lockyer@aol.com | unlockme123@protonmail.com |
d.fedor2@aol.com | ww6666@protonmail.com | Decryptions@protonmail.com |
mk.smoke@aol.com | farik1@protonmail.com | blackroot54@protonmail.com |
Rezcrypt@cock.li | pittt@prt-decrypt.xyz | darkencryptor@tutanota.com |
bosxsxsx@cock.li | support@p-security.li | recowerdata@protonmail.com |
repairdb@mail.fr | 2k19sys@p-security.li | jimmtheworm@dicksinmyan.us |
1rest0re@cock.li | wecanh3lpyou2@cock.li | Recoverybat@protonmail.com |
BatHelp@india.com | wecanhelpyou@elude.in | klowershit1835@tutanota.com |
rdpunlock@cock.li | rdpmanager@airmail.cc | decoder83540@protonmail.com |
mrromber@cock.lii | gomer@horsefucker.org | immunityyoung@aol.com.young |
Crypt@zimbabwe.su | piterpen02@keemail.me | viruszone4209@opentrash.com |
dcr@cumallover.me | BatHelp@protonmail.com | e95c12d08b14@protonmail.com |
swhost@msgsafe.io | ThunderBirdXeX@cock.li | support@all-ransomware.info |
coryell.r@aol.com | russiawolf09@gmail.com | nemesis-decryptor@india.com |
alexbanan@tuta.io | 05250lock@tutamail.com | BackFileHelp@protonmail.com |
pay@cyberdude.com | reidcry@hackermail.com | cryptofiles@horsefucker.org |
mk.baraka@aol.com | fartcool@protonmail.ch | decodeodveta@protonmail.com |
m.reptile@aol.com | rdp_unlock@outlook.com | mzrdecryptorbuy@firemail.cc |
m.subzero@aol.com | 777decoder777@tfwno.gf | helptounlock@protonmail.com |
SuckBaBe@Rape.LoL | polssh1@protonmail.com | johnsonwhate@protonmail.com |
A654763764@qq.com | rizonlocker@airmail.cc | remotePChelper@tutanota.com |
doctor666@mail.fr | BhatMaker@tutanota.com | filemaster777@protonmail.com |
doctor666@cock.li | divevecufa@firemail.cc | deloneThunder@protonmail.com |
support@lzt.design | elfbash@protonmail.com | 777decoder777@protonmail.com |
prndssdnrp@mail.fr | Adamfox69@criptext.com | decoderforyou@protonmail.com |
decrypt@europe.com | admcphel@protonmail.ch | SuzuMcpherson@protonmail.com |
vulicapson@cock.lu | petrus34@p-security.li | securityit123@protonmail.com |
vulicapson@tuta.io | decryptdocs@msgsafe.io | jacksteam2018@protonmail.com |
rightcheck@cock.li | montanarecover@aol.com | loyaldecrypt@privatemail.com |
berstife@gmail.com | montanarecover@cock.li | caizonatu1987@protonmail.com |
linajamser@aol.com | data_cloud2012@aol.com | nowabosag1988@protonmail.com |
databack44@tuta.io | x3m-pro@protonmail.com | DharmaParrack@protonmail.com |
endereless@cock.li | contactsupport@cock.li | paradise@all-ransomware.info |
SurpriseN1@aol.com | helpdesk_nemty@aol.com | cyber.duskfly@protonmail.com |
epicday@airmail.cc | FilesHelp@tutanota.com | don-corleone@mortalkombat.su |
alexwind46@aol.com | RestoreData@airmail.cc | letitbedecryptedzi@gmail.com |
badbeeteam@cock.li | softs98@protonmail.com | Mr.TeslaBrain@protonmail.com |
badbeeteam@mail.ee | blacklivesatter@qq.com | Filedecryptor@protonmail.com |
file@p-security.li | newbang@protonmail.com | repairdatadochelp@airmail.cc |
decodor@airmail.cc | Founder94@tutanota.com | ellenfabiana01@protonmail.com |
mk.kunglao@aol.com | alfryy@yakuzacrypt.com | coincidenceleague@firemail.cc |
asmo49@asmodeus.us | newrecoveryrobot@pm.me | RemotePChelper@protonmail.com |
Hiddenhelp@cock.li | RemotePChelper@cock.li | dogeremembersss@protonmail.ch |
recovery94@cock.li | BCPFILE17@tutanota.com | paologaldini2020@tutanota.com |
teslabrain@cock.li | doctorhelp2120@cock.li | befittingdavid@protonmail.com |
giveyoukey@cock.li | SpadeFiles@tutanota.com | pebawestsa1973@protonmail.com |
sqlbackup3@mail.fr | blacklivesmatter@qq.com | nespabatbe1989@protonmail.com |
repairdb@seznam.cz | ataback2@protonmail.com | indilacons1975@protonmail.com |
returndb@seznam.cz | tchukopchu@tutanota.com | chocolate_muffin@tutanota.com |
support911@cock.li | Folielol@protonmail.com | restoring.data@protonmail.com |
file-cloud@email.tg | AsuxidOruraep1999@o2.pl | babyfromparadise666@gmail.com |
zimbabwe@msgsafe.io | buransupport@exploit.im | legion.developers72@gmail.com |
grdoks@tutanota.com | recovery1server@cock.li | RECOVERUNKNOWN@protonmail.com |
bestcool@keemail.me | e95c12d08b14@airmail.cc | AdvancedBackup@protonmail.com |
Writeme4@airmail.cc | rizonlocker@firemail.cc | Black.Berserks@protonmail.com |
Chadmad@nuke.africa | puckett_jeffrey@aol.com | olgearreabo1989@protonmail.com |
greenreed007@qq.com | immortalsupport@cock.li | coincidenceleague@tutanota.com |
Daves.smith@aol.com | decryptdocs@firemail.cc | recovery_server@protonmail.com |
decryp7@foxmail.com | macgregor@aolonline.top | gustafkeach@tohaveandtohold.us |
Datarest0re@aol.com | deyscriptors1@india.com | luizunwrite2020@protonmail.com |
datarest0re@xmpp.jp | yotabyte@protonmail.com | surguitenve1986@protonmail.com |
fixallfiles@tuta.io | liukang@mortalkombat.su | wyattpettigrew8922555@mail.com |
VASHMAIL@KEEMAIL.ME | dd.coala@protonmail.com | your_last_chance_help@elude.in |
helpdesk_mz@aol.com | dcyptfils@protonmail.ch | leltitbedecrypteddzi@gmail.com |
Deus69@criptext.com | Helpcrypt1@tutanota.com | Black.Berserks@yakuzacrypt.com |
returndb@airmail.cc | Mr.TeslaBrain@gmail.com | imBoristheBlade@protonmail.com |
Recoverybat@cock.li | Bitdefender2020@cock.li | gaetwelsenba1983@protonmail.com |
returndb@airmail.ee | vashmail@protonmail.com | profhandgomo1989@protonmail.com |
Filesback@keemail.me | Decfile431@tutanota.com | phrasitliter1981@protonmail.com |
nekross@tutanota.com | smartrecav@tutanota.com | coincidenceleague@thesecure.biz |
BatHelp@tutanota.com | Jonbrown88@criptext.com | nicenphacock1976@protonmail.com |
FoxHelp@tutanota.com | gomersimpson@keemail.me | glocadboysun1978@protonmail.com |
John91Done@yahoo.com | decryptor911@airmail.cc | DecrypterSupport@protonmail.com |
Chadmad@ctemplar.com | 1rest0re@protonmail.com | Recoveryhelp2019@protonmail.com |
decoder83540@cock.li | MREncptor@protonmail.com | filedownload2020@protonmail.com |
buransupport@xmpp.jp | gustav.strasserg@gmx.com | coftocounbio1977@protonmail.com |
happyless@airmail.cc | Ctorsenoria@tutanota.com | decoding_help8888@protonmail.com |
johnsmith654@cock.li | ITAmbuler@protonmail.com | guifullcharti1970@protonmail.com |
johnsmith456@cock.li | bavaria54@protonmail.com | coincidenceleague@protonmail.com |
sanio.marino@aol.com | nic.shulz@protonmail.com | supp0rtdecrypti0n@protonmail.com |
bullockcraig@aol.com | BhatMaker@protonmail.com | sxvcsacobyzurlock@protonmail.com |
decryptor@cock.email | recowery1servers@cock.li | StephanVeamont1997C@tutanota.com |
stopcrypt@cock.email | greenreed911@foxmail.com | carbedispgret1983@protonmail.com |
VictorLustig@gmx.com | backtonormal@foxmail.com | SupportMIICCSSetup@protonmail.com |
alexwind46@yahoo.com | fiasco911@protonmail.com | sookie_stackhousse@protonmail.com |
augusto.ruby@aol.com | server-support@india.com | ScorpionEncryption@protonmail.com |
mecybaki@firemail.cc | contact-support@elude.in | ScorpionEncryption@Protonmail.com |
opensafezona@cock.li | Honeylock@protonmail.com | ScorpionEncryption@yakuzacrypt.com |
blackblackra@tuta.io | recover85@protonmail.com | your_last_chance_help@protonmail.com |
w3canh3lpy0u@cock.li | josefrendal797@gmail.com | MariaJackson2019williams@protonmail.com |
karnel.fikol@aol.com | helper571@protonmail.com | MariaJackson2020williams@protonmail.com |
TeslaBrain@gmail.com | maedeh81@yakuzacrypt.com |
表格1. 黑客邮箱
系统安全防护数据分析
通过将2020年9月与8月的数据进行对比发现,本月各个系统占比变化均不大,位居前三的系统仍是Windows 7、Windows 8和Windows 10。
图9. 2020年9月被弱口令攻击系统占比图
以下是对2020年9月被攻击系统所属地域采样制作的分布图,与之前几个月采集到的数据进行对比,地区排名和占比变化都不大。数字经济发达地区仍是攻击的主要对象。
图10. 2020年9月弱口令攻击趋势图
通过观察2020年9月弱口令攻击态势发现,RDP弱口令和MySQL弱口令攻击 在本月的攻击态势整体无较大波动。MSSQL在本月有一次上涨。
图11. 2020年9月弱口令攻击态势图
MSSQL投毒拦截态势和以往几个月一样有一定的波动,但并无较大幅度的上涨或者下跌。
图12. 2020年MSSQL投毒拦截态势图
勒索病毒关键词
以下是本月新上榜活跃勒索病毒统计,数据来自360勒索病毒搜索引擎。
· eking:属于phobos勒索病毒家族,由于被加密文件后缀会被修改为devos而成为关键词。该勒索病毒主要通过暴力破解远程桌面密码,获取密码后手动投毒传播。
· devos:同eking。
· C1H:属于GlobeImposter勒索病毒家族,由于被加密文件后缀会被修改为C1H而成为关键词。该勒索病毒主要通过暴力破解远程桌面密码,获取密码后手动投毒传播。
· C4H:同C1H。
· Lockbit:属于LockBit勒索病毒家族,该勒索病毒主要通过暴力破解远程桌面密码,获取密码后手动投毒传播。
· globeimposter-alpha865qqz:同C1H。
· eight:同eking。
· globeimposter:同C1H。
· blm:属于Crysis勒索病毒家族。由于被加密文件后缀会被修改为pgp而成为关键词。该勒索病毒主要通过暴力破解远程桌面密码,获取密码后手动投毒传播。
· montana:属于LeakThemAll勒索病毒家族,由于被加密文件后缀会被修改为montana而成为关键词。该勒索病毒主要通过暴力破解远程桌面密码,获取密码后手动投毒进行传播。并且会窃取用户重要数据作为索要赎金的重要筹码,若用户不支付赎金将在公布用户数据。
图13. 2020年09月关键词搜索TOP10
解密大师
从解密大师本月解密数据看,解密量最大的仍是GandCrab,其次是Stop。使用解密大师解密文件的用户数量最高的仍是Stop家族的中招设备,其次则是Crysis家族的中招设备。
图14. 2020年解密大师解密情况图
总结
针对服务器的勒索病毒攻击依然是当下勒索病毒的一个主要方向,企业需要加强自身的信息安全管理能力——尤其是弱口令、漏洞、文件共享和远程桌面的管理,以应对勒索病毒的威胁,在此我们给各位管理员一些建议:
发现中勒索病毒后的正确处理流程:1.发现中毒机器应立即关闭其网络和该计算机。关闭网络能阻止勒索病毒在内网横向传播,关闭计算机能及时阻止勒索病毒继续加密文件。2.联系安全厂商,对内部网络进行排查处理。3.公司内部所有机器口令均应更换,你无法确定黑客掌握了内部多少机器的口令。
后续安全防护建议:
1. 多台机器,不要使用相同的账号和口令
2. 登录口令要有足够的长度和复杂性,并定期更换登录口令
3. 重要资料的共享文件夹应设置访问权限控制,并进行定期备份
4. 定期检测系统和软件中的安全漏洞,及时打上补丁。
5. 定期到服务器检查是否存在异常。查看范围包括:
(1) 是否有新增账户
(2) Guest是否被启用
(3) Windows系统日志是否存在异常
(4) 杀毒软件是否存在异常拦截情况
6. 安装安全防护软件,并确保其正常运行。
7. 从正规渠道下载安装软件。
8. 对不熟悉的软件,如果已经被杀毒软件拦截查杀,不要添加信任继续运行。
此外,无论是企业受害者还是个人受害者,都不建议支付赎金。支付赎金不仅变相鼓励了勒索攻击行为,而且解密的过程还可能会带来新的安全风险。
常见的勒索病毒,很多只加密文件头部数据,对于某些类型的文件(如数据库文件),可以尝试通过数据修复手段来挽回部分损失。如果不得不支付赎金的话,可以尝试和黑客协商来降低赎金价格,同时在协商过程中要避免暴露自己真实身份信息和紧急程度,以免黑客漫天要价。由于第三方均是通过联系黑客购买密钥解密文件,所以尽量避免咨询太多第三方(咨询太多第三方相当于咨询多次黑客,会导致黑客涨价。)
京公网安备 11000002000006号