2020年10月勒索病毒疫情分析
- 2020-11-09 20:23:52
勒索病毒传播至今,360互联网安全中心已累计接收到上万勒索病毒感染求助。勒索病毒的蔓延,给企业和个人都带来了严重的安全威胁。360安全大脑针对勒索病毒进行了全方位的监控与防御。本月新增LeakThemAll、RanzyLocker、TrchandStrat、Pizhon、Bondy、Clay、CCE、BadBoymnb、Nibiru等勒索病毒家族。
本月360解密大师新增解密:
· SantaCrypt勒索病毒家族(修改后缀为.$anta)。
· ThunderX勒索病毒(修改后缀为随机后缀)。
感染数据分析
分析本月勒索病毒家族占比:phobos家族占比24.79%居首位;其次是占比19.83%的GlobeImposter;Crysis家族以占比13.64%位居第三。十一期间出现的一款新兴勒索病毒LeakThemAll直接跻身前十,位列第六名。
图1. 2020年10月勒索病毒家族占比
从被感染系统分布看,本月位居前三的系统是:Windows 10、Windows 7和Windows Servers 2008。
图2. 2020年10月被感染系统占比
2020年10月被感染系统中桌面系统和服务器系统占比显示,受攻击的主要系统仍是桌面PC系统。
图3. 2020年10月被感染系统占比
勒索病毒疫情分析
Ryuk勒索病毒
在2020年7月,Ryuk勒索病毒针对企业推出新型勒索病毒Conti,并加入到数据泄露的队伍中。在本月末,该家族将美国医疗行业作为主要攻击对象,目前已有UHS医疗服务系统、俄勒冈州Sky Lakes医疗中心以及纽约的St.Lawrence医疗系统等受到了攻击。疫情期间曾有多个勒索病毒家族先后宣布将避开对医疗行业的攻击,Ryuk则是第一个在疫情期间公开针对医疗行业进行攻击的家族。
图4. Ryuk勒索提示信息
Maze勒索病毒
Maze勒索病毒家族于2019年5月开始出现,并在2019年11月成为首个宣布若受害者不支付赎金将公布窃取到的数据的勒索病毒家族。宣称公布数据不久之后,其便搭建了"迷宫新闻" 网站,将未支付赎金的用户的数据上传到该网址供所有人下载和查看。到目前为止,该网站已公布超180家公司数据。
近期由于"迷宫新闻"网站上的受害者数据在不断删除,所以有传言猜测该勒索病毒将模仿GandCrab的模式关闭该项目。而从该网站2020年11月1日发布的新闻称:该项目已正式关闭,但不存在其他报道所说的有其运营成员开始转向运营Egregor勒索病毒。
图5. "迷宫新闻"网站最新新闻
Thundex勒索病毒
Thundex勒索病在2020年8月首次出现,在本月国内也出现被家族感染的受害者。针对该受害者的日志分析发现该家族在国内的传播仍通过暴力破解远程桌面口令成功后手动投毒,这导致受害者公司内部多台设备出现感染情况。
Thundex勒索病毒的最早版本存在算法漏洞,能被成功解密(该版本解密360解密大师已添加支持),因此该家族在10月中旬发布新版本,并更名为RanzyLocker。此外,该家族的新变种也加入到了数据泄露的队伍当中。
图6. RanzyLocker支付页面
黑客信息披露
以下是本月搜集到的黑客邮箱信息:
表格1. 黑客邮箱
系统安全防护数据分析
通过将2020年10月与9月的数据进行对比发现,本月各个系统占比变化均不大,位居前三的系统仍是Windows 7、Windows 8和Windows 10。
图7. 2020年10月被弱口令攻击系统占比
以下是对2020年10月被攻击系统所属地域采样制作的分布图,与之前几个月采集到的的数据进行对比,地区排名和占比变化都不大。数字经济发达地区仍是攻击的主要对象。
图8. 2020年10月弱口令攻击趋势图
通过观察2020年10月弱口令攻击态势发现,RDP弱口令和MySql弱口令攻击在本月的攻击态势整体无较大波动。MSSQL在本月整体呈上升趋势。
图9. 2020年10月弱口令攻击态势图
从本月MSSQL的投毒态势和MSSQL的弱口令攻击态势分析,本月利用MSSQL的攻击成上涨态势。
图10. 2020年10月MSSQL投毒态势图
勒索病毒关键词
以下是本月上榜活跃勒索病毒统计,数据来自360勒索病毒搜索引擎。
· eking:属于phobos勒索病毒家族,由于被加密文件后缀会被修改为devos而成为关键词。该勒索病毒主要的传播方式为:通过暴力破解远程桌面口令成功后手动投毒。
· devos:同eking
· C1H: 属于GlobeImposter勒索病毒家族,由于被加密文件后缀会被修改为C1H而成为关键词。该勒索病毒主要的传播方式为:通过暴力破解远程桌面口令成功后手动投毒。
· C4H:同C1H。
· eight:同eking。
· globeimposter-alpha865qqz:同C1H。
· blm: 属于Crysis勒索病毒家族。由于被加密文件后缀会被修改为blm而成为关键词。该勒索病毒主要的传播方式为:通过暴力破解远程桌面口令成功后手动投毒。
· globeimposter:同C1H。
· lockbit: 属于LockBit勒索病毒家族,由于被加密文件后缀会被修改为lockbit而成为关键词。该勒索病毒主要的传播方式为:通过暴力破解远程桌面口令成功后手动投毒。。
· montana:属于LeakThemAll勒索病毒家族,由于被加密文件猴崽子会被修改为montana而成为关键词。该勒索病毒主要的传播方式为:通过暴力破解远程桌面口令成功后手动投毒。
图11. 2020年10月关键词搜索TOP10
解密大师
从解密大师本月解密数据看,解密量最大的仍是GandCrab,其次是Stop。使用解密大师解密文件的用户数量最高的是Crysis家族的中招设备,其次则是Stop家族的中招设备。
图12. 2020年10月解密大师解密情况
总结
针对服务器的勒索病毒攻击依然是当下勒索病毒的一个主要方向,企业需要加强自身的信息安全管理能力——尤其是弱口令、漏洞、文件共享和远程桌面的管理,以应对勒索病毒的威胁,在此我们给各位管理员一些建议:
发现中勒索病毒后的正确处理流程:1.发现中毒机器应立即关闭其网络和该计算机。关闭网络能阻止勒索病毒在内网横向传播,关闭计算机能及时阻止勒索病毒继续加密文件。2.联系安全厂商,对内部网络进行排查处理。3.公司内部所有机器口令均应更换,你无法确定黑客掌握了内部多少机器的口令。
后续安全防护建议:
1. 多台机器,不要使用相同的账号和口令
2. 登录口令要有足够的长度和复杂性,并定期更换登录口令
3. 重要资料的共享文件夹应设置访问权限控制,并进行定期备份
4. 定期检测系统和软件中的安全漏洞,及时打上补丁。
5. 定期到服务器检查是否存在异常。查看范围包括:
(1) 是否有新增账户
(2) Guest是否被启用
(3) Windows系统日志是否存在异常
(4) 杀毒软件是否存在异常拦截情况
6. 安装安全防护软件,并确保其正常运行。
7. 从正规渠道下载安装软件。
8. 对不熟悉的软件,如果已经被杀毒软件拦截查杀,不要添加信任继续运行。
此外,无论是企业受害者还是个人受害者,都不建议支付赎金。支付赎金不仅变相鼓励了勒索攻击行为,而且解密的过程还可能会带来新的安全风险。