本帖最后由 360主动防御 于 2018-8-2 11:17 编辑
前言 勒索病毒给企业和个人的数据安全带来了严重的威胁,360互联网安全中心针对勒索病毒进行了多方位的监控和防御。根据我们的反馈数据分析本月勒索病毒的感染情况呈下降趋势,同时防护记录显示,针对服务器的攻击依然活跃,单日的弱口令爆破拦截次数高达400万次。 另外,本月更新的解密大师针对部分版本Satan勒索病毒提供了对应的解密支持。目前已经帮很多之前中招的用户挽回损失,恢复了文件。
感染用户数据 从今年1到7月的反馈数据来看,在4月份之后一直在处于下降状态,360安全卫士针对服务器的防爆破保护产生了明显效果。
图1. 2018年勒索病毒反馈趋势
从7月份的监控数据来看,弱口令攻击依然活跃,但漏洞攻击的情况开始增加,尤其是第三方软件的漏洞攻击,如weblogic的反序列化漏洞被利用这类情况。从本月的感染趋势看,勒索病毒的传播量并不稳定,而是呈现出周期性的波动。这个和它的传播方式有一定的联系,攻击者会集中一段时间发起攻击。
图2. 7月份服务器勒索病毒感染趋势
针对被感染的系统进行分析,Windows 7系统的感染量占比依然是占比最大。
图3.7月份被勒索病毒感染的系统分布
勒索病毒分析 通过对7月份的反勒索服务数据进行统计,主流的勒索病毒家族还是GlobeImposter和Crysis两个家族。而且从本月的数据来看,GlobeImposter的占比已经高于Crysis家族的占比,之前反馈量较多的BTCWare家族在这个月没有新增反馈,同时新出现了关于Scarab家族的反馈。
图4.7月份勒索病毒占比
其中GlobeImposter家族和Crysis家族的手法和勒索病毒程序并没有多大变化,目前仍在使用的后缀如下表格:
表格1.勒索病毒后缀
7月份仍在传播的勒索病毒中值得一提的是Satan家族的勒索病毒,该家族的勒索病毒在6月份开始爆发,在7月下旬的时候就被破解了。解密工具已经添加到了360安全卫士中的文件解密工具中。
下图是用户反馈提供的使用360文件解密工具进行解密的截图:
图5.使用360"文件解密"工具协助用户解密文件
该勒索病毒的传播在7月份中旬的时候传播达到最高点的,单天的拦截量达到800多次,此之后开始下降。
图6.Satan攻击趋势图
另外需要注意的是新出现的Scarab家族。该家族的勒索病毒之前主要在俄罗斯进行传播,但是在7月份开始,国内出现有用户被该家族的勒索病毒感染,导致服务器宕机。
该勒索病毒的早期传播主要是利用Necurs僵尸网络进行传播,后期则使用了弱口令爆破的方式来植入病毒到用户机器。和GlobeImposter类似,该勒索病毒也使用了大量不同的文件后缀。下图是其中的一个变种:
图7.Scarab勒索病毒变种
GandCrab勒索病毒在7月初出现了新的版本——V4.0。并且在一个月内还进行了小版本的迭代更新,截止到本稿编写时,360捕获到的最新版本为V4.2。在更新版本的过程中,GandCrab曾因传播量较大导致有研究人员猜测其加入了SMB横向攻击来进行传播。
但后经核实,该勒索病毒还未加入此类传播手段。在V3.0到V4.0这个大版本的更新中,主要更新点在于对文件的加密算法:该勒索病毒从最开始的使用RSA-2048加密算法变为了使用加密效率更高的Salsa2.0算法。
图8.GandCarb勒索病毒使用salsa算法
虽然国内GandCrab的感染量并不大,但是从360互联网的拦截数据来看,该家族的勒索病毒仍在持续不断进行传播。
图9.GandCrab传播趋势图
攻击数据 以下是7月份以来黑客还在使用的勒索病毒联系邮箱(部分来自用户反馈)
表格2.黑客邮箱
攻击防护数据 从7月份的攻击防护数据来看,被攻击的系统中Windows7占比是最高的,主要原因还是Windows7 的用户基数较大。
图10.防黑加固防护系统攻击分布
以下是根据7月份的攻击防护数据制作的被攻击地域分部图(颜色越深代表攻击量越大)。从地图中可以看出,黑客攻击主要还是高发于经济发达地区和人口稠密地区这两类区域。
图11.被攻击分布图
对攻击数据进行分析发现,美国的IP占据了所有IP的大半部分,以下是攻击IP对应国家的TOP10的饼状图。
图12.攻击IP对应国家和地区TOP10
目前防爆破已经支持对RDP, MySQL, MSSQL的弱口令攻击进行拦截,以下是7月份的拦截数据。
图13.弱口令拦截趋势
从拦截趋势来看,拦截次数在本月主体呈现小幅上升趋势。通过对IP数据和被攻击用户的分析,发现原因是黑客加大了攻击频率,试图更高效的获取用户登录口令导致。
|