查看: 2148|回复: 5
收起左侧

[资讯] 360安全卫士7月勒索病毒疫情分析

[复制链接]
360主动防御
发表于 2018-8-2 11:16:08 | 显示全部楼层 |阅读模式
本帖最后由 360主动防御 于 2018-8-2 11:17 编辑

前言
勒索病毒给企业和个人的数据安全带来了严重的威胁,360互联网安全中心针对勒索病毒进行了多方位的监控和防御。根据我们的反馈数据分析本月勒索病毒的感染情况呈下降趋势,同时防护记录显示,针对服务器的攻击依然活跃,单日的弱口令爆破拦截次数高达400万次。
另外,本月更新的解密大师针对部分版本Satan勒索病毒提供了对应的解密支持。目前已经帮很多之前中招的用户挽回损失,恢复了文件。

感染用户数据
从今年1到7月的反馈数据来看,在4月份之后一直在处于下降状态,360安全卫士针对服务器的防爆破保护产生了明显效果。

图1. 2018年勒索病毒反馈趋势

从7月份的监控数据来看,弱口令攻击依然活跃,但漏洞攻击的情况开始增加,尤其是第三方软件的漏洞攻击,如weblogic的反序列化漏洞被利用这类情况。从本月的感染趋势看,勒索病毒的传播量并不稳定,而是呈现出周期性的波动。这个和它的传播方式有一定的联系,攻击者会集中一段时间发起攻击。

图2. 7月份服务器勒索病毒感染趋势

针对被感染的系统进行分析,Windows 7系统的感染量占比依然是占比最大。

图3.7月份被勒索病毒感染的系统分布


勒索病毒分析
通过对7月份的反勒索服务数据进行统计,主流的勒索病毒家族还是GlobeImposter和Crysis两个家族。而且从本月的数据来看,GlobeImposter的占比已经高于Crysis家族的占比,之前反馈量较多的BTCWare家族在这个月没有新增反馈,同时新出现了关于Scarab家族的反馈。

图4.7月份勒索病毒占比

其中GlobeImposter家族和Crysis家族的手法和勒索病毒程序并没有多大变化,目前仍在使用的后缀如下表格:

表格1.勒索病毒后缀

7月份仍在传播的勒索病毒中值得一提的是Satan家族的勒索病毒,该家族的勒索病毒在6月份开始爆发,在7月下旬的时候就被破解了。解密工具已经添加到了360安全卫士中的文件解密工具中。

下图是用户反馈提供的使用360文件解密工具进行解密的截图:

图5.使用360"文件解密"工具协助用户解密文件

该勒索病毒的传播在7月份中旬的时候传播达到最高点的,单天的拦截量达到800多次,此之后开始下降。

图6.Satan攻击趋势图

另外需要注意的是新出现的Scarab家族。该家族的勒索病毒之前主要在俄罗斯进行传播,但是在7月份开始,国内出现有用户被该家族的勒索病毒感染,导致服务器宕机。

该勒索病毒的早期传播主要是利用Necurs僵尸网络进行传播,后期则使用了弱口令爆破的方式来植入病毒到用户机器。和GlobeImposter类似,该勒索病毒也使用了大量不同的文件后缀。下图是其中的一个变种:

图7.Scarab勒索病毒变种

GandCrab勒索病毒在7月初出现了新的版本——V4.0。并且在一个月内还进行了小版本的迭代更新,截止到本稿编写时,360捕获到的最新版本为V4.2。在更新版本的过程中,GandCrab曾因传播量较大导致有研究人员猜测其加入了SMB横向攻击来进行传播。

但后经核实,该勒索病毒还未加入此类传播手段。在V3.0到V4.0这个大版本的更新中,主要更新点在于对文件的加密算法:该勒索病毒从最开始的使用RSA-2048加密算法变为了使用加密效率更高的Salsa2.0算法。

图8.GandCarb勒索病毒使用salsa算法

虽然国内GandCrab的感染量并不大,但是从360互联网的拦截数据来看,该家族的勒索病毒仍在持续不断进行传播。

图9.GandCrab传播趋势图

攻击数据
以下是7月份以来黑客还在使用的勒索病毒联系邮箱(部分来自用户反馈)

表格2.黑客邮箱


攻击防护数据
从7月份的攻击防护数据来看,被攻击的系统中Windows7占比是最高的,主要原因还是Windows7 的用户基数较大。

图10.防黑加固防护系统攻击分布

以下是根据7月份的攻击防护数据制作的被攻击地域分部图(颜色越深代表攻击量越大)。从地图中可以看出,黑客攻击主要还是高发于经济发达地区和人口稠密地区这两类区域。

图11.被攻击分布图

对攻击数据进行分析发现,美国的IP占据了所有IP的大半部分,以下是攻击IP对应国家的TOP10的饼状图。

图12.攻击IP对应国家和地区TOP10

目前防爆破已经支持对RDP, MySQL, MSSQL的弱口令攻击进行拦截,以下是7月份的拦截数据。

图13.弱口令拦截趋势


从拦截趋势来看,拦截次数在本月主体呈现小幅上升趋势。通过对IP数据和被攻击用户的分析,发现原因是黑客加大了攻击频率,试图更高效的获取用户登录口令导致。

嶝鄇
发表于 2018-8-2 12:34:13 | 显示全部楼层
卫士啥时候出12.0版本噢
360主动防御
 楼主| 发表于 2018-8-2 14:17:40 | 显示全部楼层
嶝鄇 发表于 2018-8-2 12:34
卫士啥时候出12.0版本噢

很快了
嶝鄇
发表于 2018-8-2 15:27:18 | 显示全部楼层

好的 十分期待!
桑德尔
头像被屏蔽
发表于 2018-8-2 15:55:24 | 显示全部楼层

终于从官方口中听到12的消息了,能不能先透露一下更新内容?不会是日常刷UI和版本号吧
Jerry.Lin
发表于 2018-8-2 20:05:19 | 显示全部楼层

12.0的主防组件大概在新版本出多久后会同步到杀毒(360hips.exe)
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 04:03 , Processed in 0.124416 second(s), 16 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表