2018年8月国内勒索病毒疫情分析

360主动防御

前言
勒索病毒给企业和个人的数据安全带来了严重的威胁，360互联网安全中心针对勒索病毒进行了多方位的监控以及防御。从反馈数据看本月勒索病毒的反馈情况有小幅上涨，同时防爆破功能的拦截次数也有持续上升，单日最高拦截次数达到600多万次,比上个月单日攻击最高次数高出了200多万。

感染数据分析
        通过对今年的勒索病毒感染数据进行统计发现，在7月到8月被感染的用户有微弱的上升趋势。这和最近一个月新出现在国内的勒索病毒KEYPASS家族，ACCDFISA家族，ONI家族等有着一定的关系，同时在8月中下旬GlobeImposter的感染量也有显著上升。

图1. 2018年被感染机器反馈数据统计

从8月份的反馈数据来看，利用软件漏洞和系统漏洞进行传播的勒索病毒有大幅度减少。而通过攻击开启远程桌面协议(rdp)的服务器进行传播的方式仍是黑客们的首选。攻击远程桌面协议，主要是利用了服务器管理员的疏忽心理，对服务器账户设置了弱口令，本意是方便自己登陆服务器，但同时也给黑客留下了攻击的快速通道。

图2. 8月份勒索病毒家族占比

经过对8月份数据的分析，在8月中旬和下旬，勒索病毒感染量出现两次较大的涨幅是由于GlobeImposter家族的爆发导致。

图3. 8月份服务器勒索病毒感染趋势

针对被感染系统进行分析，Windows7系统的感染量仍是占比最大。

图4. 8月份被感染系统统计图

但是通过对7月份被感染系统和8月份被感染系统进行对比，会发现在8月被感染的系统中，服务器系统从7月份的10%增长到了22%。服务器系统被攻陷往往代表着企业内部还有很多机器会被受到威胁。其中首当其冲的就是企业内部开启了共享文件夹并且没有设置适当的权限管理。其次就是内网中开启了远程桌面协议的机器。服务器的安全至关重要，服务器被感染占比的上升意味着企业面临的勒索病毒风险更加高涨。

  

图5. 7月、8月份被感染系统对比对

勒索病毒最新情报
主流的两个勒索病毒家族仍是GlobeImposter家族和Crysis家族。这两个家族这个月都有出现新后缀的变种（Crysis-cmb,Crysis-COMBO,GlobeImposter-NACRO,GlobeImposter-0x444），但是功能上进行分析，这两个家族的样本并没有增加任何新的功能。以下是仍在被两个家族使用的后缀以及新变种的后缀。

表1. Crysisi,GlobeImposter两大家族后缀

在对GandCrab勒索病毒家族进行跟踪时我们发现，这个勒索病毒家族是目前主流勒索病毒中，传播方式最多的一个家族。该勒索病毒利用多种方式进行传播。
A.发送钓鱼邮件，诱导用户打开附件。使用文件名类似Payment #72985
B.攻击开启远程桌面协议的电脑，尝试获取用户机器密码。手动投毒 到用户机器
C.利用RIG EK以及GrandSoft EK两款漏洞利用工具包进行传播
D.伪装成破解软件诱惑用户下载文件并运行


以下是本月360安全卫士检测到的GandCrab家族传播趋势变化图。

图6.GandCrab家族传播趋势图

在本月收到的反馈案例中，出现多个访问伪造的破解软件下载页面被感染的情况，用户通常是下载“破解软件”后先退出了杀毒软件后运行该“破解软件”，造成本地大量文件被加密。以下是其中一个“破解软件”下载页面。

图7.GandCrab伪造成破解软件的下载页面

在上个月韩国某安全公司公开发布了GandCrab的密钥后，遭到来自GandCrab勒索病毒制作者的攻击。从v4.2版本开始加入了对该公司的反病毒软件进行拒绝式服务攻击代码，致使该反病毒软件崩溃或者导致系统系崩溃蓝屏。

图8.GandCrab攻击某反病毒软件代码

在8月份360安全人员发现一款新的勒索病毒-KEYPASS，通过伪装成Windows激活工具进行传播。该勒索病毒独具一格的是自身带有一个隐藏功能，在运行勒索病毒后可以通过按F8来激活隐藏功能。该隐藏功能支持勒索病毒传播者制作属于自己的加密程序。可以通过界面修改如下内容:
1.加密文件的Key
2.勒索信息提示文件名
3.勒索提示信息
4.用户个人id
5.添加的文件后缀
6.加密时跳过的文件夹

图9.KEYPASS设置界面

Jigsaw是一款公开在黑市上售卖的勒索软件，又被称为“拼图游戏”。该勒索病毒家族可以说是变种最多的勒索病毒之一，在本月发现该勒索病毒家族出现中文版本，虽然目前还在测试状态。该中文版本勒索病毒伪装成外{过}{滤}挂，诱惑用户进行下载。不过该勒索病毒是由.NET语言编写，只有在有.NET环境下才能运行起来。这种伪装成外{过}{滤}挂的勒索病毒之前还有Xiaoba(一款由国内人制作并进行传播的勒索病毒，该勒索病毒通过不断模仿成熟勒索病毒来不断完善自己的加密方式以及赎金支付。)

图10.伪装成外{过}{滤}挂运行图

图11.中文版Jigsa勒索页面

黑客信息
        以下是8月份以来黑客在使用的勒索病毒联系邮箱(列举了部分常见邮箱)：

表2.黑客邮箱

防护数据
        结合前面的被感染系统进行分析，被攻击的服务器系统占比达13%，但是在被感染的系统中，服务器系统占比高达22%，被攻击占比相对较少但是被感染占比相对较高，国内的服务器安全维护还需提高，特别是对开启远程桌面协议的服务器的管理。

图12.8月份被攻击系统分布图

以下是根据8月份被攻击ip采样制作的被攻击地域分布图，从地图中可以看出，黑客攻击主要还是信息产业发达的一些地区，这一点和其它计算机病毒木马的感染情况类似。

图13. 8月份被攻击地区分布图

根据对360防护中心数据进行分析发现，在RDP,MYSQL,MSSQL三种弱口令攻击方式中在，黑客更喜欢攻击远程桌面协议(RDP弱口令)。

图14. 弱口令拦截趋势图

总结
针对服务器的勒索病毒攻击已经成为当下勒索病毒的一个主要方向，企业也需要加强自身的信息安全管理能力，尤其是弱口令，漏洞，文件共享和远程桌面的管理，以应对勒索病毒威胁，在此我们给各位管理员一些建议：
一、多台机器，不要使用相同的账号和口令。
二、登录口令要有足够的长度和复杂性，并定期更换登录口令。
三、重要资料的共享文件夹应设置访问权限控制，并进行定期备份。
四、定期检测系统和软件中的安全漏洞，及时打上补丁

money123123

哎，一个个人电脑都中勒索了