本帖最后由 360主动防御 于 2018-12-11 18:32 编辑
随着勒索病毒的崛起,给企业和个人数据带来了严重的威胁。360互联网安全中心针对勒索病毒进行了多方位的监控与防御,从本月数据来看,针对个人电脑进行传播的勒索病毒广泛传播,受害者众多,勒索病毒正在威胁着普通网民的上网安全。
感染数据分析通过对今年勒索病毒的感染数据进行统计分析,11月的感染量整体成大幅度剧增。主要由于GandCrab勒索病毒和一款名为UNNAMED1989的国产勒索病毒(网称“微信支付勒索病毒”)的广泛传播导致。 图1. 2018年反馈数量统计
对360互联网安全中心监控的数据进行分析,在本月出现两次大规模勒索病毒感染事件: 1. 11月21日开始,GandCrab勒索病毒的V5.0.4版本通过U盘蠕虫方式大量传播;
2. 11月30日,UNNAMED1989勒索病毒由被感染的辅助外{过}{滤}挂程序传播。
对11月勒索病毒家族占比进行分析发现,在本月GandCrab勒索病毒仍居首位,主要由于其新增加了一条传播渠道——通过U盘蠕虫来进行传播。使用者不慎打开了被蠕虫感染的U盘后,当前系统就有可能感染这一病毒。此前的U盘蠕虫常会下发含有窃取游戏账号、银行密码等私密信息功能的恶意程序,但随着最近一段时间恶意软件流行趋势的变化,U盘蠕虫开始下发挖矿木马和勒索病毒。 图3. 11月份勒索病毒反馈分布
从被感染系统占比分析,占比最高的依然是Windows 7系统。 图4. 11月被感染系统统计
通过对10月和11月被感染系统进行分析,发现在11月中,被感染的个人系统占比有很大的增幅,主要原因可能有以下两点: 一、针对服务器做攻击的勒索病毒家族已流行一段时间——例如Crysis家族(2016年10月传播至今)、GlobeImposter家族(2017年11月传播至今)、Satan家族、Hermes家族等——都是将主要传播渠道定位在感染服务器系统上面,近期没有更新新的攻击使用的漏洞,造成可被攻陷的机器量没有大规模增加。
二、个人用户计算机本身基数很大,且有很大一部分机器的安全防护不到位,存在较大的被感染风险。虽然个人用户机器中的数据通常没有服务器中数据的“价值性”高,但是勒索病毒作者也通过降低收费来达到让更多个人中招者付费解密文件,获得更多收益。
勒索病毒最新情报
通过对360互联网安全中心的数据分析发现,在11月19日,GandCrab勒索病毒利用漏洞进行传播达到了高峰期。 图6. 11月份GandCrab通过漏洞攻击趋势图
而在11月21日,通过U盘蠕虫下发GandCrab勒索病毒达到高峰期。下图展示了一个被U盘蠕虫感染的U盘的典型情况: 图7-1. U盘感染蠕虫病毒场景
打开U盘后,发现一个指向U盘的快捷方式,其余文件均被隐藏,U盘中原先文件都被木马隐藏到了一个名为“空格”的文件夹中。如果用户贸然打开这个快捷方式,U盘蠕虫就会被触发执行,其执行过程如下: 图7-2. U盘蠕虫传播GandCrab勒索病毒
360U盘助手可以检测并查杀这类木马,发现U盘异常的用户,切勿打开可疑快捷方式。可安装使用360安全卫士查杀改病毒,找回被隐藏的文件。 图7-3. 360安全卫士查杀U盘蠕虫病毒
本月反馈较多的另一款勒索病毒是一款国产勒索病毒——UNNAMED1989.因该勒索病毒作者提供的支付方式为微信支付,故在网络上又被称为“微信支付勒索病毒”。
该勒索病毒的广泛传播,主要是由于病毒污染了易语言的开发环境,造成开发者在被污染的环境的编译的程序,均会自动被装入了病毒代码。目前证实,有大量的辅助外{过}{滤}挂、刷量软件、打码软件等第三方开发的应用程序已经中招,因此造成更大范围的用户中招。360解密大师在12月2号已发布针对该勒索病毒的解密工具。用户在解密过程中有任何问题,也可联系360互联网安全中心寻求帮助。 图8. unnamed1989支付二维码
此外,从360安全中心监控到的数据发现,11月4日Satan勒索病毒的攻击趋势曾有过一段时间的增加。经过分析发现,该勒索病毒传播者在此次攻击之前新增加了对漏洞S2-057和S2-045的利用(均为Apache Struts2远程代码执行漏洞)。 图9. 11月Satan勒索病毒传播趋势图
在10月到11月期间,Satan勒索病毒传播者有频繁的更新动作。以下是对这段时间Satan勒索病毒更新的一个时间轴图。
每次Satan一更新勒索病毒版本,360解密大师都率先为用户提供解密工具。中招用户可在360安全卫士的功能大全里面搜索360解密大师解密被加密文件。 图10. Satan勒索病毒最新动态 黑客信息
以下是11月份以来黑客在使用的勒索病毒联系邮箱:
| | MOLLYGREENS#PROTONMAIL2.COM | supportfiless24#protonmail2.ch | | | | crypted_bizarrio#pay4me_in | | crypted_miatellog#aol.com | | | | mixon.constantine#aol.com | | | supportdecrypt#firemail.cc | | | | | | | | bitsupportx#protonmail.com | | | | | | | cryptmanager#protonmail.com | | MOLLYGREENS#PROTONMAIL4.COM | | | | online24files#airmail2.cc | |
表1. 黑客邮箱 防护数据
从被攻击系统来分析,被攻击的服务器系统版本中Windows 2003占比最高,其次是Windows 2008,再次是Windows 2012。老版本的一些操作系统已经失去了安全支持,建议用户安装系统时使用更高版本的系统,更新版本的操作系统在总体上的安全性上做的更好一些。 图11. 11月被攻击系统分布
以下是根据11月被攻击ip采样制作的被攻击地域分布图,同之前几个月采集到的进行对比,地区的排名和占比变化都不大。信息产业发达的地区仍是被攻击的主要对象。 图12. 11月被攻击地区分布图
在本月,360互联网安全中心新增加了对部分系统进行smb弱口令攻击的防护。 经过对11月数据分析发现,对于弱口令的攻击在本月整体呈现下降趋势。仅对RDP数据分析就能发现RDP弱口令攻击在10月最高一天攻击次数进700万,在11月最高一天攻击次数只有520万。 图13. 攻击类型趋势图
总结针对服务器的勒索病毒攻击依然是当下勒索病毒的一个主要方向,企业需要加强自身的信息安全管理能力——尤其是弱口令、漏洞、文件共享和远程桌面的管理,以应对勒索病毒的威胁,在此我们给各位管理员一些建议: 1. 多台机器,不要使用相同的账号和口令 2. 登录口令要有足够的长度和复杂性,并定期更换登录口令 3. 重要资料的共享文件夹应设置访问权限控制,并进行定期备份 4. 定期检测系统和软件中的安全漏洞,及时打上补丁。 5. 定期到服务器检查是否存在异常。查看范围包括: a) 是否有新增账户 b) Guest是否被启用 c) windows系统日志是否存在异常 d) 杀毒软件是否存在异常拦截情况 而对于本月又重新崛起的这对个人电脑发起攻击的勒索病毒,建议广大用户: 1. 安装安全防护软件,并确保其正常运行。 2. 从正规渠道下载安装软件。 3. 对不熟悉的软件,如果已经被杀毒软件拦截查杀,不要添加到信任区继续运行。
| 
发表于 2018-12-11 18:31:07
