查看: 1872|回复: 3
收起左侧

[技术原创] 2019年6月勒索病毒疫情分析

[复制链接]
360主动防御
发表于 2019-7-9 17:27:48 | 显示全部楼层 |阅读模式
本帖最后由 360主动防御 于 2019-7-9 17:45 编辑

2019年6月勒索病毒疫情分析
       勒索病毒的蔓延,给企业和个人都带来了严重的安全威胁。360安全大脑针对勒索病毒进行了全方位的监控与防御。从本月的数据来看,反勒索服务的反馈量有小幅度下降,Stop勒索病毒最为活跃,新增多个变种。
       360解密大师在本月新增了对GandCrabV5.2Aurora(后缀为infected)、Stop(对目前已知变种实现了一键解密支持)Nemesis(后缀为e5xjq、YOUR_LAST_CHANCE)、Crypto, fake-GlobeImpsoter(使用类似GlobeImpsoter勒索信息的虚假GlobeImpsoter勒索病毒)六个勒索病毒家族的解密支持。

感染数据分析
         相比上月(五月),本月反勒索服务的反馈量小幅度下降。但是收到多起企业内部集中感染勒索病毒的反馈。例如Aurora勒索病毒导致一家公司10台设备的文件和数据全部被感染,而wesker勒索病毒则让另一家公司内部约200多台电脑的文件全被加密。
1. 12个月勒索病毒反馈形势
         从反馈形势来看:本月初的反馈量较大,而这正是GandCrab宣布退出而Sodinokibi正式接盘的转折期,所以这段时间的反馈主要来自Sodinokibi勒索病毒家族。
2. 6月份勒索病毒反馈形势图

         对本月勒索病毒家族占比分析看: GlobeImposter家族占比28.09%居首位,其次是占比为19.01%Sodinokibi家族以及占比为8.99%的Phobos勒索病毒家族。
3. 20196月勒索病毒家族占比

        从被感染系统占比看:本月占比居前三的仍是Windows 7Windows 10Windows Server 2008,但是各自占比都有大幅度的变化。其中变化最大的Windows 7——5月的47.89%下降到本月的仅有29.47%。
4. 20196月被感染系统占比

        对比2019年5月与6月被感染系统情况,本月服务器系统占比有较大上升。服务器系统占比从19.01%上升到30.53%。本月被攻陷系统中更多的是服务器,这与本月几个活跃的勒索病毒家族的主要传播渠道紧密相关。
5. 20195月和6月被感染系统种类占比对比图

勒索病毒疫情分析
Sodinokibi
        360安全大脑监控数据显示,本月Sodinokibi勒索病毒主要通过垃圾邮件进行传播,伪装成DHL向用户发送繁体中文邮件,提示用户的包裹出现无限期延误,需要用户查看邮件附件中“文档”后进行联络。但实际该压缩包内是伪装成文档的勒索病毒。
6. Sodinokibi传播邮件

         同时我们还监控到,通过漏洞利用、VNC爆破以及其他渠道传播Sodinokibi,则主要集中在5月末,在6月份传播量有较为明显下降。
7. Sodinokibi传播形势图

Tellyouthepass
        本月360安全大脑监控到一款使用Go语言编写的勒索病毒正在攻击国内企业。该勒索病毒的传播者利用“永恒之蓝”漏洞入侵企业中的一台计算机并利用这台计算机作为跳板入侵企业中的其他计算机。在成功加密文件后,向用户索要0.2个比特币做为解密文件的赎金。
8. Tellyouthepass传播流程图

Crypto
        Crypto勒索病毒为本月新出现的勒索病毒,该勒索病毒修改文件后缀为crypto。从受害者提供的日志分析,该勒索病毒目前主要的传播渠道为爆破远程桌面。传播者拿到口令后进行手动投毒。由于该勒索病毒将密钥加密后存放在了本地的勒索提示信息中,360解密大师在第一时间更新了对该勒索病毒的解密支持。
9. Crypto解密图

Nemesis
      经360安全大脑分析,Nemesis被鉴定为和X3m为同一个家族,且使用的加密算法也完全相同。同时在对Nemesis勒索病毒加密程序进行分析时发现,该勒索病毒在加密文件时会释放出一个带有密钥的temp000000.txt。但是在大部分的受害者机器上并找不到这个文件,只能在Windows系统中的Recnet目录下看到一个temp00000.txt的lnk文件(Recent目录保存了最近使用的文档的快捷方式,方便再次访问)。说明该文件肯定存在过系统中,只是在后期被黑客给删除掉了。建议用户中毒后的第一时间使用数据恢复工具,看是否能够找回temp000000.txt文件。
10. Nemesis被加密文件和勒索提示信息

Stop
       Stop勒索病毒是本月变种最多的勒索病毒,新增多个后缀,例如:besub、mogeraneras、trukelitar、rezuc等等。该勒索病毒的传播一直是通过伪装成激活工具或者破解软件进行传播。被加密文件内容的末尾如果包含下图中圈出的字符串,那么说明中的是Stop勒索病毒,可尝试使用360解密大师进行解密。
11. Stop加密后的标记

黑客信息披露
        以下是2019年6月份以来,黑客在使用的勒索病毒联系邮箱。
wewillhelpyou@qq.com
blellockr@godzym.me
draizex@airmail.cc
cleverhorse@protonmail.com
HulkHoganZTX@protonmail3.com
support@p-security.li
datadecrypt@qq.com
cleverhorse@airmail.cc
drogo@tfwno.gf
Killback@protonmail3.com
2k19sys@p-security.li
Icanhelp@cock.li
scaletto@protonmail.com
welby_sweet@aol.com
veracrypt@foxmail.com
InspectionGuard@cock.li
backdata@qq.com
sprt@keemail.me
lockhelp@qq.com
[size=10.5000pt] 
[size=10.5000pt] 
[size=10.5000pt]

服务器防护数据分析

        通过对2019年4月份和5月份的数据进行对比分析发现,操作系统占比变动不大,在小范围内增减。
12.2019年6月被攻击系统占比

        以下是对2019年6月被攻击 系统所属IP采样制作的地域分部图,与之前几个月采集到的数据进行对比,地区排名和占比变化都不大。信息产业发达地区仍是被攻击的主要对象。
13.2019年6月被攻击地域分部图

        通过对5月和6月弱口令攻击数据进行分析,两月的数据相对较为稳定,未发生大规模弱口令攻击。在6月5号到6月9号之间还曾出现过一次短暂的攻击量下降。
14.20196月弱口令攻击形势

勒索病毒关键词

        该数据来源lesuobingdu.360.cn的搜索统计。(由于WannaCry、AllCry、TeslaCrypt、Satan以及kraken几个家族在过去曾出现过大规模爆发,被一般用户检索次数较多,故在统计中排除了这几个家族的检索情况)
对本月用户搜索勒索病毒关键词进行统计,检索量较大的关键词如下:
l Actin:属于phobos勒索病毒家族的一个变种,由于被加密文件后缀会被修改为actin而成为关键词,该勒索病毒家族主要通过爆破远程桌面,手动投毒传播。
l Supporthelpgood属于GlobeImpsoter勒索病毒家族的一个变种,由于被加密文件后缀会被修改为Supporthelpgood而成为关键词,该勒索病毒家族主要通过爆破远程桌面,手动投毒传播。
l Firex3m:属于X3m勒索病毒家族的一个变种,由于被加密文件后缀会被修改为Firex3m而成为关键词,如果能在系统中找到temp000000.txt文档,可以使用360解密大师进行解密。
l Your_last_chancex3m变种,情况同Firex3m。
l Pig4444:同Supporthelpgood
l cleverhorse@protonmail.com:同actin,不同点在于该关键词为邮箱,是黑客留下用来沟通解密所用。
l Help属于GlobeImpsoter勒索病毒家族的一个变种,情况同supporthelpgood
l 2k19sys:属于Paradise勒索病毒家族的 一个变种,该勒索病毒主要通过挂马网站进行传播。
l drogo@tfwno.gf:属于GUID勒索病毒家族的一个变种,该邮箱为黑客留在受害者本地的勒索提示信息文档中,该勒索病毒家族主要通过爆破远程桌面,手动投毒传播。
l Locked:属于Tellyouthepass勒索病毒家族的一个变种,该勒索病毒主要通过“永恒之蓝”漏洞进行传播。
15.20196月关键词搜索TOP10

360解密大师

        从360解密大师本月的解密统计数据看,本月解密量最大为Plantery,其次是本月最新支持的GandCrab V5.2。同时还发现有大量的GandCrab v5.0.4的解密。
16.20196月解密文件TOP10
总结

       针对服务器的勒索病毒攻击依然是当下勒索病毒的一个主要方向,企业需要加强自身的信息安全管理能力——尤其是弱口令、漏洞、文件共享和远程桌面的管理,以应对勒索病毒的威胁,在此我们给各位管理员一些建议:
1. 多台机器,不要使用相同的账号和口令
2. 登录口令要有足够的长度和复杂性,并定期更换登录口令
3. 重要资料的共享文件夹应设置访问权限控制,并进行定期备份
4. 定期检测系统和软件中的安全漏洞,及时打上补丁。
5. 定期到服务器检查是否存在异常。查看范围包括:
a) 是否有新增账户
b) Guest是否被启用
c) Windows系统日志是否存在异常
d) 杀毒软件是否存在异常拦截情况
      而对于本月又重新崛起的这对个人电脑发起攻击的勒索病毒,建议广大用户:
1. 安装安全防护软件,并确保其正常运行。
2. 从正规渠道下载安装软件。
3. 对不熟悉的软件,如果已经被杀毒软件拦截查杀,不要添加信任继续运行。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
AMD_Ryzen
发表于 2019-7-20 11:34:14 | 显示全部楼层
厉害了
小新爱打小怪兽
发表于 2019-7-19 21:32:57 | 显示全部楼层
360还是厉害
whiterabbit1
发表于 2019-7-19 16:58:33 | 显示全部楼层
牛批
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 22:49 , Processed in 0.137944 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表