本帖最后由 360主动防御 于 2019-9-12 12:02 编辑
2019年08月勒索病毒疫情分析 勒索病毒的蔓延,给企业和个人都带来了严重的安全威胁。360安全大脑针对勒索病毒进行了全方位的监控与防御。从本月数据来看,反勒索服务反馈量有较大幅度的上升,其中Stop勒索病毒为反馈上升最高的一个家族。 360解密大师在8月新增对JsWorm 4.0.3、Nemsis(修改后缀为Wecanhelp)、Planetary(修改后缀为haka)、ECh0raix、Spades五个勒索病毒家族的解密支持。 感染数据分析 相较于7月数据,本月的反勒索服务反馈有大幅度的上升,其中Stop反馈量上升最大。GlobeImposter在本月发布了带简体中文的新变种。Sodinokibi攻击团伙,也开始有针对性的对大陆用户发送钓鱼邮件攻击。模仿Sodinokibi的Nemty新型勒索病毒国内开始出现传播。 
近12个月勒索病毒反馈统计 对本月勒索病毒家族占比分析看:Stop家族以占比36.83%居首位,其次是占比为20.08%的phobos家族,GlobeImposter家族以占比15.44%位居第三。 
2019年8月勒索病毒家族占比 勒索病毒疫情分析 Sodinokibi勒索病毒 360安全大脑监控到,Sodinokibi勒索病毒在8月9日前后出现一次较大规模的钓鱼邮件传播。本次勒索病毒传播者下发的邮件附件开始使用简体中文命名 (此前下发的邮件附件文件名均为繁体字,由此推测该勒索病毒可能开始了一轮针对中国大陆地区的传播)。 
Sodinokibi勒索病毒8月通过邮件传播趋势图 该勒索病毒本月被爆出攻击了德克萨斯22个地方政府,总计要求支付高达250万美元的赎金。同时该勒索病毒在本月还被曝出通过入侵国外的一些WordPress网站,注入JavaScript代码进行钓鱼传播。该攻击方式类似于之前GandCrab伪装字体更新的传播方式,从传播渠道上看,Sodinokibi与GandCrab有着千丝万缕的联系。 Stop 根据360解密大师数据,单针对Stop勒索病毒一种,本月就解密设备超1400台。中招该勒索病毒的机器,大部分是由于从境外下载破解软件或者激活工具导致文件被加密。该勒索病毒传播途径单一,但由于渠道特点,即使被杀毒软件查杀的状态下,仍有大量用户中招。 该勒索病毒在本月进行了一次大的更新,最近更新修改文件后缀为geto、seto、peta等,此次更新主要在加密算法上做了加强。此前是同类型文件一个密钥,现在则是一个文件一个密钥,同时该勒索病毒不再是运行就直接加密文件,而是在下次开机时进行加密。 
开机自启动 
被加密文件 Nemty 360安全大脑监测到本月新增一款勒索病毒Nemty,该病毒主要通过爆破远程桌面后手动投毒进行传播。Nemty勒索病毒生的勒索提示信息和已知的Sodinokib勒索病毒极其的相似。发布论坛公开信息显示,该勒索病毒的制作者正是之前JsWorm勒索病毒的制作者,也采用RaaS模式(全名“Ransomware-as-a-Service”:勒索病毒即服务)。勒索病毒制作者为网络犯罪组织开发勒索病毒,网络犯罪组织负责传播勒索病毒,双方根据合作协议瓜分赎金。该模式已被多个家族所采用,例如知名的GandCrab、Sodinokibi和FilesLokcer等。 
JSWorm作者发文 Ouroboros 360安全大在7月末,就检测到Ouroboros勒索病毒在国内进行传播,8月开始收到多个受害者求助。从监测数据来看,该勒索病毒目前主要通过投放垃圾邮件进行传播。该勒索病毒家族变种目前大部分均使用Lazarus后缀(前期还有limbo等后缀),联系邮箱有多个。 
被Ouroboros加密的文件 有趣的是该勒索病毒在加密文件前会和www.sfml-dev.org建立连接,如果不能建立连接就会使用硬编码在程序中的密钥来加密文件,如果能建立连接就会向发服务器发送在本地生成的ID,服务器根据该ID生成一个密钥来加密文件。 
Ouroboros的内置密钥 GlobeImposter GlobeImposter勒索病毒在本月进行了一次更新。此次更新主要在勒索提示信息上做了一些改动,针对中国用户新增简体中文提示,同时在每个文件夹下生成的勒索提示信息均改为可执行程序不再是txt文档。后缀由之前“十二主神”+666变为“十二主神”+865.例如最新后缀:Aphrodite865、Hermes865、artemis865、Hades865、Apollon865等。(国外有安全研究机构将近期的GlobeImposter变种称为Maoloa家族,二者使用了相同的勒索信息,解密手段上也比较接近,国内统一称为GlobeImposter家族)。 
GlobeImposter勒索提示信息 黑客邮箱披露 以下是2019年8月被360勒索病毒搜索引擎收录的黑客邮箱: 
服务器防护数据分析 通过与上月数据对比分析,本月的操作系统占比无较大波动。 
2019年8月被攻击系统占比 以下是对2019年8月被攻击系统所属IP采样制作的地域分部图,与之前几个月采集到的数据进行对比,地区排名和占比变化都不大。数字经济发达地区仍是被攻击的主要对象。 
被攻击地域分布图 通过与上月数据对比,最近两月数据相对稳定,口令爆破攻击趋势平稳。 
2019年8月弱口令攻击趋势图 勒索病毒关键词 该数据源自lesuobingdu.360.cn的搜索统计。(不包括WannaCry、AllCry、TeslaCrypt、Satan以及kraken几个家族) 对本月用户搜索勒索病毒关键词进行统计,共计检索2.5万次。以下是本月TOP10搜索关键词: l GandCrabV5.2:属于GandCrab勒索病毒家族的一个版本,该勒索病毒于2019年6月1号宣布停止更新,360解密大师在当月发布解密工具。由于感染量众多,一直属于热门搜索,目前在“最新可解密勒索病毒”列表中。 l Wecanhelp:属于Nemesis(同属X3m)勒索病毒家族的一个变种,由于被加密文件后缀会被修改为wecanhelp而成为关键词。该勒索病毒家族主要通过爆破远程桌面,成功后手动投毒传播。中毒用户可参考自救指南(https://bbs.360.cn/thread-15780698-1-1.html)查找存有密钥的temp000000.txt文档尝试解密文件。 l x3m:属于X3m勒索病毒,该勒索病毒在6月份开始出现,最新流行变种被称为Nemesis。目前上榜“最新可解密勒索病毒”列表。 l help989:属于GlobeImposter家族,由于被加密文件后缀会被修改为help989而成为关键词。该勒索病毒家族主要通过爆破远程桌面,成功后手动投毒传播。GlobeImposter变种频繁,版本众多,但是该后缀变种在最近两月都处于一个较高流行度。 l JsWorm:属于JsWorm勒索病毒,360解密大师在本月已支持该家族最新版本4.0.3的解密。目前上榜“最新可解密勒索病毒”列表。 l Pisca:属于phobos家族,由于被加密文件后缀会被修改为pisca而成为关键词。该勒索病毒家族主要通过爆破远程桌面,成功后手动投毒传播。 l Adage:属于phobos家族,同Pisca。 l diller13:属于GlobeImposter家族,同help989 l panindogliker@protonmail.com: 属于phobos家族,由于被加密文件中含有该邮箱而成为关键词。该勒索病毒家族主要通过爆破远程桌面,成功后手动投毒传播。 l bitcoin1@foxmail.com:同panindogliker@protonmail.com 
2019年8月勒索病毒搜索关键词TOP10 360解密大师 从解密大师本月的解密统计数据看,本月解密量最大的仍是GandCrab勒索病毒,其次是Planetary家族;其中使用解密大师解密文件的用户数最高的仍是Stop家族。其次是GandCrab家族,由于在国内有过长期传播,解密量一直居高不下。 
2019年8月解密大师解密情况 总结 针对服务器的勒索病毒攻击依然是当下勒索病毒的一个主要方向,企业需要加强自身的信息安全管理能力——尤其是弱口令、漏洞、文件共享和远程桌面的管理,以应对勒索病毒的威胁,在此我们给各位管理员一些建议: 1. 多台机器,不要使用相同的账号和口令 2. 登录口令要有足够的长度和复杂性,并定期更换登录口令 3. 重要资料的共享文件夹应设置访问权限控制,并进行定期备份 4. 定期检测系统和软件中的安全漏洞,及时打上补丁。 5. 定期到服务器检查是否存在异常。查看范围包括: a) 是否有新增账户 b) Guest是否被启用 c) Windows系统日志是否存在异常 d) 杀毒软件是否存在异常拦截情况 而对于本月又重新崛起的这对个人电脑发起攻击的勒索病毒,建议广大用户: 1. 安装安全防护软件,并确保其正常运行。 2. 从正规渠道下载安装软件。 3. 慎用各种激活工具。 4. 对不熟悉的软件,如果已经被杀毒软件拦截查杀,不要添加信任继续运行。
5. 遇到陌生人发送的邮件,要谨慎查看,尽量避免下载附件。如需要下载,也要先用安全软件对附件进行检查。 | 
发表于 2019-9-12 12:02:56
