首頁 > 安全資訊 > 正文

2020年10月勒索病毒疫情分析

勒索病毒傳播至今,360互聯網安全中心已累計接收到上萬勒索病毒感染求助。勒索病毒的蔓延,給企業和個人都帶來了嚴重的安全威脅。360安全大腦針對勒索病毒進行了全方位的監控與防御。本月新增LeakThemAll、RanzyLocker、TrchandStrat、Pizhon、Bondy、Clay、CCE、BadBoymnb、Nibiru等勒索病毒家族。

本月360解密大師新增解密:

· SantaCrypt勒索病毒家族(修改后綴為.$anta)。

· ThunderX勒索病毒(修改后綴為隨機后綴)。

感染數據分析

分析本月勒索病毒家族占比:phobos家族占比24.79%居首位;其次是占比19.83%的GlobeImposter;Crysis家族以占比13.64%位居第三。十一期間出現的一款新興勒索病毒LeakThemAll直接躋身前十,位列第六名。

圖1. 2020年10月勒索病毒家族占比

從被感染系統分布看,本月位居前三的系統是:Windows 10、Windows 7和Windows Servers 2008。

圖2. 2020年10月被感染系統占比

2020年10月被感染系統中桌面系統和服務器系統占比顯示,受攻擊的主要系統仍是桌面PC系統。

圖3. 2020年10月被感染系統占比

勒索病毒疫情分析

Ryuk勒索病毒

在2020年7月,Ryuk勒索病毒針對企業推出新型勒索病毒Conti,并加入到數據泄露的隊伍中。在本月末,該家族將美國醫療行業作為主要攻擊對象,目前已有UHS醫療服務系統、俄勒岡州Sky Lakes醫療中心以及紐約的St.Lawrence醫療系統等受到了攻擊。疫情期間曾有多個勒索病毒家族先后宣布將避開對醫療行業的攻擊,Ryuk則是第一個在疫情期間公開針對醫療行業進行攻擊的家族。

圖4. Ryuk勒索提示信息

Maze勒索病毒

Maze勒索病毒家族于2019年5月開始出現,并在2019年11月成為首個宣布若受害者不支付贖金將公布竊取到的數據的勒索病毒家族。宣稱公布數據不久之后,其便搭建了"迷宮新聞" 網站,將未支付贖金的用戶的數據上傳到該網址供所有人下載和查看。到目前為止,該網站已公布超180家公司數據。

近期由于"迷宮新聞"網站上的受害者數據在不斷刪除,所以有傳言猜測該勒索病毒將模仿GandCrab的模式關閉該項目。而從該網站2020年11月1日發布的新聞稱:該項目已正式關閉,但不存在其他報道所說的有其運營成員開始轉向運營Egregor勒索病毒。

圖5. "迷宮新聞"網站最新新聞

Thundex勒索病毒

Thundex勒索病在2020年8月首次出現,在本月國內也出現被家族感染的受害者。針對該受害者的日志分析發現該家族在國內的傳播仍通過暴力破解遠程桌面口令成功后手動投毒,這導致受害者公司內部多臺設備出現感染情況。

Thundex勒索病毒的最早版本存在算法漏洞,能被成功解密(該版本解密360解密大師已添加支持),因此該家族在10月中旬發布新版本,并更名為RanzyLocker。此外,該家族的新變種也加入到了數據泄露的隊伍當中。

圖6. RanzyLocker支付頁面

黑客信息披露

以下是本月搜集到的黑客郵箱信息:



表格1. 黑客郵箱

系統安全防護數據分析

通過將2020年10月與9月的數據進行對比發現,本月各個系統占比變化均不大,位居前三的系統仍是Windows 7、Windows 8和Windows 10。

圖7. 2020年10月被弱口令攻擊系統占比

以下是對2020年10月被攻擊系統所屬地域采樣制作的分布圖,與之前幾個月采集到的的數據進行對比,地區排名和占比變化都不大。數字經濟發達地區仍是攻擊的主要對象。

圖8. 2020年10月弱口令攻擊趨勢圖

通過觀察2020年10月弱口令攻擊態勢發現,RDP弱口令和MySql弱口令攻擊在本月的攻擊態勢整體無較大波動。MSSQL在本月整體呈上升趨勢。

圖9. 2020年10月弱口令攻擊態勢圖

從本月MSSQL的投毒態勢和MSSQL的弱口令攻擊態勢分析,本月利用MSSQL的攻擊成上漲態勢。

圖10. 2020年10月MSSQL投毒態勢圖

勒索病毒關鍵詞

以下是本月上榜活躍勒索病毒統計,數據來自360勒索病毒搜索引擎。

· eking:屬于phobos勒索病毒家族,由于被加密文件后綴會被修改為devos而成為關鍵詞。該勒索病毒主要的傳播方式為:通過暴力破解遠程桌面口令成功后手動投毒。

· devos:同eking

· C1H: 屬于GlobeImposter勒索病毒家族,由于被加密文件后綴會被修改為C1H而成為關鍵詞。該勒索病毒主要的傳播方式為:通過暴力破解遠程桌面口令成功后手動投毒。

· C4H:同C1H。

· eight:同eking。

· globeimposter-alpha865qqz:同C1H。

· blm: 屬于Crysis勒索病毒家族。由于被加密文件后綴會被修改為blm而成為關鍵詞。該勒索病毒主要的傳播方式為:通過暴力破解遠程桌面口令成功后手動投毒。

· globeimposter:同C1H。

· lockbit: 屬于LockBit勒索病毒家族,由于被加密文件后綴會被修改為lockbit而成為關鍵詞。該勒索病毒主要的傳播方式為:通過暴力破解遠程桌面口令成功后手動投毒。。

· montana:屬于LeakThemAll勒索病毒家族,由于被加密文件猴崽子會被修改為montana而成為關鍵詞。該勒索病毒主要的傳播方式為:通過暴力破解遠程桌面口令成功后手動投毒。

圖11. 2020年10月關鍵詞搜索TOP10

解密大師

從解密大師本月解密數據看,解密量最大的仍是GandCrab,其次是Stop。使用解密大師解密文件的用戶數量最高的是Crysis家族的中招設備,其次則是Stop家族的中招設備。

圖12. 2020年10月解密大師解密情況

總結

針對服務器的勒索病毒攻擊依然是當下勒索病毒的一個主要方向,企業需要加強自身的信息安全管理能力——尤其是弱口令、漏洞、文件共享和遠程桌面的管理,以應對勒索病毒的威脅,在此我們給各位管理員一些建議:

發現中勒索病毒后的正確處理流程:1.發現中毒機器應立即關閉其網絡和該計算機。關閉網絡能阻止勒索病毒在內網橫向傳播,關閉計算機能及時阻止勒索病毒繼續加密文件。2.聯系安全廠商,對內部網絡進行排查處理。3.公司內部所有機器口令均應更換,你無法確定黑客掌握了內部多少機器的口令。

后續安全防護建議:

1. 多臺機器,不要使用相同的賬號和口令

2. 登錄口令要有足夠的長度和復雜性,并定期更換登錄口令

3. 重要資料的共享文件夾應設置訪問權限控制,并進行定期備份

4. 定期檢測系統和軟件中的安全漏洞,及時打上補丁。

5. 定期到服務器檢查是否存在異常。查看范圍包括:

(1) 是否有新增賬戶

(2) Guest是否被啟用

(3) Windows系統日志是否存在異常

(4) 殺毒軟件是否存在異常攔截情況

6. 安裝安全防護軟件,并確保其正常運行。

7. 從正規渠道下載安裝軟件。

8. 對不熟悉的軟件,如果已經被殺毒軟件攔截查殺,不要添加信任繼續運行。

此外,無論是企業受害者還是個人受害者,都不建議支付贖金。支付贖金不僅變相鼓勵了勒索攻擊行為,而且解密的過程還可能會帶來新的安全風險。

360安全衛士

熱點排行

用戶
反饋
返回
頂部
必威体育下载