隨著勒索病毒的蔓延,給企業和個人都帶來了嚴重的威脅,360安全大腦針對勒索病毒進行了全方位的監控與防御。從本月的數據來看,反勒索服務的反饋量有小幅度下降,但其中新增的Paradise勒索病毒反饋較大,需要格外注意防范。
360解密大師在本月新增了對PewCrypt、CRYPTED!以及ChinaYunLong三款勒索病毒的解密。
感染數據分析
通過對2019年3月勒索病毒的反饋數據統計看,本月的反饋相對于2019年2月有小幅度的下降。本月勒索病毒整體相對比較平靜,無新增的大規模傳播渠道。
圖1. 近12個月勒索病毒反饋統計
反饋趨勢看,本月有三次反饋高峰。其中在月初出現過兩次,主要原因有兩點:一是Satan勒索病毒在3月初更新了其勒索病毒版本;二是在3月初掛馬網站傳播GandCrab勒索病毒的情況仍然比較突出。在3月21日出現第三次反饋高峰,主要是因為兩款新勒索病毒Paradise和immortallock開始在國內傳播。
圖2. 2019年3月勒索病毒反饋趨勢
對本月勒索病毒家族占比進行分析發現,GandCrab勒索病毒家族仍是所有勒索病毒家族中占比最高的——達到38.06%,不過與2月份相比下降了8.5%。其次是占比25.81%的GlobeImposter勒索病毒家族和占比16.13%的Crysis勒索病毒家族。此外,值的一提的是:在本月下旬新出現的勒索病毒Paradise的占比(7.74%)直接就躍居到了第四位。
圖3. 2019年3月勒索病毒反饋分布圖
從感染系統的占比看,本月占比居前三的仍是Windows 7、Windows Server 2008和Windows 10。其中Windows 7系統以占比49.71%在所有系統版本中居首位,但相較于上個月的54.92%,仍屬于下降的態勢。
圖4. 2019年3月份被感染系統占比圖
對比2019年2月和2019年3月被感染系統情況,發現這兩月被感染系統中個人系統占比和服務器系統占比相對穩定,變化不是很大。
圖5. 2019年2月與2019年3月被感染系統類型對比圖
勒索病毒疫情
GandCrab勒索病毒
本月位居首位的GandCrab勒索病毒,其主要傳播方式仍然是下面三種:
1. 排第一的是通過掛馬網站傳播
2. 其次是通過爆破遠程桌面,之后手動投毒
3. 最后是通過發送釣魚郵件,誘導用戶下載并運行帶有勒索病毒的郵件附件從而感染用戶系統。
其中,網站掛馬主要是使用了在暗網上公開售賣的Fallout Exploit Kit漏洞利用工具進行攻擊。360安全大腦對其進行監控發現,GandCrab的攔截量在本月3月17日曾大幅度上漲。但并未實質性的造成大規模感染疫情。
圖6. GandCrab通過漏洞進行傳播態勢圖
Satan勒索病毒
Satan勒索病毒在3月進行過多次更新,在3月1日,攻擊者曾大幅提高其攻擊量來傳播其最新變種。360解密大師也對其最新變種(后綴為evopro)進行了解密支持。后續,該勒索病毒作者還新增了appro和satan_pro后綴,360解密大師也在第一時間進行了跟進支持。
圖7. Satan勒索病毒傳播態勢
Paradise勒索病毒
在本月,Paradise勒索病毒是新增勒索病毒中感染量最高的一款(該病毒曾在2018年短暫出現過,當時主要通過爆破遠程桌面口令,之后手動投毒傳播)。勒索提示信息方面,該勒索病毒生成的勒索提示信息以及被加密的文件名格式都是模仿的Crysis勒索病毒;而傳播渠道方面則模仿了GandCrab勒索病毒的渠道,通過在暗網上購買Fallout Exploit Kit漏洞工具進行傳播;在僅在本月該勒索病毒就出現了四個變種(修改后綴為.exploit、. p3rf0rm4、 .paradise、.pro)。按照當前的變種速度和傳播手段預估,在未來的幾個月,Paradise勒索病毒可能會成為增長最快的勒索病毒之一。
圖8. Paradise勒索病毒提示信息
CRYPTED!勒索病毒
3月27日,360安全大腦監測到有黑客通過虛假種子資源傳播一種新的勒索病毒“CRYPTED!”并勒索0.1比特幣贖金。在攻擊中,黑客利用最新的WinRAR遠程代碼執行漏洞CVE-2018-20250下發勒索病毒,并攻擊了數百臺國內的計算機。
圖9. CRYPTED!勒索病毒勒索提示信息
黑客選擇的加密算法是速度較快的TEA加密算法,原始密鑰以資源的形式存儲在勒索病毒中。勒索病毒取出原始密鑰后,原始密鑰會與被加密文件文件名的首個字符進行異或運算后形成每個文件獨有的加密密鑰,對文件內容進行加密。經過360安全大腦分析,該加密算法可以破解,并已在360解密大師中進行了支持,中招用戶可是用360解密大師進行解密。
GlobeImposter勒索病毒
在本月,出現的一款被稱之為“auchentoshan”的“新勒索病毒”,由于反饋中招的用戶較多,引起了廣泛的關注。經過360安全大腦鑒定該勒索病毒為GlobeImposter的一個新變種。此次變種主要更新了勒索提示信息以及后綴。代碼和之前版本的相似度為99%,并沒有做大幅度更改。其傳播方式也仍是通過爆破遠程桌面,拿到口令后手動投毒。用戶也不必太過恐慌,使用復雜的計算機口令,安裝360安全衛士并開啟系統防護功能即可防護。
圖10. GlobeImposter最新變種和老版本代碼相似度圖
黑客信息披露
以下是2019年3月份以來黑客在使用的勒索病毒聯系郵箱:
表1. 黑客聯系郵箱
服務器防護數據分析
通過對2019年2月和2019年3月的數據進行對比分析發現,在本月桌面PC系統被攻擊占比有明顯上升。其中Windows 7 從2019年2月份的72.71%上升到本月的74.59%,Windows 10從2019年2月份的11.32%上升到本月的12.89%。
圖11. 2019年3月被攻擊系統分部圖
以下是對2019年3月被攻擊系統所屬IP采樣制作的地域分布圖,與之前幾個月采集到的數據進行對比,地區排名和占比變化都不大。信息產業發達地區仍是被攻擊的主要對象。
圖12. 2019年3月被攻擊地域分布圖
通過對360安全大腦監控到的弱口令攻擊數據進行統計分析發現,從整體上分析MySQL弱口令攻擊趨勢有較大起伏,MYSQL弱口令攻擊成為黑客目前最為青睞的對象。RDP(遠程桌面)弱口令攻擊趨勢相對來說比較平穩。
圖13. 2019年3月弱口令攻擊趨勢圖
總結
針對服務器的勒索病毒攻擊依然是當下勒索病毒的一個主要方向,企業需要加強自身的信息安全管理能力——尤其是弱口令、漏洞、文件共享和遠程桌面的管理,以應對勒索病毒的威脅,在此我們給各位管理員一些建議:
1. 多臺機器,不要使用相同的賬號和口令
2. 登錄口令要有足夠的長度和復雜性,并定期更換登錄口令
3. 重要資料的共享文件夾應設置訪問權限控制,并進行定期備份
4. 定期檢測系統和軟件中的安全漏洞,及時打上補丁。
5. 定期到服務器檢查是否存在異常。查看范圍包括:
a) 是否有新增賬戶
b) Guest是否被啟用
c) Windows系統日志是否存在異常
d) 殺毒軟件是否存在異常攔截情況
而對于本月又重新崛起的這對個人電腦發起攻擊的勒索病毒,建議廣大用戶:
1. 安裝安全防護軟件,并確保其正常運行。
2. 從正規渠道下載安裝軟件。
3. 對不熟悉的軟件,如果已經被殺毒軟件攔截查殺,不要添加信任繼續運行。
郵件:517059322@qq.com