勒索病毒的蔓延,給企業和個人都帶來了嚴重的安全威脅。360安全大腦針對勒索病毒進行了全方位的監控與防禦。從本月資料來看,反勒索服務反饋量有小幅度上升,其中Stop是反饋量上升最大的一個家族。
360解密大師在本月新增了對LoopCipher勒索病毒家族的解密支援。
感染資料分析
相較於六月資料,本月反勒索服務的反饋量有小幅度的上升,其中以Stop的反饋量上升最大。同時在本月反饋中,勒索病毒的型別也是最為豐富的一次,共出現了29個不同家族勒索病毒。
圖1.近12個月勒索病毒反饋統計
對本月勒索病毒家族佔比分析看:GlobeImposter家族佔比21.21%居首位, phobos和Stop兩個家族則以14.20%和13.65%的佔比分列二三位。
圖2.2019年7月勒索病毒家族佔比
從被感染系統佔比看:本月佔比居前三的仍是Windows7、Windows10和Windows Server 2008,但是各自佔比都有大幅度的變化。其中變化最大的Windows 7從6月的29.47%躍升到本月的56.45%。
圖3.2019年7月被感染系統佔比
對比2019年6月與7月被感染系統情況,本月個人系統佔比有較大上升。個人系統從69%上升至本月的86%。這與本月Stop、Sodinokibi兩個勒索病毒家族的異常活躍緊密相關。
圖4.2019年6月和7月被感染系統佔比對比圖
勒索病毒疫情分析
· Stop
本月Stop勒索病毒家族新增format、bopador、masok、cosakos、lotej、prandel、 zatrov、brusaf等字尾。中毒使用者幾乎都是從國外網站下載啟用工具、破解軟體導致大量檔案被加密。雖然國內反饋量很大,但是相對於國外,量會小很多。
由於Stop本身的可定製化,傳播者可以根據自己的喜好去設定被加密檔案字尾、設定加密檔案時使用的金鑰,導致其變種非常多——迄今為已有100多種。為應對不同變種不斷更新離線key的情況,360解密大師還提供了無需更新離線key的解密方案:使用者可以通過提供一對檔案(加密後的檔案和加密前的原始檔案)在使用者本地進行金鑰碰撞運算,以此來解密檔案。
圖5.解密大師解密Stop勒索病毒
· Sodinokibi
360安全大腦監控到,Sodinokibi勒索病毒在7月21號,有一次較大規模的釣魚郵件傳播。勒索病毒傳播者冒充DHL(告知使用者快遞被無限期延遲,具體原因檢視附件)、網警(告知使用者使用過的圖片造成侵權將受到罰款,具體情況檢視附件)向使用者傳送垃圾郵件,誘惑使用者下載執行郵件附件從而加密。這次攻擊事件,也造成很多計算機被攻擊中招。
圖6.Sodinokibi通過郵件傳播趨勢圖
· Ech0Raix
本月中旬,一款名為Ech0Raix的勒索病毒開始針對國內進行傳播,主要攻擊目標為NAS伺服器,國內群輝(Synology)和威聯通(QNAP)等主流NAS裝置都有中招反饋。該勒索病毒加密檔案後修改檔案字尾為encrypt,並向受害者索要0.06個比特幣。
圖7.被Ech0Raxi加密的檔案
通過對中招伺服器分析發現,伺服器上存在大量的遠端桌面口令爆破記錄和SSH口令爆破記錄,並且在檔案被加密前有通過遠端桌面成功登入伺服器記錄。經過360分析人員的進一步分析發現該勒索病毒傳播是先通過爆破拿到遠端桌面密碼,登入到系統後在本地建立計劃任務,通過計劃任務去下載執行勒索病毒,實現對使用者本地檔案的加密。
圖8.黑客建立刪除計劃任務
黑客資訊披露
以下是2019年7月份以來,黑客在使用的勒索病毒聯絡郵箱。
表格1.黑客郵箱
伺服器防護資料分析
通過對2019年6月和7月的資料進行對比分析發現,作業系統佔比變動不大,在小範圍內浮動。
圖9.2019年7月被弱口令攻擊系統佔比
以下是對2019年7月被攻擊系統所屬IP取樣製作的地域分部圖,與之前幾個月採集到的資料進行對比,地區排名和佔比變化都不大。數字經濟發達地區仍是被攻擊的主要物件。
圖10.被攻擊地域分部圖
通過對6月和7月的弱口令攻擊資料資料進行分析,兩月的資料相對比較穩定,未發現大規模弱口令攻擊。
圖11.2019年7月弱口令攻擊趨勢圖
勒索病毒關鍵詞
該資料來源lesuobingdu.360.cn的搜尋統計。(由於WannaCry、AllCry、TeslaCrypt、Satan以及kraken幾個家族在過去曾出現過較大規模傳播,之前的搜尋量較高,長期停留在推薦欄裡,對結果有一定影響,故在統計中去除了這幾個家族的資料。)
對本月使用者搜尋勒索病毒關鍵詞進行統計,檢索量較大的關鍵詞如下:
Help989:屬於GlobeImposter家族的一個變種,由於被加密檔案字尾會被修改為Help989而成為關鍵詞,該勒索病毒家族主要通過爆破遠端桌面,手動投毒傳播。
Your_last_chance:屬於Nemesis家族的一個變種,由於被加密檔案字尾會被修改為Your_last_chance而成為關鍵詞,該勒索病毒家族主要通過爆破遠端桌面,手動投毒傳播。
Actin:屬於phobos家族的一個變種,由於被加密檔案字尾會被修改為Actin而成為關鍵詞,該勒索病毒家族主要通過爆破遠端桌面,手動投毒傳播。
Jsworm4.0.1:屬於Jsworm家族,該勒索病毒主要通過垃圾郵件進行傳播,國內也出現通過爆破遠端桌面後通過手動投毒進行傳播。
Supporhelpgood:同Help989。
Adage:同Actin。
Firex3m:同Your_last_chance。
Diller13:同Actin。
Pig4444:同Help989
Sin_easter.666@aol.com: 同Help,不同點在於該關鍵詞為郵箱,是黑客留下用來溝通解密所用。
圖12.2019年7月勒索病毒關鍵詞Top10
360解密大師
從360解密大師本月的解密統計資料看,本月解密量最大為GandCrab家族,其次是Plantery。其中使用解密大師解密檔案的使用者數量最高的為Stop家族,其次為GandCrab家族。
圖13.2019年7月解密大師解密情況圖
總結
針對伺服器的勒索病毒攻擊依然是當下勒索病毒的一個主要方向,企業需要加強自身的資訊保安管理能力——尤其是弱口令、漏洞、檔案共享和遠端桌面的管理,以應對勒索病毒的威脅,在此我們給各位管理員一些建議:
1、多臺機器,不要使用相同的賬號和口令
2、登入口令要有足夠的長度和複雜性,並定期更換登入口令
3、重要資料的共享資料夾應設定訪問許可權控制,並進行定期備份
4、定期檢測系統和軟體中的安全漏洞,及時打上補丁。
5、定期到伺服器檢查是否存在異常。檢視範圍包括:
(1)是否有新增賬戶
(2)Guest是否被啟用
(3)Windows系統日誌是否存在異常
(4)防毒軟體是否存在異常攔截情況
而對於本月又重新崛起的這對個人電腦發起攻擊的勒索病毒,建議廣大使用者:
1、安裝安全防護軟體,並確保其正常執行。
2、從正規渠道下載安裝軟體。
3、慎用各種啟用工具。
4、對不熟悉的軟體,如果已經被防毒軟體攔截查殺,不要新增信任繼續執行。
5、遇到陌生人傳送的郵件,要謹慎檢視,儘量避免下載附件。如需要下載,也要先用安全軟體對附件進行檢查。