轉眼間,一年一度的高考再度落下帷幕。全國萬千學子在經歷了6月的最後一輪“磨槍礪劍”後策馬上陣,準備在這場“考場試鋒”中旗開得勝。而在網路安全領域中,常年作惡多端的勒索病毒也同樣付出“非凡努力”,取得的惡績不禁令人咋舌。
據360安全大腦監測,6月中不乏“上進心”十足的勒索病毒家族劣跡昭著。面對GlobeImposter、phobos、Crysis等每月前排勒索病毒家族,新型勒索病毒家族發起全力追擊,Avaddon勒索病毒、Crysis勒索病毒變種、YourFilesEncryped勒索病毒相繼湧現。
Avaddon勒索病毒出道即“躥紅”
個人桌面感染佔比上演極速攀升
360安全大腦釋出的《2020年6月勒索病毒疫情分析》顯示,由於新型勒索病毒的爭相出位,當月榜單的排名座次發生變動。
其中,雖然GlobeImposter、phobos以及Crysis三大老牌勒索病毒家族以60.78%的總佔比,合力砍下整體6月勒索病毒感染量的過半份額;但在6月4日剛開始的Avaddon新型勒索病毒卻仍舊憑藉不俗作惡實力,“秒殺”其他競爭對手,在當月榜單Top 10中佔據一席之地。
該勒索病毒最早開始傳播時會修改檔案字尾為advn,而後續出現的變種則採用了與Sodinokibi相同的檔案加密模式,被加密檔案被改為隨機字尾。
在傳播方式上,其利用Phorpiex殭屍網路進行傳播。作為一款具有蠕蟲特性的殭屍網路,Phorpiex具備透過可移動儲存介質、垃圾郵件、爆破使用者憑證、漏洞利用工具包、惡意程式安裝等多種渠道擴散的特性,迄今為止已經感染超過一百萬臺計算機。得益於這一“順風車”的助力,Avaddon新型勒索病毒在網路中迅速氾濫。
同時,和眾多勒索病毒一樣,該勒索病毒也採用RaaS模式,並在6月3號的時候在暗網開始公開售賣。而就在一天後的6月4號,就已經出現野外傳播,足可見其擴散速度之快。
值得一提的是,在當月被感染系統中桌面系統和伺服器系統佔比中,個人桌面感染佔比同比5月上升4.68%,這和Avaddon新型勒索病毒同樣存在一定關係。
同時,從2016年出現至今已有近4年傳播歷史的Crysis勒索病毒家族,無論是傳播手段還是在核心功能的程式碼實現都鮮有改動,但在當月卻也驚現新型變種。據360安全大腦透過程式碼分析發現,該版變種最大的改動是整合了多個工具,便於投毒者瞭解當前系統中存在的防毒軟體、加密時的CPU佔用率等資訊,同時還可以將未掛載的裝置掛載到本地,以求加密更多檔案。
此外,360安全大腦還監測到YourFilesEncrypted勒索病毒家族的V3.3版本在當月開始“嶄露頭角”。該勒索病毒偽裝成序號產生器進行傳播,並會將檔案字尾被修改為FlyBox。
因為不同於可能會為加密文件資料支付天價贖金的企業使用者,透過破解軟體、啟用工具等進行傳播的勒索病毒大多是普通個人使用者為攻擊目標,所以該勒索病毒索要贖金僅為0.009個比特幣。值得慶幸的是,在發現該勒索病毒的第一時間,360解密大師便成功攻破並支援解密。
在被感染系統佔比方面,Windows 7和Windows 10兩大勒索病毒重災區依舊佔據榜單一二座次。Windows Server 2012首次佔比超過Windows Server 2008,但本月並未出現針對Windows Server 2012系統的重大安全事件,此次攀升現象具備較大偶然性。
MSSQL弱口令攻擊態勢月初連漲
360安全大腦強力阻擊勒索“牛市”
弱口令攻擊是勒索病毒最廣泛的傳播方式,使用過於簡單的口令或者已經洩露的口令是造成裝置被攻陷的最常見原因。同比5月資料發現,6月中被弱口令攻擊的各系統佔比變化均不大,位居前三的系統仍是Windows 7、Windows 10和Windows 8。
在6月出現的弱口令攻擊中,RDP弱口令和MySQL弱口令攻擊態勢較為平穩,而MSSQL弱口令攻擊卻並不“安分”,在本月初出現兩次上漲趨勢。
參照2020年6月弱口令攻擊態勢圖,發現與本月MSSQL投毒攔截態勢圖有所出入。出現這一情況可能是由於MSSQL的峰值攻擊並非實戰攻擊,可能存在測試性攻擊;或者是可能因為攻擊者攻陷伺服器後並未立刻進行投毒操作,而是留作“庫存”。
縱觀360安全大腦釋出的《2020年6月勒索病毒疫情分析》報告,層出不窮的新型勒索病毒,無論是傳播能力還是破壞效果都堪稱驚人,這無疑將為企業及個人使用者帶來了難以預估的安全威脅。
為多維抵禦各類勒索病毒攻擊,360安全大腦已採取了多項防治措施。截止2019年11月,在360安全大腦強勢賦能下,360解密大師作為全球規模最大、最有效的勒索病毒解密工具,累計支援解密勒索病毒超過320種,服務使用者機器超26000臺,解密檔案近8500萬次,挽回損失超5.47億元。
在2020年6月中,360解密大師再度新增了對Cobra(字尾為cobra)、FileCry(字尾為filecry)、YourFilesEncrypted (字尾為flybox)以及Sodinokibi(版本較多,目前只支援其中一個版本)勒索病毒家族的解密支援。從其整體解密統計資料看,當月解密量最大的是GandCrab,而使用解密大師解密檔案的使用者數量最高的則仍是Stop家族的中招裝置。
為有效做好勒索疫情防控,360安全大腦特別提醒各位使用者需注意以下幾點,全面提升勒索病毒防禦水平:
1、及時前往weishi.360.cn下載安裝360安全衛士,全面攔截各類勒索病毒攻擊;
2、中招使用者應立即前往lesuobingdu.360.cn確認所中勒索病毒型別,並透過360安全衛士 “功能大全”視窗,搜尋安裝“360解密大師”後,點選“立即掃描”恢復被加密檔案。