首页 > 安全资讯 > 正文

2020年1月勒索病毒疫情分析

北京体育彩票_[官网首页]勒索病毒的蔓延,给企业和个人都带来了严重的安全威胁。360安全大脑针对勒索病毒进行了全方位的监控与防御。本月新增“已锁定”、Ako、Geerban和HorseDeal等勒索病毒家族。

360解密大师在2020年1月新增对“已锁定”和CHERNOLOCKER勒索病毒家族的解密支持。

感染数据分析

根据1月反勒索服务数据分析,勒索病毒家族占比:phobs家族占16.85%,居首位;其次是占比14.06%的Crysis家族;GlobeImposter家族以占比12.57%位居第三。北京体育彩票_[官网首页]Satan勒索病毒经过几个月的沉寂在本月再次开始传播。


而从被感染系统占比看:本月居前三的系统仍是Windows 7、Windows 10和Windows  2008。


2020年1月被感染系统中桌面系统和服务器系统占比显示,最易受到攻击的系统仍为桌面系统。与2019年12也的统计进行比较,整体占比没有明显的波动。

此外,我们还关注了360论坛的勒索病毒板块在2020年1月的用户反馈动态。(http://bbs.hnzxsc.com/forum.php?mod=forumdisplay&fid=7592)

本月论坛反馈总计64个案例,涉及18个家族。北京体育彩票_[官网首页]其中:有 5个用户所涉及到的2个家族勒索病毒可以被解密(Nemesis、 “已锁定”),反馈家族Top3依次为:phobos、GlobeImposter和Sodinokibi。反馈中新增的家族/变种包括:GlobeImposter、MedusaLocker、Ako、Satan以及“已锁定”等。


勒索病毒疫情分析

“已锁定”勒索病毒家族

360北京体育彩票_[官网首页]安全大脑在2020年1月中旬监控到一款中文勒索病毒,该病毒会在被加密的文件名后添加“已锁定”字样,同时为每个文档生成一份文件锁定说明。该病毒传播者通过在一款“高铁采集器”的软件上进行推广,诱导用户下载带有勒索病毒的VPN程序。在配置VPN程序过程中,该作者会刻意引导用户去关闭360安全卫士的文档防护功能,并配有相关教学视频。根据360安全大脑监控到的数据发现,该勒索病毒作者在2019年11月份开始谋划制作,2019年12月开始大范围传播,在2020年1月份开始加密用户文件。


病毒作者还制作了一份非常详细的解密问答邮件,针对不同需求用户收取不同解密金额,同时采用比特币支付方式。360安全大脑在监测到该勒索病毒的第一时间进行紧急响应,成功破解该勒索病毒。中招用户可以通过在360安全卫士功能大全中的“360解密大师”进行解密。

Satan勒索病毒家族

360北京体育彩票_[官网首页]安全大脑监测到Satan勒索病毒家族在销声匿迹几个月后又重新回归大众视线。通过360安全大脑监控到的数据来看,此次攻击和此前的攻击方式存在不同——不再依靠大批量的攻击,而主要是利用泛微漏洞攻击外网机器。病毒攻陷机器后,还会利用永恒之蓝漏洞、弱口令爆破等攻击手法进行横向传播。此次变种修改文件后缀为5ss5c,生成的勒索提示信息只使用中文,不再使用英文。

Ako勒索病毒家族

Ako勒索病毒家族是本月才开始在国内外传播。由于该勒索病毒代码和MedusaLocker有很多相似地方,在最开始被命名为MedusaReborn。但在后续Ako勒索病毒制造者公开表示这和MedusaLocker勒索病毒病没有任何关系,是独立的一个勒索病毒。360安全大脑监测到该勒索病毒目前通过垃圾邮件以及远程桌面进行传播。被加密文件修改为随机后缀,并留下一个ako-readme.txt文档,向用户索要约0.3个比特币。

黑客信息披露

以下是本月搜集到的黑客邮箱信息:

1024back@tuta.io

miragesity@hotmail.com

arnoldmichel2@tutanota.com

5ss5c@mail.ru

cry-24hours@bigmir.net

afroditasupport@mail2tor.com

admin@stex777.com

newnintendoss@qq.com

don-aminado@protonmail.com

altec433@cock.li

no.xop@protonmail.ch

apoyo2019@protonmail.com

annali1984@cock.li

crypt24@protonmail.com

decrypt4data@protonmail.com

arzamass7@163.com

pardon1@bigmir.net

decryptmasters@firemail.cc

asus2145@cock.li

pardon1@protonmail.com

decryptmasters2@protonmail.ch

avalona.toga@aol.com

ordecrsupports@cock.li

puljaipopre1981@protonmail.com

averiasw@qq.com

dudaryda@protonmail.ch

billwong73@protonmail.com

b1tc01n@aol.com

pr0t3eam@protonmail.com

bapcocrypt@ctemplar.com

bajonx@blecaf.com

ptr_nyke@protonmail.ch

encryptor2020@protonmail.com

bajonx@iran.ir

bahebah@protonmail.com

filelocker@protonmail.ch

bajonx@plisr.com

qeteway@tutanota.com

charlesetta.embody@aol.com

bexonvelia@aol.com

rdpunlocker1@cock.li

Santagman@protonmail.com

billwong73@aol.com

grand@horsefucker.org

removeme2020@tutanota.com

billwong73@yahoo.com

remoteav@protonmail.ch

symetrikk@protonmail.com

bitkahelp@cock.li

foxbit@tutanota.com

help.me24@protonmail.com

black.block@qq.com

bitlocker@foxmail.com

skgrhk2018me@tutanota.com

blacklandfat@qq.com

roggers@bigmir.net

helpcore@protonmail.com

blackmirror@qq.com

realsapport@bigmir.net

helpfordecodevps@protonmail.com

Buddy@criptext.com

sivo.support@pm.me

helpforyoupc@tutanota.com

buydecrypt@qq.com

chian.helper@aol.com

Honeylock@protonmail.com

charmant@jabb.im

sumpterzoila@aol.com

info45@get-flash-microsoft-player.com

chinahelper@aol.com

chines34@protonmail.ch

unlocking.guarantee@aol.com

corposcop@airmail.cc

it24support@cock.li

viomukinam1978@protonmail.com

crypthelp@qq.com

webweb312@yandex.ru

datareesstore@tutanota.com

darkwaiderr@cock.li

westnigger@india.com

masterkry@protonmail.com

dataforward@bk.ru

zero2222@tutanota.com

masterkry@tutanota.com

decrypt@files.mn

prt.nyke@protonmail.ch

encryptor1996@protonmail.com

decryptfile@qq.com

wecanhelpyou@e1ude.in

clumrayjaijiu1970@aol.com

decryptfiles@qq.com

webweb321@tutanota.com

LordCracker@zohomail.com

dixolid@cock.li

kenton_hayton@aol.com

MREncptor@protonmail.com

fcrypt@qq.com

no.btc@protonmail.ch

3bitcoins@protonmail.com

fox666@cock.li

skgrhk2018@tutanota.com

Buddy888@protonmail.com

gooddesh@cock.li

Cryptor6@tutanota.com

anfreesextuo1982@protonmail.com

Goodsant@cock.lu

Filemgr@tutanota.com

maitlandtiffaney@aol.com

happychoose@cock.li

payfordecrypt@qq.com

decryptyourfileshereee1@cock.li

happychoose2@cock.li

help@cryptmaster.info

wang.chang888@tutanota.com

hardlog@cock.li

no.xm@protonmail.ch

afroditateam@tutanota.com

help@onyon.info

sqqsdr01@keemail.me

datarecovery52@protonmail.com

horsefucker@tuta.io

izethroyal@aol.com

jenkins0ran@countermail.com

kraken@terrov.eu

manyfiles@aol.com

masterkry@tutanoto.com

kry.right@india.com

datarest0re@aol.com

mr.obama21@protonmail.com

lizethroyal@aol.com

MerlinWebster@aol.com

wangteam888@tutanota.com

mail@aleta.cc

LordCracker2@aol.com

online24decrypt@airmail.cc

name4v@keemail.me

jenkins0ran@cock.li

teroda@bigmir.net

nochanse@tuta.io

juli.dickonson@aol.com

King_mail7@protonmaIl.com

piton4800@cock.li

noallpossible@cock.li

orfhissipmay1970@protonmail.com

prndssdnrp@mail.fr

backdata@qbmail.biz

edinstveniy_decoder@aol.com

rdpcrypter@cock.li

recoverdata@cock.lu

returnmaster@aaathats3as.com

ret3pwn@gmail.com

buddy888@tutanota.com

fileslockers@protonmail.ch

sql772@aol.com

helpmanager@firemail.cc

helpservis@horsefucker.org

stopstorage@qq.com

charmant@firemail.cc

id-keyman@protonmail.com

sweetjesus@cock.li

cleta.burdett@aol.com

JasonStewem@aolonline.top

taargo@olszyn.com

Supportclown@elude.in

unlockransomware@protonmail.com

                            表格1. 黑客邮箱

系统安全防护数据分析

通过对2019年12月和2020年1月数据进行对比发现,本月各个系统占比变化均不大,位居前三的仍是Windows 7、Windows 8和Windows 10。

以下是对2020年1月被攻击系统所属IP采样制作的地域分布图,与之前几个月采集到的数据进行对比,地区排名和占比变化都不大。数字经济发达地区仍是比攻击的主要对象。

    通过对2020年1月弱口令攻击态势的分析发现,RDP弱口令攻击在2020年1月中旬有一次高峰,MsSQL和MySQL在本月的攻击态势整体趋势无较大波动。

360安全大脑监测本月利用MsSQL攻击方式被投毒的机器量的整体都呈现出下降的态势。


勒索病毒关键词

该数据来自lesuobingdu.hnzxsc.com的搜索统计。(不包括WannCry、AllCry、TeslaCrypt、Satan、Kraken、Jsworm、X3m以及GandCrab几个家族)

l  Ako:属于Ako勒索病毒家族,该勒索病毒于2020年1月份开始在国内进行传播,目前已知该勒索病毒主要通过向用户发送具有诱导性的垃圾邮件进行传播。

l  Happychoose:属于 GlobeImposter家族,由于被加密文件后缀会被修改为Happychoose而成为关键词,该勒索病毒家族主要通过暴力破解远程桌面密码,成功后手动投毒传播。在本月该勒索病毒相继出现多个类似变种,例如:happytwochoose,happythreechoose、happyfourchoose。

l  Devon:属于phobos勒索病毒家族,由于被加密文件后缀会被修改为Devon而成为关键词,该勒索病毒家族主要通过暴力破解远程桌面密码,成功后手动投毒传播。

l  Readinstructions:属于MedusaLocker勒索病毒家族,又被称作“美杜莎”勒索病毒。由于被加密文件后缀会被修改为ReadInsstructions而成为关键词。该勒索病毒家族主要通过暴力破解远程桌面密码,成功后手动投毒。

l  bitlocker@foxmail.com:属于Crysis勒索病毒家族,由于文件被加密后会被加入bitlocker@foxmail.com而成为关键词。该勒索病毒家族主要通过暴力破解远程桌面密码,成功后手动投毒传播。

l  pig865qqz:同happychoose。

l  SodinokibiSodinokibi为病毒家族名,由于该勒索病毒会将被加密文件后缀修改成随机后缀,因此大部分用户用被加密文件后缀会命中Sodinokibi。该勒索病毒传播渠道较多,目前仍在被使用的主要有两个渠道,第一是投递垃圾邮箱,第二是远程桌面暴力破解。

l  Locked:该后缀被多个家族使用过,但是在本月出现的该后缀,主要是属于TellYouThePass勒索病毒家族, 本月的攻击案例看该勒索病毒主要通过暴力破解拿到数据库密码后进行投毒。

l  decryptfiles@qq.com同bitlocker@foxmail.com

l  5ssc:属于Satan勒索病毒家族,由于被加密文件的后缀会被修改为5ss5c而成为关键词,该勒索病毒主要通过泛微OA漏洞进行传播,同时还会使用永恒之蓝漏洞进行横向传播。

解密大师

从解密大师本月的解密统计数据看,本月解密量最大的的仍是GandCrab,其次则是KimChinInSev;其中使用解密大师解密文件的用户数量最高的仍是Stop家族的中招设备,其次是Crysis家族的中招设备。

总结

         针对服务器的勒索病毒攻击依然是当下勒索病毒的一个主要方向,企业需要加强自身的信息安全管理能力——尤其是弱口令、漏洞、文件共享和远程桌面的管理,以应对勒索病毒的威胁,在此我们给各位管理员一些建议:

1.   多台机器,不要使用相同的账号和口令

2.   登录口令要有足够的长度和复杂性,并定期更换登录口令

3.   重要资料的共享文件夹应设置访问权限控制,并进行定期备份

4.   定期检测系统和软件中的安全漏洞,及时打上补丁。

5.   定期到服务器检查是否存在异常。查看范围包括:

(1)  是否有新增账户

(2)  Guest是否被启用

(3)  Windows系统日志是否存在异常

(4)  杀毒软件是否存在异常拦截情况

6.   安装安全防护软件,并确保其正常运行。

7.   从正规渠道下载安装软件。

8.   对不熟悉的软件,如果已经被杀毒软件拦截查杀,不要添加信任继续运行。

此外,无论是企业受害者还是个人受害者,都不建议支付赎金。支付赎金不仅变相鼓励了勒索攻击行为,而且解密的过程还可能会带来新的安全风险。

常见的勒索病毒,很多只加密文件头部数据,对于某些类型的文件(如数据库文件),可以尝试通过数据修复手段来挽回部分损失。如果不得不支付赎金的话,可以尝试和黑客协商来降低赎金价格,同时在协商过程中要避免暴露自己真实身份信息和紧急程度,以免黑客漫天要价。


360安全卫士

热点排行

用户
反馈
返回
顶部

页面底部区域 foot.htm