luda 勒索病毒的蔓延,给企业和个人都带来了严重的安全威胁。360安全大脑针对勒索病毒进行了全方位的监测与防御。本月新增勒索病毒家族有DoppelPaymer、Teslarvng和One-OAPlugins等
360解密大师在2020年3月新增对DiskParasite勒索病毒家族的解密支持。
感染数据分析
分析本月勒索病毒家族占比:GlobeImposter占22.25%居首位;其次是占比22.11%的phobos;Sodinokibi家族以占比11.86%位居第三。新出现不久的勒索病毒Makop占比有明显的上升——这个曾经名不见经传的勒索病毒本月直接跃居至榜单第8位。
而从被感染系统占比看:本月位居前三的系统仍是Windows 10、Windows 7和Windows Server 2008。同2月一样,Windows 10操作系统占比继续超过Windows 7。
3月被感染系统中桌面系统和服务器系统占比,仍是桌面系统占据绝对多数。与上个月的统计进行比较,并未出现较大的波动幅度。
此外,我们还关注了360论坛的勒索病毒板块在2020年2月的用户反馈动态(https://bbs.360.cn/forum.php?mod=forumdisplay&fid=7592):
本月论坛反馈总计77个案例,涉及19个家族,并帮助其中部分用户进行了解密。
反馈次数最多的三个家族依次为:GlobeImposter、Sodinokibi以及phobos。反馈新增的家族/变种包括:Crysis(修改文件后缀为iu21j、eight)、DoppelPaymer(修改文件后缀为doppeled、)、Teslarvng(修改文件后缀为yakuza)、Stop(修改文件后缀为npsk、remk)等。
勒索病毒疫情分析
Teslarvng勒索病毒家族
Teslarvng勒索病毒为本月新出现的一款勒索病毒。由于国内的传播量较小,目前暂时并未引起广泛关注。该勒索病毒通过常见的弱口令攻击方式进行传播(暴力破解获取到远程桌面口令后手动投毒)。
该勒索病毒会在每个被加密文件末尾填写“\x93\x9F\x7B\xA9”,并将加密成功和加密失败的文件分别写入到\\Adobe\\Extension Manager CC\\Logs目录下的c.txt和文件中。
和大部分勒索病毒相同,该病毒也是让用户通过勒索提示信息中留下的邮箱联系黑客,并修改文件后缀为.Teslarvng。该勒索病毒在本月还出现一个新型变种,修改文件后缀为.yakuza。
Nemty勒索病毒家族
在3月中旬,360安全大脑监控到Nemty勒索病毒开始利用U盘蠕虫进行传播,该渠道曾被GandCrab勒索病毒家族在2019年11月份第一次使用,并感染了大量设备。在本月蠕虫攻击量呈上涨态势,同时从态势图可以看到该蠕虫比较受工作时间影响,周末期间攻击量会有一个较大的下降。但3月份的整体依然呈上涨态势。
One-OAPlugins勒索病毒家族
360安全大脑在本月监测到一款勒索病毒利用通达OA系统的文件上传漏洞进行传播,该勒索病毒加密文件后会在其后缀名末尾增加一个数字1,并留下勒索信要求用户支付0.3个比特币的赎金。
黑客信息披露:
以下是本月搜集到的黑客邮箱信息:
ubtc@cock.li
kry.right@india.com
kikalovasya6@gmail.com
mail@ale
Decoding@qbmail.biz
howtodecrypt45@cock.li
sudeio@ge
darkwaiderr@cock.li
dudaryda@
sql772@aol.com
costama@
uzuvnkyh@
alexkop@cock.li
chagenak@airmail.cc
billi.28@
help@onyon.info
calwaykitty@aol.com
Unlock96@
mrromber@ock.li
krastoken@gmail.com
Client9522@
averiasw@qq.com
kabennalzly@aol.com
client9522@
deerho@email.tg
jabber paybtc@
supermetasploit@aol.com
mr.helper@qq.com
helpmanager@mail.ch
grandtheftfiles@aol.com
yakuzadec@qq.com
helpbackup@email.tg
sanders5@
vortechs@cock.li
decryptfiles@qq.com
gabriele.keeler@aol.com
kraken@
westnigger@india.com
filerestore07@gmail.com
gooddesh@cock.li
wang_team777@aol.com
decryptonlinemail@
nochanse@
wang_team555@aol.com
use_harrd@
bitcoin@email.tg
vip76@
dessert_guimauve@aol.com
bajonx@
payfordecrypt@qq.com
3bitcoins@
dawhack@email.tg
no.xop@
cleverhorse@c
d.fedor2@aol.com
no.btc@
meconsult@
crypthelp@qq.com
newnintendoss@qq.com
HelpforFiles@
decrypt@
avalona.toga@aol.com
ran-unlock@
teroda@bigmir.net
corposcop@airmail.cc
callmegoat@
taargo@ol
buydecryptor@cock.li
xaodecrypt@
symetrikk@aol.com
decrsupports@cock.li
asmodey3301@
support48@cock.li
de-crypt@
admincrypt@
correctway@qq.com
kryzikrut@airmail.cc
coronaVi2022@
piton4800@cock.li
happychoose2@cock.li
painplain98@
bitkahelp@cock.li
xaodecrypt@airmail.cc
helpservis@
cock89558@cock.li
relvirosa1981@aol.com
deltatechit@
drenc69@gmail.com
creampie@c
alfredolopes@
supportc4@elude.in
coronahelpme@nigge.rs
cris_nickson@
stopstorage@qq.com
mrromber@
pretty_hardjob2881@mail.com
squadhack@email.tg
merlinwebster@aol.com
unlocking.guarantee@aol.com
satco@
joellereano@ya
helpdatarestore@
roggers@bigmir.net
infectionplex@cock.li
edinstveniy_decoder@aol.com
prndssdnrp@mail.fr
help@cry
decrsupports@
pardon1@bigmir.net
fox606@
otostehos1970@
black.block@qq.com
zalarubata@airmail.com
infectionplex@cock.li.mew767
mccunesina@aol.com
veracry@
lilmoonhack7766@
Master8585@cock.li
realsapport@bigmir.net
deepocean99451@
blackmirror@qq.com
ptr_nyke@
data.compromised@
prt.nyke@
affrontUmerSummers@
wang_team555@aol.co
pardon1@
emergency911service@ou
voyagermail@aol.com
bahebah@
decryptyourfileshereee1@cock.li
pennmargery@aol.com
Jamees0101@ou
lanthanumRosaKiddgentile@cock.li
blacklandfat@qq.com
crypt24@
dprworkjessiaeye1955@
no.xm@
chines34@
jamesgonzaleswork1972@
backupassist@qq.com
china2020@
decrypt_operator_info@
backdata@qbmail.biz
miragesity@
info45@ge
表格1. 黑客邮箱
系统安全防护数据分析
通过对2020年2月和3月数据进行对比发现,本月各个系统占比变化均不大。位居前三的仍是Windows 7 、Windows 8和Windows 10。
以下是对2020年3月被攻击系统所属IP采样制作的地域分布图,与之前几个月采集到的数据进行对比,地区排名和占比变化不大。数字经济发达地区仍是被攻击的主要对象。
通过对2020年3月弱口令攻击态势分析发现,在本月Mssql的弱口令攻击在本月中旬有两次峰值。Rdp和Mysql弱口令攻击在本月的攻击整体无较大波动。
下图展示的是利用Mssql攻击系统行为的整体趋势,整月数据相对平稳,没有太大的波动。
图11. Mssql攻击拦截态势图
勒索病毒关键词
该数据来自le的搜索统计。(不包括WannCry、AllCry、TeslaCrypt、Satan、Kraken、Jsworm、X3m以及GandCrab几个家族)
l Devos:属于phobos勒索病毒家族,由于被加密文件后会被修改devos而成为关键词,该勒索病毒主要通过暴力破解远程桌面密码,拿到密码后手动投毒传播。
l globeimposter-alpha865qqz:属于GlobeImposter勒索病毒家族,由于被加密文件后缀会被修改为happychoose而成为关键词,该勒索病毒主要通过爆破破解远程桌面密码,拿到密码后手动投毒传播。
l dewar:同devos
l Happychoose:同globeimposter-alpha865qqz。
l Voyager:属于Hermes837勒索病毒家族,由于文件被加密后会被修改为voyager而成为关键词。该勒索病毒家族主要通过暴力破解远程桌面密码,成功后手动投毒传播。
l Stopv:为Stop家族,该勒索病毒的变种很多,通过破解软件或者激活工具进行传播。
l Readinstructions:属于MedusaLocker勒索病毒家族又被称作“美杜莎”勒索病毒,该勒索病毒主要通过暴力破解远程桌面密码,拿到密码后手动投毒传播。
l Ako:属于Ako勒索病毒家族,该勒索病毒主要通过垃圾邮件和暴力破解远程桌面密码后手动投毒两个渠道进行传播。
l Globeimposter:同globeimposter-alpha865qqz。
l Harma:属于Crysis勒索病毒家族,由于文件被加密后会被修改为ncov而成为关键词。该勒索病毒家族主要通过暴力破解远程桌面密码,成功后手动投毒传播。
解密大师
从解密大师本月解密数据来看:解密文件数量最大的仍是GandCrab,其次是“已锁定”;而从寻求解密的中招设备数量维度看,最多的则是HackedSecret家族,其次是Stop家族。
总结
针对服务器的勒索病毒攻击依然是当下勒索病毒的一个主要方向,企业需要加强自身的信息安全管理能力——尤其是弱口令、漏洞、文件共享和远程桌面的管理,以应对勒索病毒的威胁,在此我们给各位管理员一些建议:
1. 多台机器,不要使用相同的账号和口令
2. 登录口令要有足够的长度和复杂性,并定期更换登录口令
3. 重要资料的共享文件夹应设置访问权限控制,并进行定期备份
4. 定期检测系统和软件中的安全漏洞,及时打上补丁。
5. 定期到服务器检查是否存在异常。查看范围包括:
(1) 是否有新增账户
(2) Guest是否被启用
(3) Windows系统日志是否存在异常
(4) 杀毒软件是否存在异常拦截情况
6. 安装安全防护软件,并确保其正常运行。
7. 从正规渠道下载安装软件。
8. 对不熟悉的软件,如果已经被杀毒软件拦截查杀,不要添加信任继续运行。
此外,无论是企业受害者还是个人受害者,都不建议支付赎金。支付赎金不仅变相鼓励了勒索攻击行为,而且解密的过程还可能会带来新的安全风险。
常见的勒索病毒,很多只加密文件头部数据,对于某些类型的文件(如数据库文件),可以尝试通过数据修复手段来挽回部分损失。如果不得不支付赎金的话,可以尝试和黑客协商来降低赎金价格,同时在协商过程中要避免暴露自己真实身份信息和紧急程度,以免黑客漫天要价。由于解密服务公司多是通过联系黑客购买密钥解密文件,所以尽量避免咨询太多第三方解密公司(咨询太多第三方解密公司相当于咨询多次黑客,可能会导致黑客涨价。)