2021
勒索病毒
疫情分析报告
REPORTS
勒索病毒概况
2021年全年,360反勒索服平台、360解密大师两个渠道,一共接收并处理了超4100位遭遇勒索病毒攻击的受害者求助,其中超4000位经核实确认为遭受了勒索病毒的攻击。
下图给出了在2021年全年,每月通过360安全卫士反勒索服务和360解密大师渠道,提交申请并确认感染勒索病毒的有效求助量情况。
01
勒索家族分布
下图给出的是根据360反勒索服务和360解密大师数据所计算出的2021年勒索病毒家族流行占比分布图。
其中,PC端Windows系统下phobos、Magniber、Stop这三大勒索病毒家族的受害者占比最多。
02
加密方式分布
我们对2021年仍在流行且具有一定代表性的勒索病毒家族进行分析。统计了各家族的加密算法及相关信息。结论如下表:
家族 |
算法 |
加密 |
加密方案 |
LockBit2.0 |
RSA+AES |
内置RSA公钥 |
基于文件尺寸 |
DarkSide |
RSA+Salsa20 |
内置RSA公钥 |
传播者自定义 |
phobos |
RSA+AES |
内置RSA公钥 |
基于文件类型 |
GlobeImposter |
RSA+AES |
内置RSA公钥 |
基于文件尺寸 |
Makop |
RSA+AES |
内置RSA公钥 |
基于文件尺寸 |
BeijingCrypt |
RSA+AES |
内置RSA公钥 |
完整加密 |
Buran |
RSA+AES |
内置RSA公钥 |
基于文件尺寸 |
Sodinokibi |
ECDH+Salsa20 |
内置ECDH公钥 |
基于文件尺寸 |
MedusaLocker |
RSA+AES |
内置RSA公钥 |
基于执行参数 |
YourData |
RSA+AES |
内置RSA公钥 |
基于文件尺寸 |
Magniber |
RSA+AES |
内置RSA公钥 |
完整加密 |
TellYouThePass |
RSA+AES |
内置RSA公钥 |
完整加密 |
勒索病毒传播方式
下图给出了2021年攻击者投递勒索病毒的各种方式的占比情况。根据统计可以看出,远程桌面入侵仍然是用户计算机被感染的最主要方式。
多重勒索与数据泄露
近年来,通过双重勒索或多重勒索模式获利的勒索病毒攻击团伙越来越多,勒索病毒所带来的数据泄露的风险也急剧增加。
01
行业统计
从行业划分来看,服务业、加工制造业、金融与贸易分例行业分布的前三位。
02
逐月统计
结合360反勒索服务接收到的感染反馈情况看,在10月、11月不管是传统的勒索,还是双重/多重勒索,均有较大幅度的上升态势。
勒索病毒受害者分析
01
受害者所在地域分布
以下是对2021年攻击系统所属地域采样制作的分部图,总体而言地区排名和占比变化波动始终均不大。数字经济发达地区仍是攻击的主要对象。
02
受攻击系统分布
对2021年受攻击的操作系统数据进行统计,位居前三的系统为Windows 10、Windows 7和Windows Server 2008。这也是目前市面上较为主流的操作系统,可见系统本身的“安全性”对攻击的防护起到的作用并没有那么显著,整体依然是使用更广泛的系统,受攻击也更多。
勒索病毒攻击者分析
01
攻击手段
弱口令攻击
弱口令攻击,也就是有限口令暴破攻击,依然是今年最为流行的攻击手段。使用过于简单的口令、已经泄露的口令或一些内置的固定口令是造成设备被攻陷的最常见原因。
横向渗透
针对企业的勒索病毒攻击,是企业当前最为担忧的一类安全问题,此类攻击也向攻击者贡献了绝大部分的赎金收入。针对企业的勒索病毒攻击,经常可以看到单次攻击事件导致的大量设备同时中招,甚至整个内网瘫痪。
利用系统与软件漏洞攻击
利用系统漏洞或应用软件漏洞进行攻击,长期以来都是安全领域的热点话题——在APT类攻击中这一点尤为常见。而在近年来的勒索病毒投递中,也经常能看到漏洞的利用。
网站挂马攻击
网站挂马攻击作为常见攻击手段,在各类病毒木马传播中均有一定占比。挂马攻击还常与其它攻击手段相伴使用——比如钓鱼邮件结合挂马攻击,诱骗用户安装病毒文件。
11月5日以来受广告弹窗挂马攻击影响的用户量
破解软件与激活工具
激活工具、破解软件这类程序本身开发管理不规范,开发人员鱼龙混杂。于是此类程序便成为了病毒木马的高发区——其中也有可能夹杂有勒索病毒。于是它也成为国内个人用户感染勒索病毒的主要渠道之一。
伪装成破解版软件的勒索病毒下载页面
僵尸网络
僵尸网络可以说是黑客最热衷的一种攻击途径。攻击者通常利用各类木马、蠕虫、漏洞利用工具抓去“肉鸡”,经营布置其僵尸网络。在需要发起攻击时,向被控端发起指令,利用被控端发起二次攻击。
供应链攻击
供应链攻击在最近几年的安全事件中频频发生,其隐蔽性较高、发现难度大、影响范围广、时间跨度长,经常被APT组织用来作为攻击手段。
安全建议
针对勒索病毒的安全建议
养成良好的安全习惯
1. 电脑应当安装具有高级威胁防护能力和主动防御功能的安全软件,如360安全卫士。不随意退出安全软件或关闭防护功能,对安全软件提示的各类风险行为不要轻易采取放行操作。
2. 常用软件打好补丁,尽量使用安全浏览器。
3. 重要文档、数据应经常做备份。
4. 电脑设置的口令要足够复杂,不使用弱口令。
减少危险的上网操作
1. 不要浏览来路不明的色情、赌博等不良信息网站。
2. 不要轻易打开陌生人发来的邮件附件或邮件正文中的网址链接。
3. 电脑连接移动存储设备(如U盘、移动硬盘等),应首先使用安全软件检测其安全性。
采取及时的补救措施
安装360安全卫士并开启反勒索服务,一旦电脑被勒索软件感染,可以通过360反勒索服务寻求帮助,尽可能的减小自身损失。
主动降低勒索风险
通过安全卫士团队版集中管理终端安全风险,通过关闭部分终端的远程桌面登录,限制远程桌面的时间窗口和IP范围等安全措施,降低勒索投递的风险。
最后,无论是个人用户还是企业用户,都不建议支付赎金!
支付赎金不仅变相鼓励了勒索攻击行为,而且解密的过程还可能会带来新的安全风险。可以尝试通过备份、数据恢复、数据修复等手段挽回部分损失。
2021年勒索病毒大事件
NetWalker被执法机构查封 |
|
DarkSide的兴衰起伏 |
|
Egregor成员被警方逮捕 |
|
HelloKitty瞄准知名游戏公司CDPR |
|
DoppelPaymer频繁攻击大型企业 |
|
Sodinokibi(REvil),猎手终变成猎物 |
|
从新兴到分裂——Babuk的浮与沉 |
|
QLocker利用漏洞攻击NAS设备 |
|
从攻击医疗机构到复活僵尸网络,Conti团伙无恶不作 |
|
Clop部分人员被捕 |
|
ADATA被泄露700G数据 |
|
“阎罗王”试图攻击美国金融部门 |
扫描二维码
即可查看完整文章