2021
勒索病毒
疫情分析報告
REPORTS
勒索病毒概況
2021年全年,360反勒索服平台、360解密大師兩個渠道,一共接收並處理了超4100位遭遇勒索病毒攻擊的受害者求助,其中超4000位經核實確認為遭受了勒索病毒的攻擊。
下圖給出了在2021年全年,每月通過360安全衛士反勒索服務和360解密大師渠道,提交申請並確認感染勒索病毒的有效求助量情況。
01
勒索家族分布
下圖給出的是根據360反勒索服務和360解密大師數據所計算出的2021年勒索病毒家族流行占比分布圖。
其中,PC端Windows系統下phobos、Magniber、Stop這三大勒索病毒家族的受害者占比最多。
02
加密方式分布
我們對2021年仍在流行且具有一定代表性的勒索病毒家族進行分析。統計了各家族的加密算法及相關信息。結論如下表:
家族 |
算法 |
加密 |
加密方案 |
LockBit2.0 |
RSA+AES |
內置RSA公鑰 |
基於文件尺寸 |
DarkSide |
RSA+Salsa20 |
內置RSA公鑰 |
傳播者自定義 |
phobos |
RSA+AES |
內置RSA公鑰 |
基於文件類型 |
GlobeImposter |
RSA+AES |
內置RSA公鑰 |
基於文件尺寸 |
Makop |
RSA+AES |
內置RSA公鑰 |
基於文件尺寸 |
BeijingCrypt |
RSA+AES |
內置RSA公鑰 |
完整加密 |
Buran |
RSA+AES |
內置RSA公鑰 |
基於文件尺寸 |
Sodinokibi |
ECDH+Salsa20 |
內置ECDH公鑰 |
基於文件尺寸 |
MedusaLocker |
RSA+AES |
內置RSA公鑰 |
基於執行參數 |
YourData |
RSA+AES |
內置RSA公鑰 |
基於文件尺寸 |
Magniber |
RSA+AES |
內置RSA公鑰 |
完整加密 |
TellYouThePass |
RSA+AES |
內置RSA公鑰 |
完整加密 |
勒索病毒傳播方式
下圖給出了2021年攻擊者投遞勒索病毒的各種方式的占比情況。根據統計可以看出,遠程桌面入侵仍然是用戶計算機被感染的最主要方式。
多重勒索與數據泄露
近年來,通過雙重勒索或多重勒索模式獲利的勒索病毒攻擊團伙越來越多,勒索病毒所帶來的數據泄露的風險也急劇增加。
01
行業統計
從行業劃分來看,服務業、加工製造業、金融與貿易分例行業分布的前三位。
02
逐月統計
結合360反勒索服務接收到的感染反饋情況看,在10月、11月不管是傳統的勒索,還是雙重/多重勒索,均有較大幅度的上升態勢。
勒索病毒受害者分析
01
受害者所在地域分布
以下是對2021年攻擊系統所屬地域採樣製作的分部圖,總體而言地區排名和占比變化波動始終均不大。數字經濟發達地區仍是攻擊的主要對象。
02
受攻擊系統分布
對2021年受攻擊的作業系統數據進行統計,位居前三的系統為Windows 10、Windows 7和Windows Server 2008。這也是目前市面上較為主流的作業系統,可見系統本身的「安全性」對攻擊的防護起到的作用並沒有那麼顯著,整體依然是使用更廣泛的系統,受攻擊也更多。
勒索病毒攻擊者分析
01
攻擊手段
弱口令攻擊
弱口令攻擊,也就是有限口令暴破攻擊,依然是今年最為流行的攻擊手段。使用過於簡單的口令、已經泄露的口令或一些內置的固定口令是造成設備被攻陷的最常見原因。
橫向滲透
針對企業的勒索病毒攻擊,是企業當前最為擔憂的一類安全問題,此類攻擊也向攻擊者貢獻了絕大部分的贖金收入。針對企業的勒索病毒攻擊,經常可以看到單次攻擊事件導致的大量設備同時中招,甚至整個內網癱瘓。
利用系統與軟體漏洞攻擊
利用系統漏洞或應用軟體漏洞進行攻擊,長期以來都是安全領域的熱點話題——在APT類攻擊中這一點尤為常見。而在近年來的勒索病毒投遞中,也經常能看到漏洞的利用。
網站掛馬攻擊
網站掛馬攻擊作為常見攻擊手段,在各類病毒木馬傳播中均有一定占比。掛馬攻擊還常與其它攻擊手段相伴使用——比如釣魚郵件結合掛馬攻擊,誘騙用戶安裝病毒文件。
11月5日以來受廣告彈窗掛馬攻擊影響的用戶量
破解軟體與激活工具
激活工具、破解軟體這類程序本身開發管理不規範,開發人員魚龍混雜。於是此類程序便成為了病毒木馬的高發區——其中也有可能夾雜有勒索病毒。於是它也成為國內個人用戶感染勒索病毒的主要渠道之一。
偽裝成破解版軟體的勒索病毒下載頁面
殭屍網絡
殭屍網絡可以說是黑客最熱衷的一種攻擊途徑。攻擊者通常利用各類木馬、蠕蟲、漏洞利用工具抓去「肉雞」,經營布置其殭屍網絡。在需要發起攻擊時,向被控端發起指令,利用被控端發起二次攻擊。
供應鏈攻擊
供應鏈攻擊在最近幾年的安全事件中頻頻發生,其隱蔽性較高、發現難度大、影響範圍廣、時間跨度長,經常被APT組織用來作為攻擊手段。
安全建議
針對勒索病毒的安全建議
養成良好的安全習慣
1. 電腦應當安裝具有高級威脅防護能力和主動防禦功能的安全軟體,如360安全衛士。不隨意退出安全軟體或關閉防護功能,對安全軟體提示的各類風險行為不要輕易採取放行操作。
2. 常用軟體打好補丁,儘量使用安全瀏覽器。
3. 重要文檔、數據應經常做備份。
4. 電腦設置的口令要足夠複雜,不使用弱口令。
減少危險的上網操作
1. 不要瀏覽來路不明的色情、賭博等不良信息網站。
2. 不要輕易打開陌生人發來的郵件附件或郵件正文中的網址連結。
3. 電腦連接移動存儲設備(如U盤、移動硬碟等),應首先使用安全軟體檢測其安全性。
採取及時的補救措施
安裝360安全衛士並開啟反勒索服務,一旦電腦被勒索軟體感染,可以通過360反勒索服務尋求幫助,儘可能的減小自身損失。
主動降低勒索風險
通過安全衛士團隊版集中管理終端安全風險,通過關閉部分終端的遠程桌面登錄,限制遠程桌面的時間窗口和IP範圍等安全措施,降低勒索投遞的風險。
最後,無論是個人用戶還是企業用戶,都不建議支付贖金!
支付贖金不僅變相鼓勵了勒索攻擊行為,而且解密的過程還可能會帶來新的安全風險。可以嘗試通過備份、數據恢復、數據修復等手段挽回部分損失。
2021年勒索病毒大事件
NetWalker被執法機構查封 |
|
DarkSide的興衰起伏 |
|
Egregor成員被警方逮捕 |
|
HelloKitty瞄準知名遊戲公司CDPR |
|
DoppelPaymer頻繁攻擊大型企業 |
|
Sodinokibi(REvil),獵手終變成獵物 |
|
從新興到分裂——Babuk的浮與沉 |
|
QLocker利用漏洞攻擊NAS設備 |
|
從攻擊醫療機構到復活殭屍網絡,Conti團伙無惡不作 |
|
Clop部分人員被捕 |
|
ADATA被泄露700G數據 |
|
「閻羅王」試圖攻擊美國金融部門 |
掃描二維碼
即可查看完整文章