勒索病毒的蔓延,給企業和個人都帶來了嚴重的安全威脅。360安全大腦針對勒索病毒進行了全方位的監測與防禦。本月新增勒索病毒家族有DoppelPaymer、Teslarvng和One-OAPlugins等
360解密大師在2020年3月新增對DiskParasite勒索病毒家族的解密支持。
感染數據分析
分析本月勒索病毒家族占比:GlobeImposter占22.25%居首位;其次是占比22.11%的phobos;Sodinokibi家族以占比11.86%位居第三。新出現不久的勒索病毒Makop占比有明顯的上升——這個曾經名不見經傳的勒索病毒本月直接躍居至榜單第8位。
而從被感染系統占比看:本月位居前三的系統仍是Windows 10、Windows 7和Windows Server 2008。同2月一樣,Windows 10作業系統占比繼續超過Windows 7。
3月被感染系統中桌面系統和伺服器系統占比,仍是桌面系統占據絕對多數。與上個月的統計進行比較,並未出現較大的波動幅度。
此外,我們還關注了360論壇的勒索病毒板塊在2020年2月的用戶反饋動態(https://bbs.360.cn/forum.php?mod=forumdisplay&fid=7592):
本月論壇反饋總計77個案例,涉及19個家族,並幫助其中部分用戶進行了解密。
反饋次數最多的三個家族依次為:GlobeImposter、Sodinokibi以及phobos。反饋新增的家族/變種包括:Crysis(修改文件後綴為iu21j、eight)、DoppelPaymer(修改文件後綴為doppeled、how2decrypt.txt)、Teslarvng(修改文件後綴為yakuza)、Stop(修改文件後綴為npsk、remk)等。
勒索病毒疫情分析
Teslarvng勒索病毒家族
Teslarvng勒索病毒為本月新出現的一款勒索病毒。由於國內的傳播量較小,目前暫時並未引起廣泛關注。該勒索病毒通過常見的弱口令攻擊方式進行傳播(暴力破解獲取到遠程桌面口令後手動投毒)。
該勒索病毒會在每個被加密文件末尾填寫「\\\\x93\\\\x9F\\\\x7B\\\\xA9」,並將加密成功和加密失敗的文件分別寫入到\\\\Adobe\\\\Extension Manager CC\\\\Logs目錄下的c.txt和fails.txt文件中。
和大部分勒索病毒相同,該病毒也是讓用戶通過勒索提示信息中留下的郵箱聯繫黑客,並修改文件後綴為.Teslarvng。該勒索病毒在本月還出現一個新型變種,修改文件後綴為.yakuza。
Nemty勒索病毒家族
在3月中旬,360安全大腦監控到Nemty勒索病毒開始利用U盤蠕蟲進行傳播,該渠道曾被GandCrab勒索病毒家族在2019年11月份第一次使用,並感染了大量設備。在本月蠕蟲攻擊量呈上漲態勢,同時從態勢圖可以看到該蠕蟲比較受工作時間影響,周末期間攻擊量會有一個較大的下降。但3月份的整體依然呈上漲態勢。
One-OAPlugins勒索病毒家族
360安全大腦在本月監測到一款勒索病毒利用通達OA系統的文件上傳漏洞進行傳播,該勒索病毒加密文件後會在其後綴名末尾增加一個數字1,並留下勒索信要求用戶支付0.3個比特幣的贖金。
黑客信息披露:
以下是本月搜集到的黑客郵箱信息:
jabber [email protected]
表格1. 黑客郵箱
系統安全防護數據分析
通過對2020年2月和3月數據進行對比發現,本月各個系統占比變化均不大。位居前三的仍是Windows 7 、Windows 8和Windows 10。
以下是對2020年3月被攻擊系統所屬IP採樣製作的地域分布圖,與之前幾個月採集到的數據進行對比,地區排名和占比變化不大。數字經濟發達地區仍是被攻擊的主要對象。
通過對2020年3月弱口令攻擊態勢分析發現,在本月Mssql的弱口令攻擊在本月中旬有兩次峰值。Rdp和Mysql弱口令攻擊在本月的攻擊整體無較大波動。
下圖展示的是利用Mssql攻擊系統行為的整體趨勢,整月數據相對平穩,沒有太大的波動。
圖11. Mssql攻擊攔截態勢圖
勒索病毒關鍵詞
該數據來自lesuobingdu.360.cn的搜索統計。(不包括WannCry、AllCry、TeslaCrypt、Satan、Kraken、Jsworm、X3m以及GandCrab幾個家族)
l Devos:屬於phobos勒索病毒家族,由於被加密文件後會被修改devos而成為關鍵詞,該勒索病毒主要通過暴力破解遠程桌面密碼,拿到密碼後手動投毒傳播。
l globeimposter-alpha865qqz:屬於GlobeImposter勒索病毒家族,由於被加密文件後綴會被修改為happychoose而成為關鍵詞,該勒索病毒主要通過爆破破解遠程桌面密碼,拿到密碼後手動投毒傳播。
l dewar:同devos
l Happychoose:同globeimposter-alpha865qqz。
l Voyager:屬於Hermes837勒索病毒家族,由於文件被加密後會被修改為voyager而成為關鍵詞。該勒索病毒家族主要通過暴力破解遠程桌面密碼,成功後手動投毒傳播。
l Stopv:為Stop家族,該勒索病毒的變種很多,通過破解軟體或者激活工具進行傳播。
l Readinstructions:屬於MedusaLocker勒索病毒家族又被稱作「美杜莎」勒索病毒,該勒索病毒主要通過暴力破解遠程桌面密碼,拿到密碼後手動投毒傳播。
l Ako:屬於Ako勒索病毒家族,該勒索病毒主要通過垃圾郵件和暴力破解遠程桌面密碼後手動投毒兩個渠道進行傳播。
l Globeimposter:同globeimposter-alpha865qqz。
l Harma:屬於Crysis勒索病毒家族,由於文件被加密後會被修改為ncov而成為關鍵詞。該勒索病毒家族主要通過暴力破解遠程桌面密碼,成功後手動投毒傳播。
解密大師
從解密大師本月解密數據來看:解密文件數量最大的仍是GandCrab,其次是「已鎖定」;而從尋求解密的中招設備數量維度看,最多的則是HackedSecret家族,其次是Stop家族。
總結
針對伺服器的勒索病毒攻擊依然是當下勒索病毒的一個主要方向,企業需要加強自身的信息安全管理能力——尤其是弱口令、漏洞、文件共享和遠程桌面的管理,以應對勒索病毒的威脅,在此我們給各位管理員一些建議:
1. 多台機器,不要使用相同的帳號和口令
2. 登錄口令要有足夠的長度和複雜性,並定期更換登錄口令
3. 重要資料的共享文件夾應設置訪問權限控制,並進行定期備份
4. 定期檢測系統和軟體中的安全漏洞,及時打上補丁。
5. 定期到伺服器檢查是否存在異常。查看範圍包括:
(1) 是否有新增帳戶
(2) Guest是否被啟用
(3) Windows系統日誌是否存在異常
(4) 殺毒軟體是否存在異常攔截情況
6. 安裝安全防護軟體,並確保其正常運行。
7. 從正規渠道下載安裝軟體。
8. 對不熟悉的軟體,如果已經被殺毒軟體攔截查殺,不要添加信任繼續運行。
此外,無論是企業受害者還是個人受害者,都不建議支付贖金。支付贖金不僅變相鼓勵了勒索攻擊行為,而且解密的過程還可能會帶來新的安全風險。
常見的勒索病毒,很多隻加密文件頭部數據,對於某些類型的文件(如資料庫文件),可以嘗試通過數據修復手段來挽回部分損失。如果不得不支付贖金的話,可以嘗試和黑客協商來降低贖金價格,同時在協商過程中要避免暴露自己真實身份信息和緊急程度,以免黑客漫天要價。由於解密服務公司多是通過聯繫黑客購買密鑰解密文件,所以儘量避免諮詢太多第三方解密公司(諮詢太多第三方解密公司相當於諮詢多次黑客,可能會導致黑客漲價。)