2019年7月勒索病毒疫情分析

 

勒索病毒的蔓延,给企业和个人都带来了严重的安全威胁。360安全大脑针对勒索病毒进行了全方位的监控与防御。从本月数据来看,反勒索服务反馈量有小幅度上升,其中Stop是反馈量上升最大的一个家族。

360解密大师在本月新增了对LoopCipher勒索病毒家族的解密支持。

 

感染数据分析

相较于六月数据,本月反勒索服务的反馈量有小幅度的上升,其中以Stop的反馈量上升最大。同时在本月反馈中,勒索病毒的类型也是最为丰富的一次,共出现了29个不同家族勒索病毒。

图1.近12个月勒索病毒反馈统计

对本月勒索病毒家族占比分析看:GlobeImposter家族占比21.21%居首位, phobos和Stop两个家族则以14.20%和13.65%的占比分列二三位。

图2.2019年7月勒索病毒家族占比

从被感染系统占比看:本月占比居前三的仍是Windows7、Windows10和Windows Server 2008,但是各自占比都有大幅度的变化。其中变化最大的Windows 7从6月的29.47%跃升到本月的56.45%。

图3.2019年7月被感染系统占比

对比2019年6月与7月被感染系统情况,本月个人系统占比有较大上升。个人系统从69%上升至本月的86%。这与本月Stop、Sodinokibi两个勒索病毒家族的异常活跃紧密相关。

图4.2019年6月和7月被感染系统占比对比图

勒索病毒疫情分析

Stop

本月Stop勒索病毒家族新增format、bopador、masok、cosakos、lotej、prandel、 zatrov、brusaf等后缀。中毒用户几乎都是从国外网站下载激活工具、破解软件导致大量文件被加密。虽然国内反馈量很大,但是相对于国外,量会小很多。

由于Stop本身的可定制化,传播者可以根据自己的喜好去设置被加密文件后缀、设置加密文件时使用的密钥,导致其变种非常多——迄今为已有100多种。为应对不同变种不断更新离线key的情况,360解密大师还提供了无需更新离线key的解密方案:用户可以通过提供一对文件(加密后的文件和加密前的原始文件)在用户本地进行密钥碰撞运算,以此来解密文件。

图5.解密大师解密Stop勒索病毒

Sodinokibi

360安全大脑监控到,Sodinokibi勒索病毒在7月21号,有一次较大规模的钓鱼邮件传播。勒索病毒传播者冒充DHL(告知用户快递被无限期延迟,具体原因查看附件)、网警(告知用户使用过的图片造成侵权将受到罚款,具体情况查看附件)向用户发送垃圾邮件,诱惑用户下载运行邮件附件从而加密。这次攻击事件,也造成很多计算机被攻击中招。

图6.Sodinokibi通过邮件传播趋势图

Ech0Raix

本月中旬,一款名为Ech0Raix的勒索病毒开始针对国内进行传播,主要攻击目标为NAS服务器,国内群辉(Synology)和威联通(QNAP)等主流NAS设备都有中招反馈。该勒索病毒加密文件后修改文件后缀为encrypt,并向受害者索要0.06个比特币。

图7.被Ech0Raxi加密的文件

通过对中招服务器分析发现,服务器上存在大量的远程桌面口令爆破记录和SSH口令爆破记录,并且在文件被加密前有通过远程桌面成功登录服务器记录。经过360分析人员的进一步分析发现该勒索病毒传播是先通过爆破拿到远程桌面密码,登录到系统后在本地创建计划任务,通过计划任务去下载执行勒索病毒,实现对用户本地文件的加密。

图8.黑客创建删除计划任务

黑客信息披露

以下是2019年7月份以来,黑客在使用的勒索病毒联系邮箱。

help989@redchan.it

brodiecustance@narvey.com

satana@keemail.me

bitcoin1@foxmail.com

yourlastchance@cock.li

sypress@tutanota.com

zorin@rape.lol

yourlastchancehelp@cock.li

sypresss@protonmail.com

truesoft7@protonmail.com

support@p-security.li

zyxel@cock.li

grethen@tuta3.io

ban.out@foxmail.com

RansomwareRecoveryExperts@tutanota.c

MailPayment@decoding.biz

brooksdell597@aol.com

mcaffe@tutanota.com

wewillhelpyou@qq.com

enigmacrypt@qq.com

epta.mcold@aol.com

helpyourdata@qq.com

fileb@protonmail.com

epta.mcold@gmail.com

kew07@qq.com

files2@protonmail.com

epta.mcold@yahoo.com

fastsupport@xmpp2.jp

Keta990@protonmail.com

Quickhelp24@aol.com

btcdecoding@qq.com

ogorman.linoel@aol.com

Quickhelp24@protonmail.com

decryptoperator@qq.com

recover_bbc@qq.com

Quickhelp24@tuta.io

datadecrypt@qq.com

software7@tutanota.com

draizex@airmail.cc

helpme1@cock.li

supportrecovery@decryption.biz

mk.nightwoilf@aol.com

Decryptcn@protonmail.ch

sv.goro@aol.com

mk.Nighwolf@inbox.lv

cleverhorse@protonmail.com

William_Kidd_2019@protonmail.com

your_last_chance@thesecure.biz

sherlokcock@cock.li

decryptsupport@airmail.cc

your_last_chance_help@elude.in

enc0@dr.com

donaldtrump@rapidteamail.com

gorentos@bitmessage.ch

enc1@usa.com

mavxfashghgr@mailchuck.com

varasto@firemail.cc

betacrypt@protonmail.com

supportlocker@firemail.cc

legion.developers72@gmail.com

jessica5ixnhwilson@aol.com

AliMussafenLibat@protonmail.com

abigailc4mypbrown@aol.com

mrhacker@cock.li

GeorjeHalique@protonmail.com

batmanbitka1@cock.li

mstr.hacker@protonmail.com

kleomicro@dicksinhisan.us

paradaise888@cock.li

robertbang@aol.com

kleomicro@gmail.com

mydataback@cock.li

thebest777@protonmail.ch

diller13@protonmail.com

datahelper@protonmail.com

acva@foxmail.com

help989@protomail.com

drogo@tfwno.gf

azor@airmail.cc

help989@protonmail.com

diller13@cockli

表格1.黑客邮箱

服务器防护数据分析

通过对2019年6月和7月的数据进行对比分析发现,操作系统占比变动不大,在小范围内浮动。

图9.2019年7月被弱口令攻击系统占比

以下是对2019年7月被攻击系统所属IP采样制作的地域分部图,与之前几个月采集到的数据进行对比,地区排名和占比变化都不大。数字经济发达地区仍是被攻击的主要对象。

图10.被攻击地域分部图

通过对6月和7月的弱口令攻击数据数据进行分析,两月的数据相对比较稳定,未发现大规模弱口令攻击。

图11.2019年7月弱口令攻击趋势图

勒索病毒关键词

该数据来源lesuobingdu.360.cn的搜索统计。(由于WannaCry、AllCry、TeslaCrypt、Satan以及kraken几个家族在过去曾出现过较大规模传播,之前的搜索量较高,长期停留在推荐栏里,对结果有一定影响,故在统计中去除了这几个家族的数据。)

对本月用户搜索勒索病毒关键词进行统计,检索量较大的关键词如下:

  • Help989:属于GlobeImposter家族的一个变种,由于被加密文件后缀会被修改为Help989而成为关键词,该勒索病毒家族主要通过爆破远程桌面,手动投毒传播。
  • Your_last_chance:属于Nemesis家族的一个变种,由于被加密文件后缀会被修改为Your_last_chance而成为关键词,该勒索病毒家族主要通过爆破远程桌面,手动投毒传播。
  • Actin:属于phobos家族的一个变种,由于被加密文件后缀会被修改为Actin而成为关键词,该勒索病毒家族主要通过爆破远程桌面,手动投毒传播。
  • Jsworm4.0.1:属于Jsworm家族,该勒索病毒主要通过垃圾邮件进行传播,国内也出现通过爆破远程桌面后通过手动投毒进行传播。
  • Supporhelpgood:同Help989。
  • Adage:同Actin。
  • Firex3m:同Your_last_chance。
  • Diller13:同Actin。
  • Pig4444:同Help989
  • Sin_easter.666@aol.com: 同Help,不同点在于该关键词为邮箱,是黑客留下用来沟通解密所用。

图12.2019年7月勒索病毒关键词Top10

360解密大师

从360解密大师本月的解密统计数据看,本月解密量最大为GandCrab家族,其次是Plantery。其中使用解密大师解密文件的用户数量最高的为Stop家族,其次为GandCrab家族。

图13.2019年7月解密大师解密情况图

总结

针对服务器的勒索病毒攻击依然是当下勒索病毒的一个主要方向,企业需要加强自身的信息安全管理能力——尤其是弱口令、漏洞、文件共享和远程桌面的管理,以应对勒索病毒的威胁,在此我们给各位管理员一些建议:

  1. 多台机器,不要使用相同的账号和口令
  2. 登录口令要有足够的长度和复杂性,并定期更换登录口令
  3. 重要资料的共享文件夹应设置访问权限控制,并进行定期备份
  4. 定期检测系统和软件中的安全漏洞,及时打上补丁。
  5. 定期到服务器检查是否存在异常。查看范围包括:
    1. 是否有新增账户
    2. Guest是否被启用
    3. Windows系统日志是否存在异常
    4. 杀毒软件是否存在异常拦截情况

而对于本月又重新崛起的这对个人电脑发起攻击的勒索病毒,建议广大用户:

  1. 安装安全防护软件,并确保其正常运行。
  2. 从正规渠道下载安装软件。
  3. 慎用各种激活工具。
  4. 对不熟悉的软件,如果已经被杀毒软件拦截查杀,不要添加信任继续运行。
  5. 遇到陌生人发送的邮件,要谨慎查看,尽量避免下载附件。如需要下载,也要先用安全软件对附件进行检查。
(完)