2019年上半年勒索病毒疫情分析报告

 

摘要

上半年,国内受勒索病毒攻击的计算机数量超过225.6万台(排除WannaCry数据)。2月的攻击量最高,较为反常,4、5、6三个月的攻击量则逐步平稳降低,总体攻击量仍然较高。

2019年上半年,360反勒索服务平台一共接收并处理了超过1500例遭勒索病毒攻击求助。

2019年上半年,活跃的勒索病毒家族以GandCrab、GlobeImposter、Crysis为主。仅针对这三个家族的反勒索申诉案例就占到了所有案例的74.1%。

勒索病毒所攻击的地区以数字经济发达和人口密集地区为主,全年受到攻击最多的省市前三为:广东、浙江、北京。

被勒索病毒感染的系统中Windows 7系统占比最高,占到总量的46.7%。在系统分类中,服务器系统占比进一步提高,占到总量的25.1%。

据统计,在2019年上半年,受到勒索病毒攻击最大的行业前三分别为:批发零售、制造业、教育,占比分别为15.4%、14.4%、12.6%。

根据反勒索服务的反馈数据统计,受感染计算机的使用者多为80后和90后,分别占到总数的56.6%和23.7%。男性受害者占到了89.8%,女性受害者则仅为10.2%。

根据反勒索服务的反馈数据统计,97.7%的受害者在遭到勒索病毒攻击后,选择不向黑客支付赎金。

2019年上半年,勒索病毒进一步加强对服务器系统的攻势。弱口令攻击依然是勒索病毒进入受害机器的主要手段。此外,钓鱼邮件、漏洞入侵、网站挂马、利用破解或激活工具传播也是勒索病毒传播的常见手段。

2019年上半年,勒索病毒形势更加严峻,技术攻防更加激烈,而对勒索病毒相关的服务也提出了更高的要求,标准化、专业化会是未来的一个趋势。

预计2019年下半年,勒索病毒的制作与攻防解密相关产业会有进一步的发展。而与之对应的打击力度,也势必会增加。

 

勒索病毒上半年攻击形势

2019年上半年,360互联网安全中心监测到大量针对普通网民和政企部门的勒索病毒攻击。根据360安全大脑统计,2019年上半年共监控到受勒索病毒攻击的计算机225.6万台,处理反勒索申诉案件超过1500例。从攻击情况和威胁程度上看,勒索病毒攻击依然是当前国内计算机面临的最大安全威胁之一。在企业安全层面,勒索病毒威胁也已深入人心,成为企业最为担忧的安全问题。本章将针对2019年上半年,360互联网安全中心监测到的勒索病毒相关数据进行分析。

勒索病毒总体攻击态势

2019年上半年,360互联网安全中心共监测到受勒索病毒攻击的计算机225.6万台,平均每天有约1.2万台国内计算机遭受勒索病毒的攻击。该攻击量较2018年同期相比有小幅上升,总体态势依然严峻。

下图给出了勒索病毒在2019年上半年受攻击的用户数情况。从图中可见,2月并没有因为天数少且有春节长假出现往年的攻击量降低的情况,而是逆势上涨,达到了42.7万台的攻击量。出现这一反常现象的主要原因是因为2月底,GandCrab勒索病毒家族出现了一次较大规模的挂马攻击,导致总体攻击量不降反升。

总体而言,2019年上半年勒索病毒的攻击态势相对比较严峻。2月的数据逆势上涨更是让上半年的总共计量明显高于去年同期。但随着那一次挂马攻击的完结和GandCrab勒索病毒家族也宣布不再更新,4月、5月、6月三个月的攻击量也有较为明显的回落。

反勒索服务处理情况

2019年上半年,360反勒索服务平台一共接收并处理了1600位遭受勒索病毒软件攻击的受害者求助,其中1500多位经核实确认为遭到了勒索病毒的攻击。结合360安全卫士论坛反馈,反勒索服务上半年帮助超过300多位用户完成文件解密。

下图给出了在2019年上半年,每月通过360安全卫士反勒索服务,提交申请并确认感染勒索病毒的有效申诉量情况。其峰值出现3月,共计确认173位用户被确认感染勒索病毒,6月份共计确认97个用户中勒索病毒。出现全年勒索病毒反馈低峰。

2019年1月至3月期间,勒索病毒感染量涨幅较大,主要是受到GandCrab、Paradise以及GlobeImposter三个勒索病毒家族的影响。在2月到3月期间,由于GandCrab和Paradise勒索家族使用Fallout Exploit Kit漏洞利用进行挂马攻击导致不少用户中招。从而使得在1月到3月期间勒索病毒反馈量一直处在上升趋势。

勒索病毒家族分布

下图给出的是根据360反勒索服务数据,所计算出的2019年上半年勒索病毒家族流行度占比分布图,PC端Windows系统下GandCrab、GlobeImposter、Crysis这三大勒索病毒家族的受害者占比最多,合计占到了74.1%。和2018年流行勒索病毒主要针对企业进行攻击相比,2019年上半年中,GandCrab、Paradise、Stop三个家族都有涉及攻击个人电脑。

传播方式

下图给出了攻击者投递勒索病毒的各种方式的占比情况,统计可以看出,远程桌面入侵与共享文件夹被加密仍然是用户计算机被感染的两个主要途径。虽然网站挂马以及恶意软件已经不是第一次被用来传播勒索病毒,但在2018年统计中占比仅5%,到2019年上半年占比高达了16.1%,上升迅速。

勒索病毒受害者分析

基于反勒索服务数据中申诉用户所提供的信息,我们对2019年上半年遭受勒索病毒攻击的受害人群做了分析。在地域分布方面并没有显著变化,依旧以数字经济发达地区和人口密集地区为主。而受感染的操作系统、所属行业则受今年流行的勒索病毒家族影响,与以往有较为明显的变化。受害者年龄层分布则集中在80后和90后,而性别依旧以男性为主。

受害者所在地域分布

360互联网安全中心监测显示,2019年上半年排名前十的地区中广东地区占比高达17.8%。其次是浙江省占比8.4%,北京占8.1%。前三地区均属于东部沿海一带地区。下图给出了被感染勒索病毒最多的前十个地区的占比情况。

2019年上半年受害者地区占比分布图如下。其中信息产业发达地区和人口密集地区是被攻击的主要对象。

受攻击系统分布

基于反勒索服务数据统计,被勒索病毒感染的系统中Windows 7系统占比最高,占到总量的46.7%。其主要原因是国内使用该系统的用户基数较大。而根据对系统类型进行统计发现,虽然个人用户的占比依然是绝对多数,但是通过对2018年全年以及2019年上半年个人系统占比和服务器系统占比对比分析能发现,在2019年上半年中,服务器感染勒索病毒的占比上升了3%。服务器还是被作为重点攻击对象。

受害者所属行业分布

下图给出了受勒索病毒攻击的受害者所属行业分布情况。根据反馈数据的统计显示,2019年上半年最易受到勒索病毒攻击的行业前十分别为:批发零售、制造业、教育、互联网、服务业、金融业、政府机关、交通运输、餐饮住宿、医疗。

受害者年龄层分布

下图给出了360反勒索服务的申诉者年龄层分布情况。其中80后站比高达56.6%,超过半数,其次是90后。这主要是由于这两个年龄层用户是目前工作中使用计算机和系统运维人员的主要群体,其接触计算机的时间明显高于其他年龄层的用户,导致其受到勒索病毒攻击的概率也远高于其他年龄层用户。

受害者性别分布

下图展示的是360反勒索服务的申诉者的性别分布情况。

造成申诉者男女占比悬殊的原因主要有二点:其一、与计算机接触最为频繁的IT技术行业或IT运维类岗位的男性员工占比明显多于女性。其二、很多女性用户遇到病毒问题,往往会优先选择寻求身边男性朋友的帮助。

受害者赎金支付情况

下图为根据360反勒索服务申诉者的赎金支付情况做出的统计。

由图可见,受害者中,仅2.3%支付了赎金,而97.7%的受害者并未支付赎金。而不选择支付赎金的理由,则更多是对支付后黑客是否会信守承诺给予解密工具表示担忧。排在其次的,则是由于不愿向黑客低头。

 

勒索病毒攻击者分析

2019年上半年,勒索病毒整体上已经抛弃了C&C服务器的使用。取而代之的是内嵌密钥以及直接投毒的方式,舍弃了通过C&C服务器的数据统计方式。黑客将传播的主要手段转变为了对服务器的直接入侵,这其中远程桌面弱口令攻击是绝对的主力入侵方案。

黑客登录受害计算机时间分布

下图给出了黑客成功攻陷计算机后的首次登录时间分布情况。针对被黑客攻击计算机(多为服务器系统)的相关数据进行分析,发现分布情况不再平均,上午与中午时间段攻击量较低,攻击主要集中在15时至次日7时。其原因一方面是因为这个时间段服务器无人值守,更易成功入侵,另一方面可能也和入侵者所在地区与中国存在时差有关。

攻击手段

弱口令攻击

口令爆破攻击依然是当前最为流行的攻击手段,使用过于简单的口令或者已经泄露的口令是造成设备被攻陷的最常见原因。计算机中涉及到口令爆破攻击的暴露面,主要包括远程桌面弱口令、SMB弱口令、数据库管理系统弱口令(例如MySQL、SQL Server、Oracle等)、Tomcat弱口令、phpMyAdmin弱口令、VNC弱口令、FTP弱口令等。因系统遭遇弱口令攻击而导致数据被加密的情况,也是所有被攻击情况的首位。

弱口令攻击持续成为黑客热衷使用的手段,其原因有以下几点:

首先,虽然弱口令问题已经是一个老生常谈的安全问题了,但目前仍存在大量系统使用过于简单的口令或已经泄露的口令。究其原因,安全意识淡薄不在乎安全问题是一方面原因,还有一些是图省事,存在侥幸心理认为黑客不会攻击自己的机器。另外还有一个重要原因是使用者不清楚自己的设备中存在弱口令问题。

其次,各种弱口令攻击工具比较完善,被公布在外的利用工具和教程众多,攻击难度低;

再次,各类软件与系统服务,本身对口令爆破攻击的防护能力较弱,市面上很多安全软件也不具备防护弱口令扫描攻击的能力,造成这类攻击横行。

而弱口令形成的原因,也不单单是因为使用了过于简单的口令。使用已经泄露的口令,也是一个重要原因。如部分软件系统,存在内置口令,这个口令早已被攻击者收集,另外多个服务和设备使用相同口令,也是造成口令泄露的一个常见因素。因此,有效的安全管理是防护弱口令攻击的重要手段。

通过对数据进行统计分析发现,远程桌面弱口令攻击已成为传播勒索病毒的最主要方式。根据360互联网安全中心对远程桌面弱口令爆破的监控,上半年对此类攻击的日均拦截量超过370万次。排名靠前的勒索病毒家族,如GlobeImposter,GandCrab,Crysis都在利用这一方法进行传播。

从我们日常处理勒索病毒攻击事件的总结来看,黑客常用的攻手法一般是:首先尝试攻击暴露于公网的服务器,在获得一台机器的权限后,会利用这台机器做中转,继续寻找内网内其他易受攻击的机器,在内网中进一步扩散。在掌握一定数量的设备之后,就会向这些设备植入挖矿木马和勒索病毒。有时,黑客还会利用这些被感染机器对其他公网机器发起攻击。因此,当用户感知到机器被攻击文件被加密时,通常是多台设备同时中招。

钓鱼邮件

“钓鱼邮件”攻击是最常见的一类攻击手段,在勒索病毒传播中也被大量采用。通过具有诱惑力的邮件标题、内容、附件名称等,诱骗用户打开木马站点或者带毒附件,从而攻击用户计算机。比如Sodinokibi勒索病毒,就大量使用钓鱼邮件进行传播。攻击者伪装成DHL向用户发送繁体中文邮件,提示用户的包裹出现无限期延误,需要用户查看邮件附件中的“文档”后进行联络。但实际该压缩包内是伪装成文档的勒索病毒。

利用系统与软件漏洞攻击

漏洞攻防一直是安全攻防的最前沿阵地,利用漏洞发起攻击也是最常见的安全问题之一。目前,黑客用来传播勒索病毒的系统漏洞、软件漏洞,大部分都是已被公开且厂商已经修补了的安全问题,但并非所有用户都会及时安装补丁或者升级软件,所以即使是被修复的漏洞(Nday漏洞)仍深受黑客们的青睐。一旦有利用价值高的漏洞出现,都会很快被黑客加入到自己的攻击工具中。“永恒之蓝”工具就是其中的一个典型代表,其被用来传播WannaCry勒索病毒。

由于大部分服务器都会对外开放部分服务,这意味着一旦系统漏洞、第三方应用漏洞没有及时修补,攻击者就可能乘虚而入。比如年初的alanwalker勒索病毒,攻击Weblogic、Jboss、Tomcat等Web应用,之后通过Web应用入侵Windows服务器,下载执行勒索病毒。今年上半年,常被用来实施攻击的漏洞包括(部分列举):

Confluence RCE 漏洞CVE-2019-3396

WebLogic反序列化漏洞cve-2019-2725

Windows内核提权漏洞 CVE-2018-8453

JBoss反序列化漏洞CVE-2017-12149

JBoss默认配置漏洞CVE-2010-0738

JBoss默认配置漏洞CVE-2015-7501

WebLogic反序列化漏洞CVE-2017-10271

“永恒之蓝”相关漏洞 CVE-2017-0146

Struts远程代码执行漏洞S2-052(仅扫描)CVE-2017-9805

WebLogic任意文件上传漏洞CVE-2018-2894

Spring Data Commons远程代码执行漏洞CVE-2018-1273

又如今年4月底,360安全大脑就监控到有黑客在利用各类Web组件漏洞攻击用户服务器,并植入“锁蓝”勒索病毒。攻击者主要使用的是一个4月底被披露的Weblogic远程代码执行漏洞,因为许多用户还没来得及打补丁,“锁蓝”才会屡屡得手。

网站挂马攻击

挂马攻击一直以来是黑客们热衷的一种攻击方式,常见的有通过攻击正常站点,插入恶意代码实施挂马,也有自己搭建恶意站点诱骗用户访问的。如果访问者的机器存在漏洞,那么在访问这些被挂马站点时,就极有可能感染木马病毒。如今年3月份再次活跃的Paradise勒索病毒,就是通过网站挂马的方式进行传播的。攻击者使用了在暗网上公开售卖的Fallout Exploit Kit漏洞利用工具进行攻击,该漏洞利用工具之前还被用来传播GandCrab和一些其它恶意软件。

在使用的漏洞方面,Windows自身漏洞和flash漏洞是网页挂马中,最常被使用到的漏洞。比如CVE-2018-4878 flash漏洞和CVE-2018-8174 Windows VBScript引擎远程代码执行漏洞就被用来传播GandCrab。

破解软件与激活工具

破解软件与激活工具通常都涉及到知识产权侵权问题,一般是由个人开发者开发与发布,缺少有效的管理,其中鱼龙混杂,也是夹带木马病毒的重灾区。如国内流行的一些系统激活工具中,多次被发现携带有下载器,rootkit木马,远控木马等。STOP勒索病毒便是其中一类,从去年年底开始活跃的STOP勒索病毒,通过捆绑在一些破解软件和激活工具中,当用户下载使用这些软件是,病毒便被激活,感染用户计算机,加密计算机中的文件。

 

勒索病毒发展趋势分析

2019年上半年,勒索病毒毫无疑问的再次领跑了最热门安全话题,成为企业、政府、个人最为关注的安全风险之一。2019年上半年,整个行业也发生了一些变化,我们将从技术和产业两个方面进行分析。

勒索病毒攻防技术发展

攻防进一步加剧

随着勒索病毒发展,其技术攻防也在进一步加剧。勒索病毒在制作传播上,也使用了更多样的漏洞,以往勒索病毒的漏洞利用往往集中在传播阶段,利用各式漏洞来加强其传播与感染能力,最典型的如wanncry集成“永恒之蓝”漏洞利用工具,得以大范围传播。而今年勒索病毒开始在更多阶段利用漏洞发起攻击,如“锁蓝”勒索病毒就集成了cve-2018-8453 Windows内核提权漏洞,使病毒能够运行在较高权限,威力进一步加强。对漏洞的利用也不局限于此,更多新披露漏洞会很快被用来发起攻击,每当有新漏洞被披露,就会有新一波攻击发起。还出现了利用供应链发起攻击的勒索病毒攻击事件。

同时,勒索病毒制作团伙也在尝试更多样的攻击目标,以往主要出现在Windows平台的勒索病毒,目前在Android,MacOS,Linux上均有出现。而被打击的目标,也不再只局限于计算机,数据库、各种嵌入式设备、专用设备上也被曝出受到勒索病毒攻击影响。

勒索病毒防护技术发展

2019年上半年,勒索病毒的防御重点,已经由对病毒的识别、查杀、拦截,转为了对病毒传播渠道的封堵,对主机的安全加固,被加密文件的解密探索上来。

依托多年来的技术积累,360安全卫士在勒索病毒的识别、查杀、拦截方面均有良好表现,病毒作者通过免杀来绕过杀软的查杀和防御已经非常困难。目前勒索病毒在投递之前,通常会诱使用户退出杀软或者攻击者主动关闭杀毒软件来避免病毒被查杀。因此在对抗勒索病毒攻击方面,对用户的安全科普是一方面,对病毒传播渠道的封锁拦截也是重要的一项内容。例如STOP勒索病毒会捆绑在一些激活工具中进行传播,在获取用户信任之后,依靠用户手动放行来实施攻击。杀毒软件如果能先于攻击者,在其传播渠道上就进行拦截提示,能够取得更好的效果。

上半年,针对服务器的攻击占整体勒索病毒攻击的25%以上,服务器由于无人值守,长期暴露于公网之上等原因,造成其被攻击的攻击面相对较大。而服务器被攻击的常见原因包括口令爆破攻击和系统或软件服务漏洞攻击,针对这一系列问题,360安全卫士增加了“远程桌面爆破防护”、SQL Server爆破防护、VNC爆破防护、Tomcat爆破防护等一系列防护。在漏洞保护方面,增加了有WebLogic、JBoss、Tomcat等多种服务器常见软件的漏洞防护,以及大量系统漏洞的防护能力。如果无法保证服务器本身的安全,那么勒索病毒的防护能力也会大打折扣,因此针对服务器的安全加固也是勒索病毒防护的重要防护目标。

对被勒索病毒加密文件的破解,一直以来都是勒索病毒受害者最关注的问题,因此对勒索病毒进行破解也是安全公司能力体现的重要方面。目前流行的勒索病毒也并非都无法破解,常见的破解原理包括:

        1. 利用泄露的私钥破解,通过各种渠道获取到病毒作者的私钥实现破解,如知名的GandCrab勒索病毒的私钥就被警方获取并公开,安全公司因此可以制作解密工具来进行解密。
        2. 利用加密流程漏洞进行破解,有部分勒索病毒本身编写不规范,错误使用加密算法或随机数生成算法等,造成加密密钥或关键数据能够被计算获取,从而解密。
        3. 名密文碰撞解密,这类解密常用于使用流式加密生成一个固定长度的密钥串,之后加密文件的勒索病毒。通过明密文对比计算从而得到使用的加密密钥,如STOP勒索病毒就是使用类似方法进行的破解。
        4. 爆破解密,这类解密也是由于病毒作者对密钥处理的不规范,造成密钥空间不足,为爆破解密提供了可能。常见的如使用时间做种子产生随机数做密钥的情况。

勒索病毒处置服务更趋专业化

以往的勒索病毒处置,多属于被攻击公司和安全公司应急响应的一部分,由安全运维团队兼职处理。随着勒索病毒感染事件的常态化,在勒索病毒处置方面,也出现了越来越多的专职处置团队。市面上也开始出现,专项来代理处理勒索病毒解密业务的解密公司。安全公司的处置业务也由之前的查杀病毒,协助解密,逐步扩展为:帮助企业恢复生产,查清原因,以及后续的安全加固服务,服务更趋专业化。安全软件对勒索病毒的防护能力,也成为企业和个人选择安全软件的一个重要关注点。

勒索病毒相关产业发展

病毒制作传播与解密相关产业

勒索病毒经过多年发展,其制作传播链条也逐步分工细化,包括制作、销售、传播、支付、解密等多个环节组成,参与人员更多,团队数量也在增加。

勒索病毒在赎金索要方面,也出现分化。部分团伙不在局限于比特币,门罗币等“数字货币”,开始接受一些支付工具直接转账的请求。而另外一些团伙则开始要求用户使用匿名性更高的一些“数字货币”——如“达世币”进行支付。在赎金要求方面,也有分化趋势,部分勒索病毒的赎金要求降低到了300美元左右,而有一些则要求数十万美元不等。

在勒索病毒解密方面,目前网上有记录的国内解密公司就有将近100余家,提供代缴赎金,数据解密恢复,数据库恢复等业务,因为其解密方式多是通过像黑客支付赎金来完成,也存在一些被人诟病的问题。

针对勒索病毒相关的犯罪打击

各国政府对勒索病毒问题的重视程度也在加大,对勒索病毒的打击力度加强。如我们国内,主管单位也发起过“勒索病毒的专项治理工作”,以加强机关单位对勒索病毒的重视程度与防护能力。

近年来对勒索病毒犯罪的打击也取得了一些进展,如前不久FBI、欧洲刑警组织、罗马尼亚警察局、DIICOT、NCA等多家执法机构合作,拿到了GandCrab勒索病毒的私钥,帮助用户解密文件。

在国内,去年年底名噪一时的“扫码支付勒索病毒”,也很快被侦破,就在前不久作者被提起公诉,绳之以法。

在今年6月,国内一家知名“解密公司”控制人被武汉警方抓获,该公司联合黑客攻击国内多家公司的电脑,以解密为由索利,先后获利700余万元。

 

安全建议

面对严峻的勒索病毒威胁态势,我们分别为个人用户和企业用户给出有针对性的安全建议。希望能够帮助尽可能多的用户全方位的保护计算机安全,免受勒索病毒感染。

针对个人用户的安全建议

对于普通用户,我们给出以下建议,以帮助用户免遭勒索病毒攻击。

养成良好的安全习惯

  1. 电脑应当安装具有云防护和主动防御功能的安全软件,不随意退出安全软件或关闭防护功能,对安全软件提示的各类风险行为不要轻易采取放行操作。
  2. 可使用安全软件的漏洞修复功能,第一时间为操作系统和IE、Flash等常用软件打好补丁,以免病毒利用漏洞入侵电脑。
  3. 尽量使用安全浏览器,减少遭遇挂马攻击、钓鱼网站的风险。
  4. 重要文档、数据应经常做备份,一旦文件损坏或丢失,也可以及时找回。
  5. 电脑设置的口令要足够复杂,包括数字、大小写字母、符号且长度至少应该有8位,不使用弱口令,以防攻击者破解。

减少危险的上网操作

  1. 不要浏览来路不明的色情、赌博等不良信息网站,此类网站经常被用于发起挂马、钓鱼攻击。
  2. 不要轻易打开陌生人发来的邮件附件或邮件正文中的网址链接。也不要轻易打开扩展名为js 、vbs、wsf、bat、cmd、ps1等脚本文件和exe、scr等可执行程序,对于陌生人发来的压缩文件包,更应提高警惕,先使用安全软件进行检查后再打开。
  3. 电脑连接移动存储设备(如U盘、移动硬盘等),应首先使用安全软件检测其安全性。
  4. 对于安全性不确定的文件,可以选择在安全软件的沙箱功能中打开运行,从而避免木马对实际系统的破坏。

采取及时的补救措施

  1. 安装360安全卫士并开启反勒索服务,一旦电脑被勒索软件感染,可以通过360反勒索服务申请赔付,以尽可能的减小自身损失。

针对企业用户的安全建议

  1. 及时给办公终端和服务器打补丁修复漏洞,包括操作系统以及第三方应用的补丁,尤其是对外提供服务的各种第三方应用,这些应用的安全更新容易被管理员忽视。
  2. 如果没有使用的必要,应尽量关闭不必要的服务与对应端口,比如:135、139、445、3389等,不对外提供服务的设备不要暴露于公网之上。对外提供服务的系统,应保持在较低权限。
  3. 企业用户应采用具有足够复杂的登录口令,来登录办公系统或服务器,并定期更换口令。对于各类系统和软件中的默认账户,应该及时修改默认密码,同时清理不再使用的账户。
  4. 提高安全运维人员职业素养,除工作电脑需要定期进行木马病毒查杀外,远程办公使用到的其它计算机也应定期查杀木马。

附录1 2019年上半年勒索病毒大事件

GandCrab金盆洗手

GandCrab勒索病毒最早出现于2018年2月,通过RaaS服务广泛传播。但在2019年6月1日,这款曾一度成为2018年传播量榜首的勒索病毒突然宣布不再更新。

据该声明自称,GandCrab的制作团队已经通过该勒索病毒获得了超过20亿美元的巨额收益。值得庆幸的是,虽然该团队表示将销毁用于解密的密钥,但最终FBI公布了其解密密钥,360也在第一时间完成了解密大师工具的更新。目前,该病毒的受害者可以通过解密工具直接解密被其加密的文件。

Globelmposter继续蔓延

继2018年初,国内一省级儿童医院感染Globelmposter勒索病毒,不久9月山东十市不动产系统遭其入侵之后,2019年3月10日,360安全大脑监测发现GlobeImposter勒索病毒家族进一步蔓延,此次医疗行业中多家大型医院受到不同程度的感染。

GlobeImposter是目前国内最流行的勒索病毒之一,根据360安全大脑的监测发现,GlobeImposter最初的爆发轨迹可追溯到2017年。通过对比2017年至2019年上半年的勒索病毒家族占比数据,就能明显看出GlobeImposter流行度的变化,在所有流行勒索病毒中的占比中,该家族由2017年的3.2%快速跃升至2018年的24.8%,而2019年上半年更是进一步提升到了26.6%的占比。此外,由于位居榜首的GandCrab已于2019年6月1日停止传播,所以GlobeImposter有可能成为2019年度传播量最大的勒索病毒家族。

美国城市遭勒索病毒攻击,政府已交赎金

2019年5月底,美国佛罗里达州里维埃拉政府部门遭到勒索病毒攻击导致市政服务瘫痪,初步估计造成损失在1800万美元以上。当地政府已向黑客支付65比特币的赎金,按当时汇率核算,折合美元约60万美元。

据报道,此次事件是由于一名警局雇员打开了一封病毒邮件引起的。最终病毒感染了整个市政网络并传播勒索病毒,导致除911相关服务外,几乎所有市政服务设施全面瘫痪。除准备向黑客支付的赎金外,当地政府还计划花费94万美元用于购买的新的设备以重建其IT基础设施。

易到用车遭勒索病毒攻击

2019年5月26日,知名公司“易到用车”服务器遭到勒索病毒攻击。致使其APP完全瘫痪。

据易到用车官方微博称,此次攻击导致其核心数据被加密且服务器宕机。攻击者向易到索要巨额比特币作为要挟。

附录2 360安全卫士反勒索防护能力

弱口令防护能力

2017年至今,针对服务器进行攻击的勒索病毒一直是勒索病毒攻击的一个重要方向,其中弱口令爆破被许多勒索病毒家族传播者所青睐。针对这一问题,360安全卫士推出了系统安全防护功能,完善了“口令爆破”防护能力。

  • 2017年-2018年:新增对远程桌面弱口令防护支持。
  • 2018年-2019年:新增SQL Server爆破、VNC爆破、Tomcat爆破的防护支持。
  • 2019年上半年:新增RPC协议弱口令爆破防护

同时,对MYSQL、SQL Server、Tomcat等服务器常用软件也加入了多方位的拦截防护。

漏洞防护防护能力

新增漏洞拦截能力(部分列举):

  • 新增对Outlook远程代码执行漏洞拦截(CVE-2017-11774,它允许攻击者逃离Outlook沙箱并在底层操作系统上运行恶意代码)。
  • 新增对致远OA系统远程任意文件上传漏洞拦截支持(该漏洞会造成攻击者恶意上传恶意代码到用户系统)。
  • 新增对破坏力堪比“永恒之蓝”的高危远程桌面漏洞(CVE-2019-0708)的拦截支持。
  • 新增对Windows 10下多个本地提权的0day漏洞拦截支持。
  • 新增对IE11处理MHT文件方式时可绕开IE10浏览器保护漏洞拦截支持。(该漏洞能在用户不知情的情况下,被黑客用来发起钓鱼网络攻击,窃取本地文件)。
  • 新增对Winrar远程代码执行漏洞拦截支持(CVE-2018-20250,unacev2.dll任意代码执行漏洞)。

挂马网站防护能力

针对勒索病毒的防护,更高效可靠的防护时间点应该是其攻击传播阶段。2019年上半年GandCrab、Paradsie两个家族都利用到了网站挂马来传播勒索病毒,针对这一情况,360安全大脑能第一时间监控并识别该网站的恶意行为并作出拦截。

钓鱼邮件附件防护

钓鱼邮件一直以来都是勒索病毒传播的重要渠道,2019年有更多团伙开始使用钓鱼邮件来传播其代理的勒索病毒。冒充国际快递,国际警方等诱惑用户下载运行邮件附件的案例数不胜数。针对这一情况,360安全大脑精准识别邮件附件中潜藏的病毒木马,替用户快速检测附件中是否存在问题。

附录3 360解密大师

360解密大师是360安全卫士提供的勒索病毒解密工具,是目前全球范围内支持解密类型最多的一款解密工具。

2019年上半年360解密大师共计更新版本23次,累计支持解密勒索病毒超过300种,上半年服务用户约14000人次,解密文件近6000万次。

下图给出了360解密大师在2019年上半年成功解密受不同勒索病毒感染的机器数量的占比分布情况。其中,GandCrab由于本身感染基数大且全部版本均已有可靠的解密方案,所以占比最多。

附录4    360勒索病毒搜索引擎

该数据来源lesuobingdu.360.cn的使用统计。(由于WannaCry、AllCry、TeslaCrypt、Satan以及kraken几个家族在过去曾出现过大规模爆发,之前的搜索量较高,长期停留在推荐栏里,对结果有一定影响,故在统计中去除了这几个家族的数据。)

通过对2019年上半年勒索病毒搜索引擎热词进行分析发现,除了由于用户各种原因滞留的前五热词外,搜索量排前五的关键词情况如下:

  • GandCrab: “GandCrab”成为关键词主要由于黑客留下的文档中都会包含该“GandCrab”关键词以及版本号。该勒索病毒的传播渠道众多,导致该勒索病毒的受害者在2019年上半年占比也是最高的。
  • FireX3m: “FireX3m”成为关键词主要由于被加密文件后缀会被统一修改为“FireX3m”,该关键词属于X3m勒索病毒家族。该勒索病毒于今年5月份又开始在国内大量传播,主要通过远程桌面爆破后收到投毒投放。从5月份到6月底,共有2个活跃变种:FireX3m、YOUR_LAST_CHANCE。
  • Scaletto:“Scaletto”成为关键词主要由于被加密文件后缀会被统一修改为“Scaletto”,该关键词属于GlobeImposter勒索病毒家族。该勒索病毒家族,后缀更新非常频繁,从2017年开始传播至今,其后缀上百种。“Scaletto”后缀为GlobeImposter家族的主要传播变种。该勒索病毒家族目前主要通过爆破远程桌面口令,手动投毒。其主要受害者为企业用户。
  • ETH:“ETH”成为关键词,主要由于被加密文件后缀会被统一修改为“ETH”,该关键词属于Crysis勒索病毒家族。该勒索病毒是当前传播史最长的一个家族,该勒索病毒家族从2016年开始传播至今,通常是由爆破远程桌面口令后手动投毒传播。
  • Actin:“Actin”成为关键词主要由于被加密文件后缀,会被统一修改为“ACTIN”,该关键词属于phobos勒索病毒家族。该勒索病毒是2019年新增的一个勒索病毒家族,该家族从传播渠道到勒索提示信息,全部都在刻意模仿Crysis勒索病毒家族。
(完)