auther:kangxiaopao
前言
勒索病毒的傳播導致大量用戶的重要文件被加密,360互聯網安全中心針對勒索病毒進行了多方位的監控以及防禦。從反饋數據分析本月勒索病毒的感染量處於下降狀態,同時防黑加固相關數據顯示對於弱口令爆破攔截的次數持續上升,且單日的攔截次數高達400多萬次。
另外,本月更新的文件解密工具針對部分版本Satan勒索病毒提供了對應的解密支持。並已爲受到此類病毒感染的受害者成功解密了大量重要文件。
感染用戶數據
從1月到7月份的反饋數據來看,受害者的數目在4月份之後一直在處於下降狀態,衛士針對服務器勒索病毒的防禦,有明顯的效果。
圖1.2018你那勒索病毒反饋趨勢
從7月份的反饋數據來看,勒索病毒不再只是熱衷於使用弱口令攻擊來獲取服務器權限,同時還利用了漏洞攻擊嘗試獲取系統權限來加密用戶機器上的文件。從本月的感染趨勢看,勒索病毒的傳播量並不穩定,而是呈現出週期性的波動。這個和它的傳播方式有一定的聯繫,即:爆破服務器獲取密碼→登錄服務器植入密碼。
圖2.7月份服務器勒索病毒感染趨勢
針對被感染的系統進行分析,Windows 7系統的感染量佔比依然是佔比最大。
圖3.7月份被勒索病毒感染的系統分佈
勒索病毒分析
通過對7月份的反勒索服務數據進行統計,主流的勒索病毒家族還是GlobeImposter和Crysis兩個家族。而且從本月的數據來看,GlobeImposter的佔比已經高於Crysis家族的佔比,之前反饋量較多的BTCWare家族在這個月開始已經沒有任何反饋,同時新出現了關於Scarab家族的反饋。
圖4.7月份勒索病毒佔比
其中GlobeImposter家族和Crysis家族的手法和勒索病毒程序並沒有多大變化,目前仍在使用的後綴如下表格(GlobeImposter家族的部分後綴爲重啓的較早前後綴,故雖然上月未出現但並非新增後綴):
| 家族 | Crysis家族 | GlobeImposter家族 |
| 後綴 | arrow | {eight1.hundred}ZYX |
| bip | ALCO | |
| java | BOOTY | |
| nemesis | BUNNY | |
| CHAK | ||
| CHIEF | ||
| crypted_katayama@cock_email | ||
| FOOT | ||
| FREEMAN | ||
| TRUE+ | ||
| WALKER | ||
| YOYO | ||
| CHIEF |
表格1.勒索病毒後綴
7月份仍在傳播的勒索病毒中值得一提的是Satan家族的勒索病毒,該家族的勒索病毒在6月份開始爆發,在7月下旬的時候就被破解了。解密工具已經添加到了360安全衛士中的文件解密工具中。
下圖是用戶反饋提供的使用360文件解密工具進行解密的截圖:
圖5.使用360”文件解密”工具協助用戶解密文件
該勒索病毒的傳播在7月份中旬的時候傳播達到最高點的,單天的攔截量達到800多次,此之後開始下降,在7月末出現解密工具時甚至到了一天0傳播量。
圖6.Satan攻擊趨勢圖
另外需要注意的是新出現的Scarab家族。該家族的勒索病毒之前主要在俄羅斯進行傳播,但是在7月份開始,國內出現有用戶被該家族的勒索病毒感染,導致服務器宕機。
該勒索病毒的早期傳播主要是利用Necurs殭屍網絡進行傳播,後期則使用了弱口令爆破的方式來植入病毒到用戶機器。和GlobeImposter類似,該勒索病毒也使用了大量不同的文件後綴。下圖是其中的一個變種:
圖7.Scarab勒索病毒變種
GandCrab勒索病毒在7月初出現了新的版本——V4.0。並且在一個月內還進行了小版本的迭代更新,截止到本稿編寫時,360捕獲到的最新版本爲V4.2。在更新版本的過程中,GandCrab曾因傳播量較大導致有研究人員猜測其加入了SMB橫向攻擊來進行傳播。但後經覈實,該勒索病毒還未加入此類傳播手段。在V3.0到V4.0這個大版本的更新中,主要更新點在於對文件的加密算法:該勒索病毒從最開始的使用RSA-2048加密算法變爲了使用加密效率更高的Salsa2.0算法。
圖8.GandCarb勒索病毒使用salsa算法
雖然國內GandCrab的感染量並不大,但是從360互聯網的攔截數據來看,該家族的勒索病毒仍在持續不斷進行傳播。
圖9.GandCrab傳播趨勢圖
攻擊數據
以下是7月份以來黑客還在使用的勒索病毒聯繫郵箱(部分來自用戶反饋)
| dbger#protonmail.com | gracey1c6rwhite#aol.com | fire_show#tuta.io |
| decrypthelp#qq.com | crypted_katayama#cock_email | badbusiness#tutanota.de |
| backfiles2#aol.com | reek#tuta.io | kayla7tzpnthompson#aol.com |
| y4XuA.fastrecovery#xmpp2.jp | unlockmeplease#cock.li | avarufilturner#aol.com |
| recovery#foxmail.com | xmail#cock.li | reeman_dor#aol.com |
| dbger#protonmail.com | eight1.hundred | symabkp#protonmail.com |
| footballprom#tuta.io | mrbin775#gmx.de | mrbin775#protonmail.com |
| bd.recovery#aol.com | bd.recovery#india.com | asgard2018#cock.li |
| Diesel_space#aol.com | bigbig_booty#india.com | freeman.dor#aol.com |
| reserve_player#aol.fr | true_offensive#aol.com | emilysupp#outlook.com |
| Mrbin775#gmx.de | firmabilgileri#bk.ru | gardengarden#cock.li |
| ghjujy#tuta.io | servicedeskpay#protonmail.com | dsupport#protonmail.com |
| soft2018#tutanota.com | newsoft2018#yandex.by | soft2018#mail.ee |
表格2.黑客郵箱
防黑加固數 據
從7月份的防黑加固數據來看,被攻擊的系統中Windows7佔比是最高的,主要原因還是Windows7 的用戶基數較大。
圖10.防黑加固防護系統攻擊分佈
以下是根據7月份的放黑加固數據製作的被攻擊地域分部圖。從地圖中可以看出,黑客攻擊主要還是高發於經濟發達地區和人口稠密地區這兩類區域。
圖11.被攻擊分佈圖
對攻擊數據進行分析發現,美國的IP佔據了所有IP的大半部分,以下是攻擊IP對應國家的TOP10的餅狀圖。
圖12.攻擊IP對應國家和地區TOP10
目前防黑加固已經支持對RDP, MySQL, MSSQL的弱口令攻擊進行攔截,以下是7月份的攔截數據。
圖13.弱口令攔截趨勢
從攔截趨勢來看,攔截次數在本月主體呈現小幅上升趨勢。通過對IP數據和被攻擊用戶的分析,發現原因是黑客加大了攻擊頻率,試圖更高效的獲取用戶登錄口令導致。
總結
針對服務器的勒索病毒攻擊已經成爲當下勒索病毒的一個主要方向,企業應該加強自身的信息安全管理能力,尤其是弱口令,漏洞,文件共享和遠程桌面的管理,在此我們給各位管理員一些建議:
- 多臺機器,不要使用相同的賬號和口令。
- 登錄口令一定要複雜,採用大小寫字母、數字、特殊符號混合的口令結構,且口令位數應足夠長,並定期更換登錄口令。
- 共享文件夾要設置訪問權限管理。如果因爲其他需要不能設置訪問權限,則建議對該文件夾進行定期安全備份
- 定期檢測系統和軟件中的安全漏洞,及時打上補丁。