2018年10月國內勒索病毒疫情分析
隨著勒索病毒的廣泛傳播,給企業和個人的資料帶來嚴重的威脅,360網際網路安全中心針對勒索病毒進行了多方位的監控與防禦。從本月的反饋資料來看,勒索病毒的傳播量總體呈下降趨勢,而由於系統存在漏洞導致被感染的使用者佔比,則在本月有所上漲。
感染資料分析
通過對本月勒索病毒的感染資料進行統計分析,10月相對於9月反饋數量有小幅度下降。10月份整體反饋下降的主要原因是受弱口令爆破影響被感染的系統數量減少,但針對存在此類風險的環境(例如開啟遠端桌面功能,使用共享資料夾,mssql資料庫服務,Tomcat等),仍應重視弱口令攻擊問題。
圖1. 2018年反饋數量統計
通過對360防護資料中心監控的資料分析進行,在10月22號有一次小規模的勒索病毒爆發。此次小規模的爆發的主要是由GandCrab勒索病毒傳播引起,最主要傳播途徑是口令爆破。
圖2. 10月份勒索病毒感染趨勢
分析10月份勒索病毒家族分佈情況,GandCrab家族超越了之前佔據榜首的Crysis家族和GlobeImposter家族,成為傳播量最大的一個家族。分析了其部分原因:
- GandCrab病毒在暗網中進行售賣,使用分成模式,購買該勒索病毒的群體比較多。
- 該勒索病毒製造者,還建立維護了一個GandCrab病毒傳播者社群,招募病毒傳播者,並提供技術支援。使用門檻上要比另外幾大勒索病毒低。
- GandCrab勒索病毒引發的新聞事件最近較多,影響範圍擴大(例如本月被廣泛播報的新聞——敘利亞一位父親在twitter上釋出幫助請求,自己已逝兒子留下的照片被GandCrab勒索病毒加密事件),這也在一定範圍內提升了其 “知名度”,而其中不乏有所圖謀的不法分子。
圖3. 10月勒索病毒反饋分佈
被感染系統中,Windows7系統仍是佔比最大。
圖4. 10月被感染系統統計
通過對9月份和10月份被感染系統進行對比分析:發現在10月份中,被感染的伺服器佔比繼續上升。近幾個月,伺服器的感染量佔比逐月上升,不僅是因為伺服器被攻擊的價值更大,還因為伺服器上部署的服務更多,暴露面更大,對伺服器的攻擊一直居高不下。
圖5. 9月與10月被感染系統對比圖
勒索病毒最新情報
如前文所述,本月Crysis家族和GlobeImposter家族的傳播量在本月都有下降,但從使用的版本來看,兩個家族都還在對病毒進行不斷的更新,因此對於弱口令的防護仍舊需要提高重視。本月Crysis新增字尾XXXX和BETTA;GlobeImposter家族新增字尾Help4444和Crypted_bizarrio@pay4me_in。
| 家族 | Crysis家族 | GlobeImposter家族 |
| 字尾 | COMBO | Dragon4444 |
| GAMMA | Snake4444 | |
| BIP | Horse4444 | |
| BGTX | Rooster4444 | |
| XXXX | Help4444 | |
| BETTA | ALCO | |
| – | ROCK | |
| – | ofollow,noindex" target="_blank">crypted_bizarrio@pay4me_in | |
| – | ZYX | |
| – |
表1. Crysis家族,GlobeImposter家族本月使用字尾
在本月,通過RDP傳播的GandCrab勒索病毒在10月22號達到了高峰,而利用漏洞進行傳播的GandCrab勒索病毒則是在10月25號達到的最高峰。
圖6. GandCrab勒索病毒家族本月傳播趨勢
在10月25日達到傳播量頂峰的主要原因是該勒索病毒之前的版本已被成功破解,勒索病毒製造者也在這天釋出了新版本的勒索病毒。感染之前版本GandCrab的使用者可以通過“360解密大師”進行解密,支援包括GandCrab V5.0.3在內的之前的所有版本。
圖7. 解密被GandCrab加密的檔案
在處理使用者求助中,發現仍舊有使用者是因為下載破解軟體導致機器被勒索。在此再次提醒廣大使用者,如果下載的破解軟體被防毒軟體提示病毒並查殺,一定不要冒險執行,其中很有可能含有病毒木馬。下圖就是GandCrab勒索病毒的下載頁面,下載回來的程式會加密你的檔案,且最新版本的GandCrab勒索病毒目前無法破解。
圖8. GandCrab勒索病毒常見誘導下載頁面
此外,根據360防護中心監控到的資料發現:Satan勒索病毒已更新到V4.2版本,在最新版本中新增加了利用CVE-2018-2894(WebLogic任意檔案上傳漏洞)進行傳播。
圖9. CVE-2018-2894漏洞利用
從資料上看,Satan是從本月10月15日開始爆發,並在10月27號當天傳播量達到最高峰的。360安全研究人員對最新版本的Satan樣本進行分析發現——該勒索病毒的加密手段可以被破解,並在10月22號釋出了Satan V4.2版本的解密工具。
圖10. Satan勒索病毒傳播趨勢
本月我們還監控到了一款新的勒索病毒——sicck。該勒索病毒會向用戶索要1個位元來解密檔案,但它的勒索提示資訊在生成上存在一定問題——只有在管理員許可權下執行,才能成功生成勒索提示資訊。
圖11. sicck勒索病毒提示資訊
在對sicck勒索病毒分析時發現,在加密使用者系統內檔案時需要跳過一些資料夾不進行加密,這其中包含360相關的資料夾,該勒索病毒很有可能是一個國產的勒索病毒。
圖12. sicck勒索病毒分析
黑客資訊
以下是10月份以來黑客在使用的勒索病毒聯絡郵箱
| crypted_bizarrio@pay4me_in |
||
| crypted_marztoneb@tutanota_de |
||
| eight1.hundred |
||
| minotaur0428blaze.it |
||
| crypted_okumura@firemail |
||
表2. 黑客郵箱
防護資料
從被攻擊系統分佈圖看,被攻擊的伺服器系統版本中Windows server 2003佔比最高,其次是Windows 2008,再是Windows server 2012。建議使用者不要在使用停止支援的作業系統,更新到新版作業系統,能夠提供更好的安全保護。
圖13. 10月被攻擊系統分佈
以下是根據10月份被攻擊IP取樣製作的被攻擊地域分佈圖,和之前幾個月採集到的進行對比,地區的排名和佔比差別都不大。資訊產業發達的地區仍是被攻擊的主要物件。
圖14. 10月被攻擊地區分佈圖
通過10月份和9月份的弱口令攻擊趨勢對比可以發現,針對RDP進行攻擊的量在上升:在9月份最高一天攻擊次數為400多萬次,在10月份最高一天為600多萬近700萬次。而針對mysql進行攻擊量有明顯降低:在9月份最高一天有近2000萬次,在10月份最高的一天只有100多萬次。
圖15. 攻擊型別趨勢圖
總結
針對伺服器的勒索病毒攻擊已經成為當下勒索病毒的一個主要方向,企業也需要將強自身的資訊保安管理能力,尤其是弱口令,漏洞,檔案共享和遠端桌面的管理,以應對勒索病毒的威脅,再次我們給各位管理員一些建議:
- 多臺機器,不要使用相同的賬號和口令,口令要有足夠的長度和複雜性,並定期更換登入口令;
- 重要資料應設定訪問許可權控制,並做好備份工作;
- 關閉非必要的服務與埠,定期檢測系統和軟體中的安全更新,及時打上補丁;
- 伺服器應安裝專業安全防護軟體,定期檢查伺服器安全執行情況(包括賬戶情況,windows日誌,安全軟體日誌),在發現異常後第一時間進行處理。