08月03, 2018

2018年7月勒索病毒疫情分析

author:kangxiaopao

前言

勒索病毒的传播导致大量用户的重要文件被加密,360互联网安全中心针对勒索病毒进行了多方位的监控以及防御。从反馈数据分析本月勒索病毒的感染量处于下降状态,同时防黑加固相关数据显示对于弱口令爆破拦截的次数持续上升,且单日的拦截次数高达400多万次。

另外,本月更新的文件解密工具针对部分版本Satan勒索病毒提供了对应的解密支持。并已为受到此类病毒感染的受害者成功解密了大量重要文件。

感染用户数据

从1月到7月份的反馈数据来看,受害者的数目在4月份之后一直在处于下降状态,卫士针对服务器勒索病毒的防御,有明显的效果。

图1.2018你那勒索病毒反馈趋势

从7月份的反馈数据来看,勒索病毒不再只是热衷于使用弱口令攻击来获取服务器权限,同时还利用了漏洞攻击尝试获取系统权限来加密用户机器上的文件。从本月的感染趋势看,勒索病毒的传播量并不稳定,而是呈现出周期性的波动。这个和它的传播方式有一定的联系,即:爆破服务器获取密码→登录服务器植入密码。

图2.7月份服务器勒索病毒感染趋势

针对被感染的系统进行分析,Windows 7系统的感染量占比依然是占比最大。

图3.7月份被勒索病毒感染的系统分布

勒索病毒分析

通过对7月份的反勒索服务数据进行统计,主流的勒索病毒家族还是GlobeImposter和Crysis两个家族。而且从本月的数据来看,GlobeImposter的占比已经高于Crysis家族的占比,之前反馈量较多的BTCWare家族在这个月开始已经没有任何反馈,同时新出现了关于Scarab家族的反馈。

图4.7月份勒索病毒占比

其中GlobeImposter家族和Crysis家族的手法和勒索病毒程序并没有多大变化,目前仍在使用的后缀如下表格(GlobeImposter家族的部分后缀为重启的较早前后缀,故虽然上月未出现但并非新增后缀):

家族 Crysis家族 GlobeImposter家族
后缀 arrow {eight1.hundred}ZYX
bip ALCO
java BOOTY
nemesis BUNNY
CHAK
CHIEF
crypted_katayama@cock_email
FOOT
FREEMAN
TRUE+
WALKER
YOYO
CHIEF
表格1.勒索病毒后缀

7月份仍在传播的勒索病毒中值得一提的是Satan家族的勒索病毒,该家族的勒索病毒在6月份开始爆发,在7月下旬的时候就被破解了。解密工具已经添加到了360安全卫士中的文件解密工具中。

下图是用户反馈提供的使用360文件解密工具进行解密的截图:

图5.使用360”文件解密”工具协助用户解密文件

该勒索病毒的传播在7月份中旬的时候传播达到最高点的,单天的拦截量达到800多次,此之后开始下降,在7月末出现解密工具时甚至到了一天0传播量。

图6.Satan攻击趋势图

另外需要注意的是新出现的Scarab家族。该家族的勒索病毒之前主要在俄罗斯进行传播,但是在7月份开始,国内出现有用户被该家族的勒索病毒感染,导致服务器宕机。

该勒索病毒的早期传播主要是利用Necurs僵尸网络进行传播,后期则使用了弱口令爆破的方式来植入病毒到用户机器。和GlobeImposter类似,该勒索病毒也使用了大量不同的文件后缀。下图是其中的一个变种:

图7.Scarab勒索病毒变种

GandCrab勒索病毒在7月初出现了新的版本——V4.0。并且在一个月内还进行了小版本的迭代更新,截止到本稿编写时,360捕获到的最新版本为V4.2。在更新版本的过程中,GandCrab曾因传播量较大导致有研究人员猜测其加入了SMB横向攻击来进行传播。但后经核实,该勒索病毒还未加入此类传播手段。在V3.0到V4.0这个大版本的更新中,主要更新点在于对文件的加密算法:该勒索病毒从最开始的使用RSA-2048加密算法变为了使用加密效率更高的Salsa2.0算法。

图8.GandCarb勒索病毒使用salsa算法

虽然国内GandCrab的感染量并不大,但是从360互联网的拦截数据来看,该家族的勒索病毒仍在持续不断进行传播。

图9.GandCrab传播趋势图

攻击数据

以下是7月份以来黑客还在使用的勒索病毒联系邮箱(部分来自用户反馈) | dbger#protonmail.com | gracey1c6rwhite#aol.com | fire_show#tuta.io | |-----------------------------|-------------------------------|----------------------------| | decrypthelp#qq.com | crypted_katayama#cock_email | badbusiness#tutanota.de | | backfiles2#aol.com | reek#tuta.io | kayla7tzpnthompson#aol.com | | y4XuA.fastrecovery#xmpp2.jp | unlockmeplease#cock.li | avarufilturner#aol.com | | recovery#foxmail.com | xmail#cock.li | reeman_dor#aol.com | | dbger#protonmail.com | eight1.hundred | symabkp#protonmail.com | | footballprom#tuta.io | mrbin775#gmx.de | mrbin775#protonmail.com | | bd.recovery#aol.com | bd.recovery#india.com | asgard2018#cock.li | | Diesel_space#aol.com | bigbig_booty#india.com | freeman.dor#aol.com | | reserve_player#aol.fr | true_offensive#aol.com | emilysupp#outlook.com | | Mrbin775#gmx.de | firmabilgileri#bk.ru | gardengarden#cock.li | | ghjujy#tuta.io | servicedeskpay#protonmail.com | dsupport#protonmail.com | | soft2018#tutanota.com | newsoft2018#yandex.by | soft2018#mail.ee | 表格2.黑客邮箱

防黑加固数

从7月份的防黑加固数据来看,被攻击的系统中Windows7占比是最高的,主要原因还是Windows7 的用户基数较大。

图10.防黑加固防护系统攻击分布

以下是根据7月份的放黑加固数据制作的被攻击地域分部图。从地图中可以看出,黑客攻击主要还是高发于经济发达地区和人口稠密地区这两类区域。

图11.被攻击分布图

对攻击数据进行分析发现,美国的IP占据了所有IP的大半部分,以下是攻击IP对应国家的TOP10的饼状图。

图12.攻击IP对应国家和地区TOP10

目前防黑加固已经支持对RDP, MySQL, MSSQL的弱口令攻击进行拦截,以下是7月份的拦截数据。

图13.弱口令拦截趋势

从拦截趋势来看,拦截次数在本月主体呈现小幅上升趋势。通过对IP数据和被攻击用户的分析,发现原因是黑客加大了攻击频率,试图更高效的获取用户登录口令导致。

总结

针对服务器的勒索病毒攻击已经成为当下勒索病毒的一个主要方向,企业应该加强自身的信息安全管理能力,尤其是弱口令,漏洞,文件共享和远程桌面的管理,在此我们给各位管理员一些建议:

  • 多台机器,不要使用相同的账号和口令。
  • 登录口令一定要复杂,采用大小写字母、数字、特殊符号混合的口令结构,且口令位数应足够长,并定期更换登录口令。
  • 共享文件夹要设置访问权限管理。如果因为其他需要不能设置访问权限,则建议对该文件夹进行定期安全备份
  • 定期检测系统和软件中的安全漏洞,及时打上补丁。

本文链接:http://blogs.360.cn/post/ransom2018jul.html

-- EOF --

Comments