β

2018年7月勒索病毒疫情分析

360安全卫士技术博客 85 阅读

auther:kangxiaopao

前言

勒索病毒的传播导致大量用户的重要文件被加密,360互联网安全中心针对勒索病毒进行了多方位的监控以及防御。从反馈数据分析本月勒索病毒的感染量处于下降状态,同时防黑加固相关数据显示对于弱口令爆破拦截的次数持续上升,且单日的拦截次数高达400多万次。

另外,本月更新的文件解密工具针对部分版本Satan勒索病毒提供了对应的解密支持。并已为受到此类病毒感染的受害者成功解密了大量重要文件。

感染用户数据

从1月到7月份的反馈数据来看,受害者的数目在4月份之后一直在处于下降状态,卫士针对服务器勒索病毒的防御,有明显的效果。

图1.2018你那勒索病毒反馈趋势

从7月份的反馈数据来看,勒索病毒不再只是热衷于使用弱口令攻击来获取服务器权限,同时还利用了漏洞攻击尝试获取系统权限来加密用户机器上的文件。从本月的感染趋势看,勒索病毒的传播量并不稳定,而是呈现出周期性的波动。这个和它的传播方式有一定的联系,即:爆破服务器获取密码→登录服务器植入密码。

图2.7月份服务器勒索病毒感染趋势

针对被感染的系统进行分析,Windows 7系统的感染量占比依然是占比最大。

图3.7月份被勒索病毒感染的系统分布

勒索病毒分析

通过对7月份的反勒索服务数据进行统计,主流的勒索病毒家族还是GlobeImposter和Crysis两个家族。而且从本月的数据来看,GlobeImposter的占比已经高于Crysis家族的占比,之前反馈量较多的BTCWare家族在这个月开始已经没有任何反馈,同时新出现了关于Scarab家族的反馈。

图4.7月份勒索病毒占比

其中GlobeImposter家族和Crysis家族的手法和勒索病毒程序并没有多大变化,目前仍在使用的后缀如下表格(GlobeImposter家族的部分后缀为重启的较早前后缀,故虽然上月未出现但并非新增后缀):

家族 Crysis家族 GlobeImposter家族
后缀 arrow {eight1.hundred}ZYX
bip ALCO
java BOOTY
nemesis BUNNY
CHAK
CHIEF
crypted_katayama@cock_email
FOOT
FREEMAN
TRUE+
WALKER
YOYO
CHIEF

表格1.勒索病毒后缀

7月份仍在传播的勒索病毒中值得一提的是Satan家族的勒索病毒,该家族的勒索病毒在6月份开始爆发,在7月下旬的时候就被破解了。解密工具已经添加到了360安全卫士中的文件解密工具中。

下图是用户反馈提供的使用360文件解密工具进行解密的截图:

图5.使用360”文件解密”工具协助用户解密文件

该勒索病毒的传播在7月份中旬的时候传播达到最高点的,单天的拦截量达到800多次,此之后开始下降,在7月末出现解密工具时甚至到了一天0传播量。

图6.Satan攻击趋势图

另外需要注意的是新出现的Scarab家族。该家族的勒索病毒之前主要在俄罗斯进行传播,但是在7月份开始,国内出现有用户被该家族的勒索病毒感染,导致服务器宕机。

该勒索病毒的早期传播主要是利用Necurs僵尸网络进行传播,后期则使用了弱口令爆破的方式来植入病毒到用户机器。和GlobeImposter类似,该勒索病毒也使用了大量不同的文件后缀。下图是其中的一个变种:

图7.Scarab勒索病毒变种

GandCrab勒索病毒在7月初出现了新的版本——V4.0。并且在一个月内还进行了小版本的迭代更新,截止到本稿编写时,360捕获到的最新版本为V4.2。在更新版本的过程中,GandCrab曾因传播量较大导致有研究人员猜测其加入了SMB横向攻击来进行传播。但后经核实,该勒索病毒还未加入此类传播手段。在V3.0到V4.0这个大版本的更新中,主要更新点在于对文件的加密算法:该勒索病毒从最开始的使用RSA-2048加密算法变为了使用加密效率更高的Salsa2.0算法。

图8.GandCarb勒索病毒使用salsa算法

虽然国内GandCrab的感染量并不大,但是从360互联网的拦截数据来看,该家族的勒索病毒仍在持续不断进行传播。

图9.GandCrab传播趋势图

攻击数据

以下是7月份以来黑客还在使用的勒索病毒联系邮箱(部分来自用户反馈)

dbger#protonmail.com gracey1c6rwhite#aol.com fire_show#tuta.io
decrypthelp#qq.com crypted_katayama#cock_email badbusiness#tutanota.de
backfiles2#aol.com reek#tuta.io kayla7tzpnthompson#aol.com
y4XuA.fastrecovery#xmpp2.jp unlockmeplease#cock.li avarufilturner#aol.com
recovery#foxmail.com xmail#cock.li reeman_dor#aol.com
dbger#protonmail.com eight1.hundred symabkp#protonmail.com
footballprom#tuta.io mrbin775#gmx.de mrbin775#protonmail.com
bd.recovery#aol.com bd.recovery#india.com asgard2018#cock.li
Diesel_space#aol.com bigbig_booty#india.com freeman.dor#aol.com
reserve_player#aol.fr true_offensive#aol.com emilysupp#outlook.com
Mrbin775#gmx.de firmabilgileri#bk.ru gardengarden#cock.li
ghjujy#tuta.io servicedeskpay#protonmail.com dsupport#protonmail.com
soft2018#tutanota.com newsoft2018#yandex.by soft2018#mail.ee

表格2.黑客邮箱

防黑加固数

从7月份的防黑加固数据来看,被攻击的系统中Windows7占比是最高的,主要原因还是Windows7 的用户基数较大。

图10.防黑加固防护系统攻击分布

以下是根据7月份的放黑加固数据制作的被攻击地域分部图。从地图中可以看出,黑客攻击主要还是高发于经济发达地区和人口稠密地区这两类区域。

图11.被攻击分布图

对攻击数据进行分析发现,美国的IP占据了所有IP的大半部分,以下是攻击IP对应国家的TOP10的饼状图。

图12.攻击IP对应国家和地区TOP10

目前防黑加固已经支持对RDP, MySQL, MSSQL的弱口令攻击进行拦截,以下是7月份的拦截数据。

图13.弱口令拦截趋势

从拦截趋势来看,拦截次数在本月主体呈现小幅上升趋势。通过对IP数据和被攻击用户的分析,发现原因是黑客加大了攻击频率,试图更高效的获取用户登录口令导致。

总结

针对服务器的勒索病毒攻击已经成为当下勒索病毒的一个主要方向,企业应该加强自身的信息安全管理能力,尤其是弱口令,漏洞,文件共享和远程桌面的管理,在此我们给各位管理员一些建议:

作者:360安全卫士技术博客
360安全卫士技术人的自留地
原文地址:2018年7月勒索病毒疫情分析, 感谢原作者分享。

发表评论