2018年12月勒索病毒疫情分析

2019-02-20 11:29:47 丹東龍慧網絡科技有限公司 372

丹東網站開發|軟件開發|網站建設|電子商務|沈陽軟件開發|丹東最牛建站公司|丹東網絡公司|丹東最好的網絡公司|最牛建站公司|最牛軟件公司|最好的軟件公司|丹東軟件開發|丹東管理軟件|行業軟件|會員軟件|軟件外包

近年來勒索病毒的快速興起,給企業和個人帶來了嚴重的威脅,360互聯網安全中心針對勒索病毒進行了多方位的監控與防御。從本月數據來看,針對個人電腦進行傳播的勒索病毒有所下降,針對服務器的勒索病毒又一次上漲。勒索病毒正在威脅廣大網民的上網安全。

感染數據分析

通過對今年勒索病毒的感染數據進行分析統計,12月的感染量相對于11月的感染量有小幅度的下降。造成11月和12月感染趨勢有所波動的原因主要有以下三個方面:

  1. 11月20日到11月27日通過U盤蠕蟲傳播的GandCrab勒索病毒持續上漲,并達到一個高峰期。雖然目前傳播GandCrab勒索病毒的U盤蠕蟲查殺量依然很高,但整體的最終感染量下降。

  2. 11月30日到12月2日這段時間UNNAMED1989 (網稱”微信支付勒索病毒”)勒索病毒大規模傳播,雖然殺毒軟件均能有效查殺該病毒,但仍有不少用戶中招。最后以加密方式被破解、作者被抓,此事件才告一段落。

  3. 對11月和12月勒索病毒的感染數據進行分析,在12月GlobeImposter家族和Crysis家族傳播量有所上漲。

丹東網站開發|軟件開發|網站建設|電子商務|沈陽軟件開發|丹東最牛建站公司|丹東網絡公司|丹東最好的網絡公司|最牛建站公司|最牛軟件公司|最好的軟件公司|丹東軟件開發|丹東管理軟件|行業軟件|會員軟件|軟件外包

圖1. 2018年反饋數據量統計

對360互聯網安全中心監控的數據進行分析,在本月出現一次感染反饋快速下降是因為UNNAMED1989勒索病毒事件的出現并被快速解決。在12月5日左右出現一次小幅度的感染量上漲,是因為Satan家族在那個時間進行了一次更新,同時在這個時間節點前后,GlobeImposter家族又開始活躍起來。

丹東網站開發|軟件開發|網站建設|電子商務|沈陽軟件開發|丹東最牛建站公司|丹東網絡公司|丹東最好的網絡公司|最牛建站公司|最牛軟件公司|最好的軟件公司|丹東軟件開發|丹東管理軟件|行業軟件|會員軟件|軟件外包

圖2. 12月勒索病毒反饋量趨勢

對12月勒索病毒家族占比進行分析發現:本月GandCrab勒索病毒仍居首位,其主要傳播渠道有兩個——其一,通過爆破獲取到遠程桌面密碼,手動投毒;其二,通過U盤蠕蟲進行傳播。

丹東網站開發|軟件開發|網站建設|電子商務|沈陽軟件開發|丹東最牛建站公司|丹東網絡公司|丹東最好的網絡公司|最牛建站公司|最牛軟件公司|最好的軟件公司|丹東軟件開發|丹東管理軟件|行業軟件|會員軟件|軟件外包

圖3. 12月份勒索病毒反饋分布

從被感染系統占比分析,占比最高的依然是Windows7系統。相較于11月份數據來看Windows Server 2008系統的占比有所上升。

丹東網站開發|軟件開發|網站建設|電子商務|沈陽軟件開發|丹東最牛建站公司|丹東網絡公司|丹東最好的網絡公司|最牛建站公司|最牛軟件公司|最好的軟件公司|丹東軟件開發|丹東管理軟件|行業軟件|會員軟件|軟件外包

圖4. 12月被感染系統統計

通過對11月和12月被感染系統進行分析,發現在12月個人電腦占比有所下降,服務器占比回升。

丹東網站開發|軟件開發|網站建設|電子商務|沈陽軟件開發|丹東最牛建站公司|丹東網絡公司|丹東最好的網絡公司|最牛建站公司|最牛軟件公司|最好的軟件公司|丹東軟件開發|丹東管理軟件|行業軟件|會員軟件|軟件外包

圖5. 11月和12月被感染電腦類型對比圖

勒索病毒最新情報

GandCrab相關情報

通過對360互聯網安全中心的數據分析發現,GandCrab家族通過U盤蠕蟲進行傳播有一個周期性,每逢周末,傳播趨勢就會下降。

丹東網站開發|軟件開發|網站建設|電子商務|沈陽軟件開發|丹東最牛建站公司|丹東網絡公司|丹東最好的網絡公司|最牛建站公司|最牛軟件公司|最好的軟件公司|丹東軟件開發|丹東管理軟件|行業軟件|會員軟件|軟件外包

圖6. GandCrab通過U盤蠕蟲傳播趨勢

GandCrab通過漏洞進行傳播在12月初達到一個頂峰,之后一下呈下降趨勢。

丹東網站開發|軟件開發|網站建設|電子商務|沈陽軟件開發|丹東最牛建站公司|丹東網絡公司|丹東最好的網絡公司|最牛建站公司|最牛軟件公司|最好的軟件公司|丹東軟件開發|丹東管理軟件|行業軟件|會員軟件|軟件外包

圖7. GandCrab漏洞傳播趨勢

Satan相關情報

Satan在12月2日更新了使用的密鑰(后綴為lucky的版本),12月6日360解密大師就針對此次更新發布了相應的解密功能。該勒索病毒作者在12月8日再次更新勒索病毒版本,但是和往常不一樣的是,此后雖然有過多次的版本更新,但并未發現進一步擴散的跡象(僅針對已被感染的機器進行病毒版本更新),故此總體的傳播趨勢沒有上漲。

丹東網站開發|軟件開發|網站建設|電子商務|沈陽軟件開發|丹東最牛建站公司|丹東網絡公司|丹東最好的網絡公司|最牛建站公司|最牛軟件公司|最好的軟件公司|丹東軟件開發|丹東管理軟件|行業軟件|會員軟件|軟件外包

圖8. Satan漏洞傳播趨勢

該勒索病毒作者自12月8日后更新的版本主要是對其加密算法進行更新,但可能由于代碼編寫的不規范,更新后的病毒在某些版本的Windows系統中無法正常運行。

丹東網站開發|軟件開發|網站建設|電子商務|沈陽軟件開發|丹東最牛建站公司|丹東網絡公司|丹東最好的網絡公司|最牛建站公司|最牛軟件公司|最好的軟件公司|丹東軟件開發|丹東管理軟件|行業軟件|會員軟件|軟件外包

圖9. Satan更新后程序運行報錯

丹東網站開發|軟件開發|網站建設|電子商務|沈陽軟件開發|丹東最牛建站公司|丹東網絡公司|丹東最好的網絡公司|最牛建站公司|最牛軟件公司|最好的軟件公司|丹東軟件開發|丹東管理軟件|行業軟件|會員軟件|軟件外包

圖10. Satan更新前后代碼比對

X3M勒索病毒相關情報

該勒索病毒家族的定名比較混亂,也常被稱作CryptON、Nemesis、Cry36等。我們稱其為X3M勒索病毒是因為其加密文件后添加的后綴使用過x3m(該后綴還被Globe勒索病毒家族使用過)。該勒索病毒從2017年開始傳播,之前國內傳播量極少,但在本月開始該勒索病毒在國內的傳播量開始上漲。目前在國內的傳播主要還是通過弱口令爆破獲取用戶機器遠程桌面密碼,手動投毒。目前該勒索病毒暫無技術破解方法。

丹東網站開發|軟件開發|網站建設|電子商務|沈陽軟件開發|丹東最牛建站公司|丹東網絡公司|丹東最好的網絡公司|最牛建站公司|最牛軟件公司|最好的軟件公司|丹東軟件開發|丹東管理軟件|行業軟件|會員軟件|軟件外包

圖11. X3M勒索病毒提示信息

敲詐勒索郵件

在本月,不少用戶反饋自己收到了勒索郵件(如圖12)。該郵件聲稱通過路由器漏洞將惡意代碼植入到用戶機器上,并聲稱監控了你的一切隱私信息,以此威脅用戶,如果不付款就公開你的這些“個人喜好”。

丹東網站開發|軟件開發|網站建設|電子商務|沈陽軟件開發|丹東最牛建站公司|丹東網絡公司|丹東最好的網絡公司|最牛建站公司|最牛軟件公司|最好的軟件公司|丹東軟件開發|丹東管理軟件|行業軟件|會員軟件|軟件外包

圖12. 勒索郵件內容

在這里建議用戶——不要付款!此類郵件均為黑客通過僵尸網絡以垃圾郵件的形式進行發布,屬于詐騙郵件。目前尚未發現任何人真如郵件內容所說的被監控隱私數據。

 

黑客信息

以下是12月以來黑客在使用的勒索病毒聯系郵箱:

表格1. 黑客郵箱

防護數據

通過11月和12月的數據進行對比分析發現,XP系統占比從8%上升到了21%。此外,對12月被攻擊系統分布進行分析還發現,被攻擊的服務器系統版本中Windows 2003占比最高,其次是Windows 2008,再次是Windows 2012。老版本的一些操作系統已經失去了安全支持,建議用戶安裝系統時使用更高版本的系統,新版本的操作系統在總體上的安全性上做的更好。

丹東網站開發|軟件開發|網站建設|電子商務|沈陽軟件開發|丹東最牛建站公司|丹東網絡公司|丹東最好的網絡公司|最牛建站公司|最牛軟件公司|最好的軟件公司|丹東軟件開發|丹東管理軟件|行業軟件|會員軟件|軟件外包

圖13. 月份被攻擊系統分布

以下是12月遭到勒索病毒攻擊的受害者所在地域分布圖,同之前幾個月的分布情況進行對比,地區的排名和占比變化都不大 。信息產業發達的地區仍是被攻擊最嚴重的區域。

丹東網站開發|軟件開發|網站建設|電子商務|沈陽軟件開發|丹東最牛建站公司|丹東網絡公司|丹東最好的網絡公司|最牛建站公司|最牛軟件公司|最好的軟件公司|丹東軟件開發|丹東管理軟件|行業軟件|會員軟件|軟件外包

圖14. 受攻擊地區分布圖

通過對360互聯網安全中心弱口令攻擊數據進行統計分析發現,本月除了MSSQL弱口令攻擊的數據趨勢平穩,其他幾種弱口令攻擊在本月的攻擊量都有上漲。其中,上漲趨勢最為明顯的是MySQL弱口令攻擊——12月16日,通過MySQL弱口令進行攻擊的量達到了最高峰。在以往幾個月的統計中,MySQL弱口令攻擊量都是低于RDP弱口令攻擊量的,但在本月的10日到17日期間卻超過RDP弱口令攻擊量。這可能造成更多的用戶的機器被用來挖礦。

丹東網站開發|軟件開發|網站建設|電子商務|沈陽軟件開發|丹東最牛建站公司|丹東網絡公司|丹東最好的網絡公司|最牛建站公司|最牛軟件公司|最好的軟件公司|丹東軟件開發|丹東管理軟件|行業軟件|會員軟件|軟件外包

圖15. 弱口令攻擊各類型趨勢圖

總結

針對服務器的勒索病毒攻擊依然是當下勒索病毒的一個主要方向,企業需要加強自身的信息安全管理能力——尤其是弱口令、漏洞、文件共享和遠程桌面的管理,以應對勒索病毒的威脅,在此我們給各位管理員一些建議:

  1. 多臺機器,不要使用相同的賬號和口令

  2. 登錄口令要有足夠的長度和復雜性,并定期更換登錄口令

  3. 重要資料的共享文件夾應設置訪問權限控制,并進行定期備份

  4. 定期檢測系統和軟件中的安全漏洞,及時打上補丁。

  5. 定期到服務器檢查是否存在異常。查看范圍包括:

    1. 是否有新增賬戶

    2. Guest是否被啟用

    3. windows系統日志是否存在異常

    4. 殺毒軟件是否存在異常攔截情況

而對于本月又重新崛起的這對個人電腦發起攻擊的勒索病毒,建議廣大用戶:

  1. 安裝安全防護軟件,并確保其正常運行。

  2. 從正規渠道下載安裝軟件。

  3. 對不熟悉的軟件,如果已經被殺毒軟件攔截查殺,不要添加到信任區繼續運行。


為您推薦