【腾讯云】云产品限时秒杀,爆款1核2G云服务器,首年99元

搜搜吧

搜搜吧 门户 安全 网络安全 查看内容

2019年11月勒索病毒疫情分析

2020-1-11 01:11| 发布者: 俄罗斯方块| 查看: 265| 评论: 0

摘要: 勒索病毒的蔓延,给企业和个人都带来了严重的安全威胁。360安全大脑针对勒索病毒进行了全方位的监控与防御。本月新增chchbuy以及GarrantyDecrypt的新型变种“Bigbosshorse”。360解密大师在11月新增对Hakbit以及Para ...

勒索病毒的蔓延,给企业和个人都带来了严重的安全威胁。360安全大脑针对勒索病毒进行了全方位的监控与防御。本月新增chchbuy以及GarrantyDecrypt的新型变种“Bigbosshorse”。

360解密大师在11月新增对Hakbit以及Paradise的多个变种版本的解密支持。其中Paradise的解密支持包括中毒后被改为以下后缀的几个变种:

l  paradise

l  exploit

l  p3rf0rm4

l  immortal   

l  NewCore

l  Prt

l  CORP

l  VACv2

感染数据分析

分析本月勒索病毒家族占比:Crysis家族占15.85%,居首位;其次是占比15.18%的Stop家族;phobos家族以占比13.62%位居第三。与上个月的数据相比,Stop家族占比变化明显,从10月份的9.52%上涨到本月的15.18%.

图1. 2019年11月勒索病毒家族占比图

而从被感染系统占比看:本月居前三的系统仍是windows 7、Windows 10和Windows Server 2008。各操作系统的占比无较大变化。

图2. 2019年11月被感染系统占比

11月被感染系统中桌面系统和服务器系统占比显示,本月主要的受攻击系统仍为桌面系统。与10月份的统计进行比较,整体并没有明显变化。

图3. 2019年11月桌面系统和服务器系统占比

此外,我们还关注了360论坛的勒索病毒板块在11月的用户反馈动态(https://bbs.360.cn/forum.php?mod=forumdisplay&fid=7592):

本月论坛反馈总计83个案例,总共涉及20个勒索病毒家族,已支持解密家族共计5个案例(Unlock92、Nemesis、Nemty1.5、Planetary 、x3m)。反馈家族TOP3依次为:Sodinokibi(13条)、phobos(11条)、StopV2(10条)。而反馈中新增的变种则包括Hermes837、Crysis和chchbuy三个家族。

图4. 2019年论坛勒索病毒家族反馈图

在论坛中,本月勒索病毒家族相关模块新增内容:

l  勒索病毒详情新增:CryptoMix、Ryuk、SpartCrypt、Rapid、DeathRansom、Jigsaw、phobosImposter、CCryptor、chchbuy、GarrantyDecrypt、Dragon、Hakbit等勒索病毒详情

l  勒索病毒技术分析新增:Ouroboros、MeudsaLocker、chchbuy以及Sodinokibi勒索病毒技术分析


勒索病毒疫情分析

    Chchbuy勒索病毒家族

2019年11月中旬,360互联网安全中心接到多例用户反馈称计算机被chchbuy勒索病毒攻击。该勒索病毒加密文件时采用了一次一密的加密方式,即对每个待加密文件均采用不同密钥使用Salsa20算法进行加密,且最多只加密文件的前4KB内容。

图5. chchbuy勒索病毒加密反汇编代码图

该勒索病毒在勒索提示信息中留下邮箱,让用户主动联系。而其传播者则在邮件的回信中向受害者索要0.3个比特币的赎金。

图6. chchbuy向用户索要金额图

       GarrantyDecrypt

该勒索病毒最早在国内出现于2019年1月,而2019年10月底360安全大脑再次监控到该勒索病毒的变种。通过对受害者系统的分析,发现该勒索病毒传播者在暴力破解用户远程桌面的同时还会通过暴力破解共享文件密码来获取登录用户系统的权限。该勒索病毒的主要危害在于加密文件时不仅是一次一密、不区分文件类型,而且加密文件时只排除了Windows目录,其他目录下的文件均将被加密。被加密文件的文件后缀会被修改为.bigbosshorse。

图7. 被GarrantyDecrypt加密的文件

       Satan

360安全大脑监控到消失了几个月的Satan勒索病毒在11月4号再次回归到大众视线当中来。

此次回归从攻击角度来看有如下新的特性:

l  新增泛微OA漏洞利用

l  新增远程桌面暴力破解

l  保留原有的横向传播功能,例如:永恒之蓝,双脉冲星漏洞


图8. 远程投毒记录

早期该勒索病毒还会使用英语,韩语勒索提示信息。但是从2019年1月份的变种开始该勒索病毒就已经只使用中文勒索提示信息。

图9. Satan勒索提示信息以及被加密文件

黑客邮箱披露

以下是本月搜集到的黑客邮箱信息:

以下是本月搜集到的黑客邮箱信息:


系统安全防护数据分析


图10. 2019年11月被攻击系统占比图

通过对2019年10月和2019年11月的数据进行对比分析发现,在本月各类型系统占比无较大波动。

以下是对2019年11月被攻击系统所属IP采样制作的地狱分布图,与之前几个月采集到的数据进行对比,地区排名和占比变化都不大。数字经济发达地区仍是被攻击的主要对象。


图11. 2019年11月被攻击地区分布图

通过对2019年11月弱口令攻击趋势发现,RDP和MySQL的攻击趋势相对稳。MsSQL在2019年10月发生大幅度上升后开始趋于平稳。

图12. 2019年11月弱口令攻击趋势图

勒索病毒关键词

    该数据来自lesuobingdu.360.cn的搜索统计。(不包括WannCry、AllCry、TeslaCrypt、Satan、Kraken、Jsworm、X3m以及GandCrab几个家族)

l  Wecanhelp: 属于Nemesis勒索病毒家族,该勒索病毒近期通过暴力破解远程桌面进行传播。该勒索病毒会在系统中生成一个temp000000.txt文档,该文档包含解密文件用的密钥。一般都会被黑客直接删除掉,但是中招用户可以尝试以下链接中的方式找回temp000000.txt的内容:https://bbs.360.cn/thread-15780698-1-1.html

l  admin@sectex.net:属于Crysis勒索病毒家族,由于文件被加密后会被加入admin@sectex.net而成为关键词。该勒索病毒家族主要通过暴力破解远程桌面密码,成功后手动投毒传播。

l  pig865qqz:属于GlobeImposter家族,由于被加密文件后缀会被修改为pig865qqz而成为关键词。该勒索病毒家族主要通过暴力破解远程桌面密码,成功后手动投毒传播。

l  satan:属于Satan勒索病毒家族,该勒索病毒目前主要通过漏洞进行传播,其中涵盖了泛微OA,永恒之蓝,双脉冲星等漏洞。

l  bitlocker@foxmail.com:同admin@sectex.net

l  Readtheinstructions:属于MedusaLocker家族,由于被加密文件后缀会被修改为Readtheinstructions而成为关键词。该勒索病毒家族主要通过暴力破解远程桌面密码,成功后手动投毒传播。

l  pig865qq:同pig865qqz

l  chch:属于chchbuy家族,由于被加密文件后缀会被修改为chch而成为关键词。该勒索病毒家族主要通过暴力破解远程桌面密码,成功后手动投毒传播。同一批变种还会修改文件后为megac。

l  bigbosshorse:属于GarrantyDecrypt家族,由于被加密文件后缀会被修改为chch而成为关键词。该勒索病毒家族主要通过暴力破解远程桌面密码,成功后手动投毒传播。

l  harma:同admin@sectex.net。不同点在于是文件后缀被修改为harma

图13. 2019年11月勒索病毒关键词TOP10

解密大师

从解密大师本月的解密统计数据看,本月解密量最大的仍是GandCrab勒索病毒,其次是KimChinImSev;其中使用解密大师解密文件的用户数量最高的仍是Stop家族的中招设备,其次是Crysis家族的中招设备。

图14. 2019年11月解密大师解密情况

搜搜吧社区温馨提示:
搜搜吧(www.sosoba.org)十分重视网络版权及其他知识产权的保护,针对网络侵权采取如下版权政策:
1、本站有理由相信网友侵犯任何人的版权或作品,(图文,文字,下载,视频,非法传播),本站有权不事先通知即删除涉嫌侵权的作品和内容
2、本站将采取必要的网络技术手段,确认为侵权作品或内容的用户有权进行警告、屏蔽、删除的行为,尽可能的防止侵权行为的发生
3、搜搜吧影视资源均收集自互联网,没有提供影片资源存储,也未参与录制上传,若本站收录的资源涉及您的版权或知识产权或其他利益,我们会立即删除
4、搜搜吧,删帖,投诉,举报,侵权,若本站侵犯您的权益,附上身份及权利证明,请直接发送邮件到 kefu-sosoba@qq.com 我们将在一个工作日内删除

鲜花

握手

雷人

路过

鸡蛋

最新评论

资讯分类

推荐图文

文章排行

Powered by www.sosoba.org Copyright © 2013-2020 搜搜吧社区 小黑屋|手机版|地图|关于我们|腾讯云代金券|帮助中心|公共DNS|搜搜吧
广告服务/项目合作: kefu-sosoba@qq.com  侵权举报邮箱: kefu-sosoba@qq.com  搜搜吧建站时间:创建于2013年07月23日
免责声明:本站所有的内容均来自互联网以及第三方作者自由发布,版权归原作者版权所有,搜搜吧不承担任何的法律责任,若有侵权请来信告知,我们立即删除!

GMT+8, 2020-7-5 06:14 , Processed in 0.043546 second(s), 10 queries , MemCache On.

返回顶部