2019年6月勒索病毒疫情分析

时间:2019-07-17 来源: 星座
pt电子游戏技巧

勒索软件的传播给企业和个人带来了严重的安全威胁。 360安全大脑提供全面的监控和防御勒索软件。根据本月的数据,反勒索软件服务的反馈量略有下降,Stop勒索软件病毒是最活跃的,有几个新的变种。

360 Decryption Master添加了GandCrabV5.2,Aurora(后缀感染),Stop(对当前已知变种的一键解密支持),Nemesis(后缀为e5xjq,YOUR_LAST_CHANCE),Crypto,fake-GlobeImpsoter(使用假冒GlobeImpsoter勒索软件,如GlobeImpsoter勒索软件) )对六个勒索软件家庭的解密支持。

感染数据分析

与上个月(5月)相比,反勒索软件服务的反馈本月略有下降。然而,该公司已经有很多反馈意见称该公司感染了勒索软件。例如,Aurora勒索病毒会导致公司10台设备的所有文件和数据被感染,而wesker勒索软件会加密另一家公司的大约200台计算机的文件。

3b2b5f264d7b434c9cecefd6c96ba3ff

图1.过去12个月勒索软件的反馈情况

从反馈情况来看:本月初的反馈量很大,这是GandCrab宣布退出并且Sodinokibi正式接管的转折点,所以这段时间的反馈主要来自Sodinokibi赎金病毒家族。

4121454778bb496ca8fc661cef374c9a

图2. 6月份的勒索软件反馈情况

对本月勒索病毒家族占比分析看:GlobeImposter家族占比28.09%居首位,其次是占比为19.01%的Sodinokibi家族以及占比为8.99%的Phobos勒索病毒家族。

fef52fdbbc894bf4bbb1cee6e6b37064

图3。 2019年6月勒索病毒家族占比

从被感染系统占比看:本月占比居前三的仍是Windows 7,Windows 10和Windows Server 2008,但是各自占比都有大幅度的变化。其中变化最大的为Windows 7从5月的47.89%下降到本月的仅有29.47%。

775e56ef692342278985a5888f3401da

图4。 2019年6月被感染系统占比

对比2019年5月与6月被感染系统情况,本月服务器系统占比有较大上升。服务器系统占比从19.01%上升到30.53%。本月被攻陷系统中更多的是服务器,这与本月几个活跃的勒索病毒家族的主要传播渠道紧密相关。

14cdd08e341841f4a9fc727d00aef100

图5。 2019年5月和6月被感染系统种类占比对比图

勒索病毒疫情分析

Sodinokibi

360安全大脑监控数据显示,本月Sodinokibi勒索病毒主要通过垃圾邮件进行传播,伪装成DHL向用户发送繁体中文邮件,提示用户的包裹出现无限期延误,需要用户查看邮件附件中的“文档”后进行联络。但实际该压缩包内是伪装成文档的勒索病毒。

846cbc2b667c4a58bd6a560548c098f2

图6。 Sodinokibi传播邮件

XX

与此同时,我们还监测了通过漏斗,VNC爆破和其他渠道传播的Sodinokibi,主要集中在5月底,6月份传播量明显减少。

6ac7d49518c84261aad772d2fed66bce

图7. Sodinokibi传播情况图

Tellyouthepass

本月,360安全大脑监控用Go编写的勒索软件病毒攻击国内公司。勒索软件吊具使用“永恒蓝”漏洞侵入企业中的计算机,并使用计算机作为跳板来入侵企业中的其他计算机。成功加密文件后,要求用户输入0.2比特币作为解密文件的赎金。

bd3f7dd3ee7e4dbbbc814867eb7ce2d7

图8. Tellyouthepass传播流程图

加密

Crypto赎金病毒本月是一种新的勒索软件病毒。勒索软件修改文件后缀为加密。根据受害者提供的日志分析,赎金病毒的主要传输渠道是爆炸远程桌面。通信器接受密码,然后手动中毒。由于勒索软件对密钥进行加密并将其存储在本地勒索软件提示信息中,因此360解密主机在第一时间更新对勒索软件的解密支持。

67cc6f057f914400aed568e0d8ee8e8b

图9.加密解密映射

克星

在360安全脑分析之后,Nemesis被确定为与X3m相同的家族,并且使用的加密算法是相同的。同时,在分析Nemesis勒索软件加密程序时,发现勒索软件在加密文件时用密钥释放了temp000000.txt。但是,在大多数受害计算机上找不到此文件。您只能在Windows系统上的Recnet目录中看到temp00000.txt的lnk文件。 (最近目录保存最近使用的文档的快捷方式,这很方便。访问)。说明该文件必须已存在于系统中,但在后期被黑客删除。建议用户在中毒后第一次使用数据恢复工具,以查看是否可以检索temp000000.txt文件。

f4b155cdf4cb4ce6b1e8b637b0373f47

图10. Nemesis加密文件和勒索消息

停止

停止勒索软件是本月最多的勒索软件,添加了多个后缀,例如:besub,mogera,neras,truke,litar,rezuc等。赎金病毒的传播已经通过伪装成激活工具或破解软件而得以传播。如果加密文件内容的末尾包含下图中圈出的字符串,则描述为Stop ransomware,您可以尝试使用360解密主机进行解密。

e2619d23b1d3497e92df54318c04d415

图11. Stop

加密的标签

黑客信息披露

以下是自2019年6月以来黑客使用的勒索软件联系电子邮件。

58e671d0002340ec984ac61a2c6924b8

服务器保护数据分析

通过对2019年4月和5月数据的对比分析,发现操作系统的比例变化不大,并且在小范围内增加或减少。

66bcba9b5e464beda428c0d7316f5136

图12.1219 6月受攻击系统的比例

以下是2019年6月被攻击系统IP采样的地理分段。与前几个月收集的数据相比,区域排名和比例变化不大。信息产业的发达地区仍然是攻击的主要目标。

71e021c73b034e9e9ba956d0b6b5d903

图13.221。 2011年6月攻击地理分区地图。

通过分析5月和6月的弱密码攻击数据,两个月的数据相对稳定,没有发生大规模的弱密码攻击。 6月5日至6月9日期间,攻击量也出现短暂下降。

d794ff2cd205422db9a9cbe79ef5278e

图14.2,019,019弱密码攻击情况

赎金病毒关键词

数据源为lesuobingdu.360.cn搜索统计信息。 (因为WannaCry,AllCry,TeslaCrypt,Satan和kraken过去经历过大规模爆发,一般用户对它们的搜索频率更高,因此从统计数据中排除了这些家庭的检索)

本月,用户会搜索统计数据的勒索软件关键字。搜索量较大的关键字如下:

l肌动蛋白:是phobos勒索软件家族的变种。由于加密文件后缀被修改为actin并成为关键字,因此勒索软件系列主要通过爆破远程桌面来传播。

l Supporthelpgood:GlobeImpsoter勒索软件系列的一种变体。由于加密文件后缀被修改为Supporthelpgood并成为关键字,因此勒索软件系列主要通过爆破远程桌面和手动注射毒品来传播。

l Firex3m:是X3m勒索软件系列的变种。由于加密文件后缀将更改为Firex3m并成为关键字,如果您可以在系统中找到temp000000.txt文件,则可以使用360解密主文件进行解密。

l Your_last_chance:是x3m的变体,与Firex3m相同。

l Pig4444:与Supporthelpgood相同

l cleverhorse

新闻排行
  1. [健康百佳谈话]乳腺癌离我们不远时间:2019.5.18周六14:30--15:乳腺癌离我们不远。专家:孙正奎现任江西省肿?

    [健康百佳谈话]乳腺癌离我们不远时间:2019.5.18周六14:30--15:乳腺癌离我们不远。专家:孙正奎现任江西省肿?...

  2. 勒索软件的传播给企业和个人带来了严重的安全威胁。360安全大脑提供全面的监控和防御勒索软件。根据本月的?

    勒索软件的传播给企业和个人带来了严重的安全威胁。360安全大脑提供全面的监控和防御勒索软件。根据本月的?...

  3. JabraEliteActive65t,从价值开始,忠于品质自从多家厂商取消3.5mm耳机插孔以来,对蓝牙耳机的需求不断增长

    JabraEliteActive65t,从价值开始,忠于品质自从多家厂商取消3.5mm耳机插孔以来,对蓝牙耳机的需求不断增长...

  4. 从商业租赁到资产管理,“全程”正在逐步突破边界来源|YunlianMedia(ID:tucmedia)作者|贾义超6月23日是中

    从商业租赁到资产管理,“全程”正在逐步突破边界来源|YunlianMedia(ID:tucmedia)作者|贾义超6月23日是中...

  5. 到了夏天,小仙女们都想吃点冰爽可口的甜品,但是呢,甜品店里的甜品看着量也没多少,味道也还行,但是一份

    到了夏天,小仙女们都想吃点冰爽可口的甜品,但是呢,甜品店里的甜品看着量也没多少,味道也还行,但是一份...

  6. 130m2美式婚房装修,20万可以这样安装,真是太赚了!面积:130平方米单位类型:三个房间和一个大厅风格:现

    130m2美式婚房装修,20万可以这样安装,真是太赚了!面积:130平方米单位类型:三个房间和一个大厅风格:现...

  7. 勒索软件的传播给企业和个人带来了严重的安全威胁。360安全大脑提供全面的监控和防御勒索软件。根据本月的?

    勒索软件的传播给企业和个人带来了严重的安全威胁。360安全大脑提供全面的监控和防御勒索软件。根据本月的?...

  8. JabraEliteActive65t,从价值开始,忠于品质自从多家厂商取消3.5mm耳机插孔以来,对蓝牙耳机的需求不断增长

    JabraEliteActive65t,从价值开始,忠于品质自从多家厂商取消3.5mm耳机插孔以来,对蓝牙耳机的需求不断增长...

  9. JabraEliteActive65t,从价值开始,忠于品质自从多家厂商取消3.5mm耳机插孔以来,对蓝牙耳机的需求不断增长

    JabraEliteActive65t,从价值开始,忠于品质自从多家厂商取消3.5mm耳机插孔以来,对蓝牙耳机的需求不断增长...

  10. 130m2美式婚房装修,20万可以这样安装,真是太赚了!面积:130平方米单位类型:三个房间和一个大厅风格:现

    130m2美式婚房装修,20万可以这样安装,真是太赚了!面积:130平方米单位类型:三个房间和一个大厅风格:现...

日期归档
友情链接