首頁 > 安全資訊 > 正文

2020年8月勒索病毒疫情分析

勒索病毒傳播至今,360互聯網安全中心已累計收到上萬勒索病毒感染求助。勒索病毒的蔓延,給企業和個人都帶來了嚴重的安全威脅。360安全大腦針對勒索病毒進行了全方位的監控與防御。本月新增WastedLocker、Zbw、FonixCrypter、TapPif、SunCrypt等勒索病毒家族。

360解密大師在2020年8月新增對Pojie(修改后綴為52pojie、itunes)勒索病毒的解密支持。

感染數據分析

分析本月勒索病毒家族占比:phobos家族占比22%居首位;其次是占比13.6%的Crysis;GlobeImposter家族以占比12%位居第三。本月新出現勒索并未有大量傳播態勢。上個月新出現的BeijingCrypt本月占比雖仍位居第六,但在本月的傳播呈現下降態勢。

圖1. 2020年8月勒索病毒家族占比

從被感染系統占比看:本月位居前三的系統是:Windows 7、Windows10和Windows 2012。和上個月相同,本次統計的系統占比數據在原有的反勒索服務數據上新增了交流群反饋數據。之后報告默認為兩個數據來源,不再單獨標注。

圖2. 2020年8月被感染系統占比

2020年8月被感染系統中桌面系統和服務器系統占比顯示,受攻擊的主要系統仍是個人桌面系統。

圖3. 2020年8月被感染系統占比

勒索病毒疫情分析

Pojie勒索病毒家族

這款名為Pojie的勒索病毒,最早在2020年7月份利用"協助脫殼"、"有償修改代碼"等誘騙用戶下載并植入勒索病毒進行傳播。在本月,該勒索病毒傳播者利用酷Q機器人停止支持這一事件,將勒索病毒偽裝成本地版酷Q進行傳播。用戶一旦運行,文件將被加密,同時后綴將會被修改為itunes.

圖4. 被Pojie勒索病毒加密的文件

360解密大師在捕獲到該勒索病毒后便成功破解該勒索病毒,并提供解密支持。受害者可使用解密大師對文件進行解密。

圖5. 解密大師解密被Pojie加密的文件

WastedLocker勒索病毒家族

WastedLocker勒索病毒最早是在2020年4月份開始出現,該勒索病毒主要將具有高價值的企業作為攻擊目標。7月底該勒索病毒由于成功攻擊Garmin公司,導致該公司關閉兩天生產線而引起廣泛關注。該事件一直持續到8月初才告一段落,但是WastedLocker的傳播仍在繼續。

據悉該勒索病毒背后是由俄羅斯的EvilCorp網絡犯罪組織制作并傳播。不過在眾多針對的企業的勒索病毒中,WastedLocker似乎是少有的不公布受害者數據進行二次威脅的勒索病毒。該犯罪組織在收取贖金時,一般在50萬美元到數千萬美元之間。勒索病毒運行后會修改文件后綴為garminwasted,并為每個文件生成一個勒索提示信息。

圖5. 被WastedLocker加密的文件

Stop勒索病毒家族

Stop勒索病毒是一個長期活躍的勒索病毒家族,在本月,"歪果仁研究協會"由于該勒索病毒影響而導致將近8個月的視頻素材全部被加密。該勒索病毒傳播至今,主要傳播渠道一直是通過偽裝成激活工具或者破解軟件誘導用戶下載,其中由于運行"Windows激活工具"而中招的最多,此次"歪果仁研究協會"最早也是被該家族攻擊。

圖6. "歪果仁研究協會"被勒索

通過對該事件的跟蹤,發現"歪果仁研究協會"在后續的處理過程中,由于處理不當導致其文件不僅被Stop勒索病毒加密,還被Crysis、Lockbit以及BigLock勒索病毒加密,從收到的被加密文件看,其文件被加密次數從8次到12次不等,還有可能被更多次加密。針對此類事件需要再次提醒用戶,若中招請參考本文中總結中的推薦處理流程進行處理。避免再次受到傷害。

圖7. "歪果仁協"會被就加密文件

黑客信息披露

以下是本月搜集到的黑客郵箱信息:

qa458@ya.ru

abc@countermail.com

encryptboys@tutanota.com

d7516@ya.ru

de_cryption@tuta.io

FileFixer@ProtonMail.com

zd588@ya.ru

telegram_@spacedatax

LaoXinWon@protonmail.com

ncov@cock.li

Decoding@zimbabwe.su

unl0ckerpkx@tutanota.com

week1@tuta.io

{colin_farel@aol.com

scarry38@horsefucker.org

tcprx@cock.li

datalost@foxmail.com

inc_evilsi@protonmail.ch

ucos2@elude.in

naqohiky@firemail.cc

decoding_service@aol.com

ucos2@elude.im

miclejaps@msgden.net

decoderma@protonmail.com

zacapa@cock.li

mylifeisfear@cock.li

VoidFiles@protonmail.com

OneWay@cock.li

sleepme134@gmail.com

SoporteVoid@tutanota.com

dzec1@mail.com

Trojan.Generic@ML.92

Hichkasam@protonmail.com

zacapa@tuta.io

SupportVoid@elude.in

protohelp@protonmail.com

Mayth24@aol.xom

makbigfast@india.com

ambrosiaa@protonmail.com

beijing@aol.com

jack-daniels22@bk.ru

getscoin2@protonmail.com

info@decrypt.ws

RihabYaman@india.com

AdamBrown89@tutamail.com

zuzya@india.com

inter7a@tutanota.com

AdamBrown89@criptext.com

Jackondra@Ya.Ru

Jackondra@Bigmir.Net

freelockermail@gmail.com

jes_cir@list.ru

avalona.toga@aol.com

jj.greemsy@mailfence.com

Mayth24@aol.com

ambrosiaa@bigmir.net

greemsy.jj@protonmail.ch

Mayth24@tuta.io

protomolecule@gmx.us

help.me24@protonmail.com

H911X@yahoo.com

File-Help1@Yandex.ru

notgoodnews@tutanota.com

decrypt@files.mn

0x69x@protonmail.com

geneve010@protonmail.com

mrromber@cock.li

Backdata@zimbabwe.su

geneve020@protonmail.com

safronov@cock.li

9869420@tutanota.com

rsaencrypt@protonmail.ch

JustBTC@elude.in

FridaFarko@yahoo.com

fast_helpassia777@aol.com

ghostmax@cock.li

Hubble77@tutanota.com

worcservice@protonmail.ch

evandos@email.cz

creampie@ctemplar.com

stevenxx134@gmail.com.exe

data97@india.com

fastwindGlobe@mail.ee

madeinussr@protonmail.com

xitreu@india.com

qhrghghk@tutanota.com

Steven77xx@protonmail.com

HarmaENC@Cock.li

mrromber@tutanota.com

Pentagon11@protonmail.com

akzhq808@cock.li

stevenxx134@gmail.com

LizardBkup@protonmail.com

sales@onserve.ca

protomolecule@gmx.com

mortalis_certamen@aol.com

decrypt20@vpn.tg

support@bitmessage.ch

mortalis_certamen@zoho.eu

helpme24@tuta.io

paymantsystem@cock.li

ctb-decrypt@bitmessage.ch

xmmh@tutamail.com

johncastle@msgsafe.io

decryptallfiles@india.com

Help244@Yandex.ru

decrypt20@firemail.cc

omegawatch@protonmail.com

zuzyamail@aol.com

enabledecrypt@aol.com

zacapa2020@protonmail.com

scott.clark@bk.ru

Zagrec@protonmail.com

newhelper24@protonmail.ch

votrefile@tuta.io

anticrypt2020@aol.com

Lianaytman@protonmail.com

norahghnq@gmx.com

res_reserve@india.com

decrypt@fasthelpassia.com

zyrkal@airmail.cc

decryption@zimbabwe.su

FridaFarko@protonmail.com

newhelper@cock.li

time2relax@firemail.cc

helpdiamond@protonmail.com

Crypt@zimbabwe.su

stevenjoker@msgden.net

decoderma@tutanota.com.exe

xmrlocker@goat.si

china_jm@protonmail.ch

coronavirus19@tutanota.com

Logan8833@aol.com

decoderma@tutanota.com

DECRPToffice@gmail.com.exe

cryptlive@aol.com

VoidFiles@tutanota.com

frogo_my_frend@freemail.hu

res_sup@india.com

DECRPToffice@gmail.com

encrypted2017@tutanota.com

steven77xx@mail.ru

natali_bond90@inbox.ru

encryptfile@protonmail.com

hosdecoder@aol.com

contatomaktub@email.tg

nefartanulo@protonmail.com

Elmershawn@aol.com

bitlander@armormail.ne

getthefiles@protonmail.com

happydaayz@aol.com

darkmask@mailfence.com

mr.crypteur@protonmail.com

milleni5000@qq.com

gnidhyg@protonmail.com

aam_sysadmin@protonmail.com

keyinfo24@mail.com

Mayth24@protonmail.com

emergencychina@tutanota.com

infokey24@mail.com

JustBTC@ProtonMail.com

decrypterfile@mailfence.com

BobGreen85@aol.com

Malakot@protonmail.com

BrillianceBK@protonmail.com

xatixxatix@mail.fr

getthefiles@airmail.cc

clark.rotband@mailfence.com

Greenarrow@cock.li

doltafukno@sina.com.cn

Murdochjoumo@protonmail.com

myfiles@msgsafe.io

res_sup@computer4u.com

fastwindGlobe@protonmail.com

myfiles@airmail.cc

tsai.shen@mailfence.com

missdecryptor@protonmail.com

raboly@firemail.cc

BobGreen85@criptext.com

decrypterfile@protonmail.com

ranbarron88@qq.com

pianist6@protonmail.com

FushenKingdee@protonmail.com

squadhack@email.tg

ftsbk24h@protonmail.com

DharmaParrack@protonmail.com

geri_glenn@aol.com

qhrghghk@protonmail.com

Jason897.help@protonmail.com

FridaFarko@aol.com

infantbernarr@yahoo.com

Ricardogurtress@tutanota.com

sealocker@daum.net

helling.ramon@yahoo.com

MasterFile001@protonmail.com

r4ns0m@tutanota.com

xtredboy@protonmail.com

itunes_decrypt@protonmail.com

openpgp@foxmail.com

scarry5@horsefucker.org

cashdashsentme@protonmail.com

helpbackup@email.tg

logiteam@protonmail.com

JohnCastle1000@protonmail.com

yourbackup@email.tg

colderman@mailfence.com

mccreight.ellery@tutanota.com

ventormi@airmail.cc

USDATAdecrypt@gmail.com

ragnarok_master@protonmail.com

colin_farel@aol.com

djangounchained@cock.li

djang0unchain3d@protonmail.com

mecybaki@firemail.c

support-1@bitmessage.ch

Cobra_Locker2.0@protonmail.com

black.mirror@qq.com

yakomoko@protonmail.com

chinadecrypt@fasthelpassia.com

DECRPT@tutanota.com

supermetasploit@cock.li

wyattpettigrew8922555@mail.com

strongman@india.com

supermetasploit@aol.com

chec1kyourf1les@protonmail.com

k.matroskin@aol.com

recoverydata@qbmail.biz

emergency911service@outlook.com

denis_help@inbox.ru

BobGreen85@tutanota.com

hacker_decryption@protonmail.ch

File-Help@India.Com

teamdecrypt@disroot.org

decrypterfile@mailfence.com.exe

qirapoo@firemail.cc

MyFiles1@ProtonMail.com

decoding_service@protonmail.com

AdamBrown89@aol.com

anonymous@academail.net

guaranteedsupport@protonmail.com

encryptfile@cock.li

savefile365@nuke.africa

Encryptedxtredboy@protonmail.com

brelox777@gmail.com

xmrlocker@protonmail.ch

officialintuitsoftware@gmail.com

bufalo@boximail.com

txdot911@protonmail.com

SilentDeathDecryptor@protonmail.com

表1. 黑客郵箱

系統安全防護數據分析

通過將2020年8月與7月的數據進行對比發現,本月各個系統占比變化均不大,位居前三的系統仍是Windows 7、Windows 10和Windows 8。

圖8. 2020年8月被弱口令攻擊系統占比圖

以下是對2020年8月被攻擊系統所屬IP采樣制作的地域分布圖,與之前幾個月采集到的數據進行對比,地區排名和占比變化都不大。數字經濟發達地區仍是攻擊的主要對象。

圖9. 2020年8月弱口令攻擊區域圖

通過觀察2020年8月弱口令攻擊態勢發現,RDP弱口令和MySQL弱口令攻擊在本月的攻擊態勢整體無較大波動。MSSQL在本月有一次上漲。

圖10. 2020年8月弱口令攻擊態勢圖

MSSQL投毒攔截態勢和以往幾個月一樣有一定的波動,但并無較大幅度的上漲或者下跌。

圖11. 2020年MSSQL投毒攔截態勢圖

勒索病毒關鍵詞

該數據來自lesuobingdu.#的搜索統計。(不包括WannCry、AllCry、TeslaCrypt、Satan、Kraken、Jsworm、X3m、WannaRen以及GandCrab幾個家族)

· devos:屬于phobos勒索病毒家族,由于被加密文件后綴會被修改為devos而成為關鍵詞。該勒索病毒主要通過暴力破解遠程桌面密碼,拿到密碼后手動投毒傳播。

· eking:同devos。

· beijing: 屬于BeijingCrypt勒索病毒家族,由于被加密文件后綴會被修改為beijing而成為關鍵詞。該勒索病毒主要通過暴力破解遠程桌面密碼,拿到密碼后手動投毒傳播。

· boop:屬于Stop勒索病毒家族,由于被加密文件后綴會被修改為boop而成為關鍵詞。該勒索病毒主要通過偽裝成激活工具或者破解軟件誘導用戶下載進行傳播。

· C1H:屬于GlobeImposter勒索病毒家族,由于被加密文件后綴會被修改為C1H而成為關鍵詞。該勒索病毒主要通過暴力破解遠程桌面密碼,拿到密碼后手動投毒傳播。

· C4H:同C1H。

· Readinstructions:屬于MedusaLocker勒索病毒家族,由于被加密文件后綴會被修改為Readinstruction而成為關鍵詞。該勒索病毒主要通過暴力破解遠程桌面密碼,拿到密碼后手動投毒傳播。

· pgp: 屬于Crysis勒索病毒家族。由于被加密文件后綴會被修改為pgp而成為關鍵詞。該勒索病毒主要通過暴力破解遠程桌面密碼,拿到密碼后手動投毒傳播。

· roger:同pgp。

· dewar:同devos。

圖12. 2020年8月關鍵詞TOP10

解密大師

從解密大師本月解密數據看,本月解密量最大的是GandCrab,其次是Stop。使用解密大師解密文件的用戶數量最高的仍是Stop家族的中招設備,其次則是Crysis家族的中招設備。

圖13. 2020年解密大師解密情況圖

總結

針對服務器的勒索病毒攻擊依然是當下勒索病毒的一個主要方向,企業需要加強自身的信息安全管理能力——尤其是弱口令、漏洞、文件共享和遠程桌面的管理,以應對勒索病毒的威脅,在此我們給各位管理員一些建議:

發現中勒索病毒后的正確處理流程:1.發現中毒機器應立即關閉其網絡和該計算機。關閉網絡能阻止勒索病毒在內網橫向傳播,關閉計算機能及時阻止勒索病毒繼續加密文件。2.聯系安全廠商,對內部網絡進行排查處理。3.公司內部所有機器口令均應更換,你無法確定黑客掌握了內部多少機器的口令。

后續安全防護建議:

1. 多臺機器,不要使用相同的賬號和口令

2. 登錄口令要有足夠的長度和復雜性,并定期更換登錄口令

3. 重要資料的共享文件夾應設置訪問權限控制,并進行定期備份

4. 定期檢測系統和軟件中的安全漏洞,及時打上補丁。

5. 定期到服務器檢查是否存在異常。查看范圍包括:

(1) 是否有新增賬戶

(2) Guest是否被啟用

(3) Windows系統日志是否存在異常

(4) 殺毒軟件是否存在異常攔截情況

6. 安裝安全防護軟件,并確保其正常運行。

7. 從正規渠道下載安裝軟件。

8. 對不熟悉的軟件,如果已經被殺毒軟件攔截查殺,不要添加信任繼續運行。

此外,無論是企業受害者還是個人受害者,都不建議支付贖金。支付贖金不僅變相鼓勵了勒索攻擊行為,而且解密的過程還可能會帶來新的安全風險。

常見的勒索病毒,很多只加密文件頭部數據,對于某些類型的文件(如數據庫文件),可以嘗試通過數據修復手段來挽回部分損失。如果不得不支付贖金的話,可以嘗試和黑客協商來降低贖金價格,同時在協商過程中要避免暴露自己真實身份信息和緊急程度,以免黑客漫天要價。由于第三方均是通過聯系黑客購買密鑰解密文件,所以盡量避免咨詢太多第三方(咨詢太多第三方相當于咨詢多次黑客,會導致黑客漲價。)

360安全衛士

熱點排行

用戶
反饋
返回
頂部
竞博官网登录