首页 > 安全资讯 > 正文

2019年12月勒索病毒疫情分析

勒索病毒的蔓延,给企业和个人都带来了严重的安全威胁。www.jh-114.com_【官方首页】-精准计划360安全大脑针对勒索病毒进行了全方位的监控与防御。本月新增SpartCrypt、BRCrypt、Montserrtat以及Zeppelin四个较流行勒索病毒家族。

360解密大师在2019年12月新增了对MZRevenge和TRSomware家族的解密。

感染数据分析

www.jh-114.com_【官方首页】-精准计划分析本月勒索病毒家族占比:GlobeImposter家族占17.06%,居首位;其次是占比16.11%的phobos家族;Crysis家族以占比15.64位居第三。与11月份的数据相比,Stop家族的占比变化最为明显,从11月份的15.18%下降到本月的5.21%。

而从被感染系统占比看:本月居前三的系统仍是Windows 7、Windows 10和Windows Server 2008。其中本月Windows 7 占比上涨明显。从11月的 28.94%上升到本月的41.14%。

12www.jh-114.com_【官方首页】-精准计划月被感染系统中桌面系统和服务器系统占比显示,本月主要受攻击的系统仍为桌面系统。www.jh-114.com_【官方首页】-精准计划与11月份的统计进行比较,桌面系统占比从58%上升到79%。主要浮动来自Windows 7 系统占比的上升。

此外,我们还关注了360论坛的勒索病毒板块在12月的用户反馈动态(http://bbs.cxjlb.net/forum.php?mod=forumdisplay&fid=7592):

本月论坛反馈总计76个案例,共涉及21个勒索病毒家族,其中已支持解密家族共有3个(Nemesis、Petya、Crysis-old)。反馈家族TOP3依次为:GlobeImposter、phobos、Crysis和Sodinokibi(并列第三)。反馈中新增的家族/变种包括:buran、SpartCrypt、Montserrat三个家族。

勒索病毒疫情分析

Maze勒索病毒家族

Maze勒索病毒又被称作“迷宫勒索病毒”或“chacha勒索病毒”,最早于2019年6月在国内出现传播。该勒索病毒本月被曝出,对不支付赎金的受害者,威胁公布涉密数据,迫使用户支付赎金以达到获利目的。目前已被其公布数据的受害者有:Southwrie(120GB)、DV-GROUP(7GB)、Fratelli Beretta(3GB)、加拿大保险公司(1.5GB)、www.jh-114.com_【官方首页】-精准计划彭萨科拉市(2GB)等受害团体。

360www.jh-114.com_【官方首页】-精准计划安全大脑检测到该病毒在6月份初入国内时主要通过网页挂马进行传播,而目前国内反馈的感染案例来看,其还会通过远程桌面爆破投毒进行传播。该病毒向一般受害者会索要价值2400美元的比特币 (针对定向攻击的情况,赎金要数十万甚至上百万美元) 。

MZRevenge勒索病毒家族

360www.jh-114.com_【官方首页】-精准计划安全大脑检测到一款新型勒索病毒——MZRevenge,该勒索病毒使用作者自行修改过的对称加密算法,每个文件的加密密钥相同。www.jh-114.com_【官方首页】-精准计划之后使用硬编码在病毒中的AES256对称加密算法密钥对加密文件的密钥进行加密。整个加密流程中并未使用非对称加密算法,这就导致使用硬编码在病毒中的密码就可以从勒索信息提示文件中取得全局文件加密密钥进行数据恢复。

    而MZRevenge勒索病毒的中招用户,可使用360解密大师解密对被加密的文件进行解密。

Cl0p勒索病毒家族

    Cl0p(也称Clop)勒索病毒是CryptoMix勒索病毒家族的一个变种,该变种于2019年2月份开始出现。本次在国内传播的是其最新变种,该变种相比之前版本进行了多项优化,比如会优先加密2019年的文件,改用RC4算法提升加密速度,使用自定义算法来产生随机数等,而且在结束进程方面,结束的进程列表量高达663个。更为重要的是,该勒索病毒传播者会针对特定企业定向攻击渗透,每个被攻击企业被植入的病毒都是定制化的,从在受害者机器上留下的勒索提示信息也可以看出,勒索信息中不包括用户id信息(攻击者清楚每一家被他们攻击的企业)。在赎金方面,该勒索病毒要价均在百万美元之上,对企业的影响巨大。

Buran勒索病毒家族

Buranwww.jh-114.com_【官方首页】-精准计划勒索病毒早期主要通过投递垃圾邮件进行传播,而目前检测到该勒索病毒又出现了新的变种。此次变种所采用的攻击方式主要通过暴力破解远程桌面登录口令后手动投毒,同时还会利用已攻陷的机器作为跳板攻击内网其他机器,导致内网机器批量被加密。该勒索病毒不仅会清空RDP连接记录,系统日志记录,还会禁用事件记录,从而隐藏攻击来源。

该勒索病毒目前有两个变种,均都在活跃中:变种1,修改文件后缀为[xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx];变种2,修改文件后缀为:xxx-xxx-xxx。并留下勒索提示信息,让用户主动联系黑客留下的邮箱咨询解密相关情况。

黑客信息披露

   

以下是本月搜集到的黑客邮箱信息:

dresden@protonmail.com

decryptfiles@qq.com

RobSmithMba@protonmail.com

omg@onlinehelp.host

decryptfiles@countermail.com

zoye1596@protonmail.com

zeppelin_helper@tuta.io

decrypt@files.com

volscatisbi1974@protonmail.com

zeppelin_decrypt@xmpp.jp

decodeyourfiles@cock.li

notopen@countermail.com

murzik@jabber.mipt.ru

deccrypasia@yahoo.com

zandra_simone1995@protonmail.com

moncler@tutamail.com

deathransom@airmail.cc

noferasna1982@aol.com

notopen@cock.li

deadmin@420blaze.it

yoursalvations@protonmail.ch

noallpossible@cock.li

david-angel@sohu.com

cryptographythebest@gmail.com

youhaveonechance@cock.li

datarestore@iran.ir

newrecoveryrobot@pm.me

youcanwrite24h@airmail.cc

datarest0re@aol.com

neverdies@tutanota.com

you.help5@protonmail.com

cyborgyarraq@protonmail.ch

neo1312@protonmail.com

yeahdesync@airmail.cc

cyberdyne@foxmail.com

zeppelindecrypt@420blaze.it

yardimail2@aol.com

Cryptonium@cock.li

mr.obama21@protonmail.com

yardimail1@aol.com

nmare@cock.li

ContactReception@protonmail.com

winnipyh123@sj.ms

crypt@ctemplar.com

montserrat501@protonmail.com

WilliGarcia@protonmail.com

createhelp@protonmail.com

montserrat501@airmail.cc

nyton@cock.li

cosmecollings@aol.com

moneymaker2@india.com

volcano666@tutanota.de

morf56@meta.ua

zanzarah2019@tutanota.com

volcano666@cock.li

pain@cock.lu

merosadecryption@gmail.com

jones0helper@cock.li

collyhuwkmac@tutanota.com

MerlinWebster@aol.com

loplup@tutanota.com

cockroach@rape.lol

support@anonymous-service.cc

mailnitrom@airmail.cc

cockroach@cock.lu

mailnitrom@tutanota.com

unlock@royalmail.su

chitoz@protonmail.com

mailnitrom@protonmail.ch

unlock@graylegion.su

china.hepler@aol.com

Unlockme501@protonmail.ch

unblock@badfail.info

china.helpen@ao1.com

luciferenc@tutanota.com

tryopen@cock.li

burkbertie@musicradle.com

lordcracker@protonmail.com

foxbit@tutanota.com

locust@cock.li

unpedavol1972@protonmail.com

thunderhelp@airmail.cc

buratino@firemail.cc

buratin@torbox3uiot6wchz.onion

theonlyoption@qq.com

loplup@cock.li

buricoume1976@protonmail.com

theone@safetyjabber.com

Buddy@criptext.com

kippbrundell@magte.ch

tealjanos@aol.com

BTC@decoding.biz

kingsleygovan@krnas.com

sydney.fish@aol.com

btc2018@qq.com

keysfordecryption@jabb3r.org

sverdlink@aol.com

bron_lynn@aol.com

keysfordecryption@airmail.cc

supportrest1@cock.li

Blackmax@tutanota.com

kermy.stapleton@vuzup.com

supportdecrypt@firemail.cc

bitlocker@foxmail.com

kensgilbomet@protonmail.com

itsnotajoke@firemail.cc

BigBobRoss@protonmail.com

karrie.murphey@aol.com

manyfiles@aol.com

BigBobRoss@computer4u.com

jones0helper@countermail.com

support98@cock.li

Big8obRoss@protonmail.com

unumschooler1972@protonmail.com

support7164@firemail.cc

bexonvelia@aol.com

joker8881@protonmail.com

support4568@mail.fr

jjcryptor@cock2.li

suiren2852@protonmail.com

support.mbox@pm.me

back_filein@protonmail.com

bapuverge1985@protonmail.com

superuser111@0nl1ne.at

back_data@protonmail.com

jason.ving@tutanota.com

jodygomersall@aol.com

jackpot@jabber.cd

James_Langton_2019@protonmail.com

suiren2852@cock.li

backmyfiless@tutanota.com

backupmyfiles@protonmail.com

strang.shani@aol.com

backdata.company@aol.com

backcompanyfiles@protonmail.com

stocklock@airmail.cc

jackbtc@mail.ua

jabber-winnipyh123@sj.ms

stillmann.mnu@aol.com

asus2145@cock.li

jabber-theone@safetyjabber.com

stelskill@cock.li

asdbtc@aol.com

jabber-hellobuddy@sj.ms

stanley001@cock.li

asdasd333@default.rs

support@robsmithmba.com

sqlbackup2019@pm.me

hyena@rape.lol

isafeyourdata@protonmail.com

SoupMactavish@cock.li

apoyo2019@protonmail.com

ingalls.jan@inqwari.com

Skynet228@cock.li

apoyo2019@aol.com

info@bigbobross.website

hyena@cock.lu

angry_war@protonmail.ch

ImranZakhaev@protonmail.com

imdecrypt@aol.com

anamciveen@aol.com

sherminator.help@tutanota.com

seed@firemail.cc

altecpro@cock.li

iamheretohelpy0u@protonmail.com

SafeGman@tutanota.com

altec433@cock.li

ArcticBearSOS@protonmail.com

safegman@protonmail.com

altec1167@cock.li

Skynet1488@protonmail.com

SafeGman@firemail.cc

alleen.cowthwaite@aol.com

human_mystery@aol.com

rsa2048@cock.li

aliradada@tutanota.com

howdecript@tutanota.com

Fata54@cock.li

aliradada@protonmail.com

recoverydbservice@protonmail.com

file1m@yandex.com

aksdkja0sdp@ctemplar.com

recoverydata52@protonmail.com

restoringbackup@airmail.cc

Agent.DMR@protonmail.com

detwavuka1973@protonmail.com

restorehelp@qq.com

Agent.DMR@aol.com

heronpiston@xmpp.jp

reroman4@gmail.com

admincrypt@protonmail.com

heronpiston@ctemplar.com

requests2@memeware.net

admin@spacedatas.com

helpyou@countermail.com

recoveryhelp@airmail.cc

admin@sectex.net

helpservis@horsefucker.org

hinkle.s@aol.com

admin@secet.net.bot

helprestore@firemail.cc

recoverydata54@cock.li

admin@secet.bot

helpdesk_mz@aol.com

horsesert@xmpp.jp

admin@sctex.net

recovery94@protonmail.com

hellobuddy@sj.ms

admin@datastex.club

healermed@protonmail.ch

recoverdata@cock.lu

5ss5c@mail.ru

harmahelp73@gmx.de

GodSaveYou@tuta.io

4josefina@keemail.me

Hamlampampom@cock.li

file1@techie.com

gnus@nigge.rs

grusha2281@protonmail.com

Rans0me@protonmail.com

1btc@qbmail.biz

ReadME-Unlockme501@protonmail.ch

protected@firemail.cc

everbe@airmail.cc

GodSaveMe@tutamail.com

prndssdnrp@mail.fr

estelldstva@aol.com

1btcpayment@protonmail.com

prndssdnrp@foxmail.com

geerban@email.tg

elisa_abbott1983@protonmail.com

prnassdnrp@maill.fr

gaudrea@aol.com

getdecoding@protonmail.com

Philip.BTC@protonmail.com

embrace@airmail.cc

getbackdata@qq.com

pc.master@aol.com

gnus@cock.li

esliperre1971@protonmail.com

file1@protonmail.com

elamsanjit@airmail.cc

eninteste1987@protonmail.com

file1n@yandex.com

duncnock@gerdye.com

Galgalgalhalk@tutanota.com

deliverymax@tutanota.com

dresdent@protonmail4.com

truesoft77@protonmail.com

file1@keemail.me

dresden@protonmail.com

fox606@protonmail.com

decservice@mail.ru

dontworry@tuta.io

firstmaillog@protonmail.com

decryptors@xmpp.is

dontworry@hitler.rocks

dharma99@protonmail.com

decryptmasters@firemail.cc

dontworry@cock.li

decyourdata@protonmail.com

howdecript@cock.li

donshmon@cock.li

panda.in.prada@tutanota.com

divinebackup@tuta.io

evillocker@cock.li

panda.in.prada@outlook.com

divine@cock.lu

evillock@cock.li

returnmaster@aaathats3as.com

fhmjfjf@default.rs

everest@airmail.cc

rdpconnect@protonmail.com

表格1. 黑客邮箱

 

系统安全防护数据分析

通过对2019年11月和12月的数据进行对比发现,在被攻击系统占比方面,Windows 7遭受到的远程桌面弱口令攻击从11月份的63.18%上升到本月的76.22%,上涨了13.04%,这也造成本月被攻击桌面系统的占比有较明显上升。

以下是对2019年12月被攻击系统所属IP采样制作的地域分布图,与之前几个月采集到的数据进行对比,地区排名和占比变化都不大。数字经济发达地区仍是被攻击的主要对象。

通过对2019年12月弱口令攻击趋势分析发现,MSSQL弱口令攻击在12月整体呈现下降趋势。这和360安全大脑监测到的,利用MSSQL攻击渠道投毒的机器量的整体趋势相符。

勒索病毒关键词

该数据来自lesuobingdu.cxjlb.net的搜索统计。(不包括WannCry、AllCry、TeslaCrypt、Satan、Kraken、Jsworm、X3m以及GandCrab几个查询量被大幅干扰的家族)

  l  pig865qqz属于GlobeImposter家族,由于被加密文件后缀会被修改为pig865qqz而成为关键词。该勒索病毒家族主要通过暴力破解远程桌面密码,成功后手动投毒传播。

  l  wecanhelp:属于Nemesis勒索病毒家族,该勒索病毒近期通过暴力破解远程桌面进行传播。该勒索病毒会在系统中生成一个temp000000.txt文档,该文档包含解密文件用的密钥。一般都会被黑客直接删除掉,但是中招用户可以尝试以下链接中的方式找回temp000000.txt的内容:http://bbs.cxjlb.net/thread-15780698-1-1.html

  l  rooster865qqz:同pig865qqz。

  l  bitlocker@foxmail.com属于Crysis勒索病毒家族,由于文件被加密后会被加入admin@sectex.net而成为关键词。该勒索病毒家族主要通过暴力破解远程桌面密码,成功后手动投毒传播。

  l  Readinstructions属于MedusaLocker家族,由于被加密文件后缀会被修改为Readtheinstructions而成为关键词。该勒索病毒家族主要通过暴力破解远程桌面密码,成功后手动投毒传播。

  l  Harma:同admin@sectex.net。不同点在于是文件后缀被修改为harma

  l  Hendrix:同Readinstructions。

  l  Wiki:同harma。

  l  Sodinokibi:Sodinokibi为病毒家族名,由于该勒索病毒会将被加密文件后缀修改成随机后缀,因此大部分用户用被加密文件后缀会命中Sodinokibi。该勒索病毒传播渠道较多,目前仍在被使用的主要有两个渠道,第一是投递垃圾邮箱,第二是远程桌面暴力破解。

  l  china.helper@aol.com:属于GlobeImposter家族,该邮箱是黑客留在勒索提示信息中,用于和黑客进行交谈使用。

解密大师

    从解密大师本月的解密统计数据看,本月解密量最大的仍是GandCrab,其次是KimChinInSev。其中使用解密大师解密文件的用户数量最高的仍是Stop家族的中招设备,其次则是Crysis家族的中招设备。

总结

针对服务器的勒索病毒攻击依然是当下勒索病毒的一个主要方向,企业需要加强自身的信息安全管理能力——尤其是弱口令、漏洞、文件共享和远程桌面的管理,以应对勒索病毒的威胁,在此我们给各位管理员一些建议:

1.      多台机器,不要使用相同的账号和口令

2.      登录口令要有足够的长度和复杂性,并定期更换登录口令

3.      重要资料的共享文件夹应设置访问权限控制,并进行定期备份

4.      定期检测系统和软件中的安全漏洞,及时打上补丁。

5.      定期到服务器检查是否存在异常。查看范围包括:

a)      是否有新增账户

b)     Guest是否被启用

c)      Windows系统日志是否存在异常

d)     杀毒软件是否存在异常拦截情况

 

而对于本月又重新崛起的这对个人电脑发起攻击的勒索病毒,建议广大用户:

1.    安装安全防护软件,并确保其正常运行。

2.    从正规渠道下载安装软件。

3.    对不熟悉的软件,如果已经被杀毒软件拦截查杀,不要添加信任继续运行。

此外,无论是企业受害者还是个人受害者,都不建议支付赎金。支付赎金不仅变相鼓励了勒索攻击行为,而且解密的过程还可能会带来新的安全风险。

常见的勒索病毒,很多只加密文件头部数据,对于某些类型的文件(如数据库文件),可以尝试通过数据修复手段来挽回部分损失。如果不得不支付赎金的话,可以尝试和黑客协商来降低赎金价格,同时在协商过程中要避免暴露自己真实身份信息和紧急程度,以免黑客漫天要价。


360安全卫士

热点排行

用户
反馈
返回
顶部

页面底部区域 foot.htm