勒索病毒传播至今,360互联网安全中心已累计收到上万勒索病毒感染求助。勒索病毒的蔓延,给企业和个人都带来了严重的安全威胁。360安全大脑针对勒索病毒进行了全方位的监控与防御。本月新增WastedLocker、Zbw、FonixCrypter、TapPif、SunCrypt等勒索病毒家族。
360解密大师在2020年8月新增对Pojie(修改后缀为52pojie、itunes)勒索病毒的解密支持。
分析本月勒索病毒家族占比:phobos家族占比22%居首位;其次是占比13.6%的Crysis;GlobeImposter家族以占比12%位居第三。本月新出现勒索并未有大量传播态势。上个月新出现的BeijingCrypt本月占比虽仍位居第六,但在本月的传播呈现下降态势。
图1. 2020年8月勒索病毒家族占比
从被感染系统占比看:本月位居前三的系统是:Windows 7、Windows10和Windows 2012。和上个月相同,本次统计的系统占比数据在原有的反勒索服务数据上新增了交流群反馈数据。之后报告默认为两个数据来源,不再单独标注。
图2. 2020年8月被感染系统占比
2020年8月被感染系统中桌面系统和服务器系统占比显示,受攻击的主要系统仍是个人桌面系统。
图3. 2020年8月被感染系统占比
这款名为Pojie的勒索病毒,最早在2020年7月份利用"协助脱壳"、"有偿修改代码"等诱骗用户下载并植入勒索病毒进行传播。在本月,该勒索病毒传播者利用酷Q机器人停止支持这一事件,将勒索病毒伪装成本地版酷Q进行传播。用户一旦运行,文件将被加密,同时后缀将会被修改为itunes.
图4. 被Pojie勒索病毒加密的文件
360解密大师在捕获到该勒索病毒后便成功破解该勒索病毒,并提供解密支持。受害者可使用解密大师对文件进行解密。
图5. 解密大师解密被Pojie加密的文件
WastedLocker勒索病毒最早是在2020年4月份开始出现,该勒索病毒主要将具有高价值的企业作为攻击目标。7月底该勒索病毒由于成功攻击Garmin公司,导致该公司关闭两天生产线而引起广泛关注。该事件一直持续到8月初才告一段落,但是WastedLocker的传播仍在继续。
据悉该勒索病毒背后是由俄罗斯的EvilCorp网络犯罪组织制作并传播。不过在众多针对的企业的勒索病毒中,WastedLocker似乎是少有的不公布受害者数据进行二次威胁的勒索病毒。该犯罪组织在收取赎金时,一般在50万美元到数千万美元之间。勒索病毒运行后会修改文件后缀为garminwasted,并为每个文件生成一个勒索提示信息。
图5. 被WastedLocker加密的文件
Stop勒索病毒是一个长期活跃的勒索病毒家族,在本月,"歪果仁研究协会"由于该勒索病毒影响而导致将近8个月的视频素材全部被加密。该勒索病毒传播至今,主要传播渠道一直是通过伪装成激活工具或者破解软件诱导用户下载,其中由于运行"Windows激活工具"而中招的最多,此次"歪果仁研究协会"最早也是被该家族攻击。
图6. "歪果仁研究协会"被勒索
通过对该事件的跟踪,发现"歪果仁研究协会"在后续的处理过程中,由于处理不当导致其文件不仅被Stop勒索病毒加密,还被Crysis、Lockbit以及BigLock勒索病毒加密,从收到的被加密文件看,其文件被加密次数从8次到12次不等,还有可能被更多次加密。针对此类事件需要再次提醒用户,若中招请参考本文中总结中的推荐处理流程进行处理。避免再次受到伤害。
图7. "歪果仁协"会被就加密文件
以下是本月搜集到的黑客邮箱信息:
qa458@ya.ru
abc@countermail.com
encryptboys@tutanota.com
d7516@ya.ru
de_cryption@tuta.io
FileFixer@ProtonMail.com
zd588@ya.ru
telegram_@spacedatax
LaoXinWon@protonmail.com
ncov@cock.li
Decoding@zimbabwe.su
unl0ckerpkx@tutanota.com
week1@tuta.io
{colin_farel@aol.com
scarry38@horsefucker.org
tcprx@cock.li
datalost@foxmail.com
inc_evilsi@protonmail.ch
ucos2@elude.in
naqohiky@firemail.cc
decoding_service@aol.com
ucos2@elude.im
miclejaps@msgden.net
decoderma@protonmail.com
zacapa@cock.li
mylifeisfear@cock.li
VoidFiles@protonmail.com
OneWay@cock.li
sleepme134@gmail.com
SoporteVoid@tutanota.com
dzec1@mail.com
Trojan.Generic@ML.92
Hichkasam@protonmail.com
zacapa@tuta.io
SupportVoid@elude.in
protohelp@protonmail.com
Mayth24@aol.xom
makbigfast@india.com
ambrosiaa@protonmail.com
beijing@aol.com
jack-daniels22@bk.ru
getscoin2@protonmail.com
info@decrypt.ws
RihabYaman@india.com
AdamBrown89@tutamail.com
zuzya@india.com
inter7a@tutanota.com
AdamBrown89@criptext.com
Jackondra@Ya.Ru
Jackondra@Bigmir.Net
freelockermail@gmail.com
jes_cir@list.ru
avalona.toga@aol.com
jj.greemsy@mailfence.com
Mayth24@aol.com
ambrosiaa@bigmir.net
greemsy.jj@protonmail.ch
Mayth24@tuta.io
protomolecule@gmx.us
help.me24@protonmail.com
H911X@yahoo.com
File-Help1@Yandex.ru
notgoodnews@tutanota.com
decrypt@files.mn
0x69x@protonmail.com
geneve010@protonmail.com
mrromber@cock.li
Backdata@zimbabwe.su
geneve020@protonmail.com
safronov@cock.li
9869420@tutanota.com
rsaencrypt@protonmail.ch
JustBTC@elude.in
FridaFarko@yahoo.com
fast_helpassia777@aol.com
ghostmax@cock.li
Hubble77@tutanota.com
worcservice@protonmail.ch
evandos@email.cz
creampie@ctemplar.com
stevenxx134@gmail.com.exe
data97@india.com
fastwindGlobe@mail.ee
madeinussr@protonmail.com
xitreu@india.com
qhrghghk@tutanota.com
Steven77xx@protonmail.com
HarmaENC@Cock.li
mrromber@tutanota.com
Pentagon11@protonmail.com
akzhq808@cock.li
stevenxx134@gmail.com
LizardBkup@protonmail.com
sales@onserve.ca
protomolecule@gmx.com
mortalis_certamen@aol.com
decrypt20@vpn.tg
support@bitmessage.ch
mortalis_certamen@zoho.eu
helpme24@tuta.io
paymantsystem@cock.li
ctb-decrypt@bitmessage.ch
xmmh@tutamail.com
johncastle@msgsafe.io
decryptallfiles@india.com
Help244@Yandex.ru
decrypt20@firemail.cc
omegawatch@protonmail.com
zuzyamail@aol.com
enabledecrypt@aol.com
zacapa2020@protonmail.com
scott.clark@bk.ru
Zagrec@protonmail.com
newhelper24@protonmail.ch
votrefile@tuta.io
anticrypt2020@aol.com
Lianaytman@protonmail.com
norahghnq@gmx.com
res_reserve@india.com
decrypt@fasthelpassia.com
zyrkal@airmail.cc
decryption@zimbabwe.su
FridaFarko@protonmail.com
newhelper@cock.li
time2relax@firemail.cc
helpdiamond@protonmail.com
Crypt@zimbabwe.su
stevenjoker@msgden.net
decoderma@tutanota.com.exe
xmrlocker@goat.si
china_jm@protonmail.ch
coronavirus19@tutanota.com
Logan8833@aol.com
decoderma@tutanota.com
股票投资小常识:证券市场瞬息万变,直接影响供求关系,包括政治局势动荡、货币供应紧缩、政府干预金融市场,投资大众心理波动以及大投机者兴风作浪等,都可以使证券市场掀起轩然大波。
DECRPToffice@gmail.com.exe
cryptlive@aol.com
VoidFiles@tutanota.com
frogo_my_frend@freemail.hu
res_sup@india.com
DECRPToffice@gmail.com
encrypted2017@tutanota.com
steven77xx@mail.ru
natali_bond90@inbox.ru
encryptfile@protonmail.com
hosdecoder@aol.com
contatomaktub@email.tg
nefartanulo@protonmail.com
Elmershawn@aol.com
bitlander@armormail.ne
getthefiles@protonmail.com
happydaayz@aol.com
darkmask@mailfence.com
mr.crypteur@protonmail.com
milleni5000@qq.com
gnidhyg@protonmail.com
aam_sysadmin@protonmail.com
keyinfo24@mail.com
Mayth24@protonmail.com
emergencychina@tutanota.com
infokey24@mail.com
JustBTC@ProtonMail.com
decrypterfile@mailfence.com
BobGreen85@aol.com
Malakot@protonmail.com
BrillianceBK@protonmail.com
xatixxatix@mail.fr
getthefiles@airmail.cc
clark.rotband@mailfence.com
Greenarrow@cock.li
doltafukno@sina.com.cn
Murdochjoumo@protonmail.com
myfiles@msgsafe.io
res_sup@computer4u.com
fastwindGlobe@protonmail.com
myfiles@airmail.cc
tsai.shen@mailfence.com
missdecryptor@protonmail.com
raboly@firemail.cc
BobGreen85@criptext.com
decrypterfile@protonmail.com
ranbarron88@qq.com
pianist6@protonmail.com
FushenKingdee@protonmail.com
squadhack@email.tg
ftsbk24h@protonmail.com
DharmaParrack@protonmail.com
geri_glenn@aol.com
qhrghghk@protonmail.com
Jason897.help@protonmail.com
FridaFarko@aol.com
infantbernarr@yahoo.com
Ricardogurtress@tutanota.com
sealocker@daum.net
helling.ramon@yahoo.com
MasterFile001@protonmail.com
r4ns0m@tutanota.com
xtredboy@protonmail.com
itunes_decrypt@protonmail.com
openpgp@foxmail.com
scarry5@horsefucker.org
cashdashsentme@protonmail.com
helpbackup@email.tg
logiteam@protonmail.com
JohnCastle1000@protonmail.com
yourbackup@email.tg
colderman@mailfence.com
mccreight.ellery@tutanota.com
ventormi@airmail.cc
USDATAdecrypt@gmail.com
ragnarok_master@protonmail.com
colin_farel@aol.com
djangounchained@cock.li
djang0unchain3d@protonmail.com
mecybaki@firemail.c
support-1@bitmessage.ch
Cobra_Locker2.0@protonmail.com
股票投资小常识:如果是选择题材股,那么低价是一些优势,如果选择价值股,高价是一些优势,不过这只是基于短线炒作的角度,真正的重要的还是企业本身。
black.mirror@qq.com
yakomoko@protonmail.com
chinadecrypt@fasthelpassia.com
DECRPT@tutanota.com
supermetasploit@cock.li
wyattpettigrew8922555@mail.com
strongman@india.com
supermetasploit@aol.com
chec1kyourf1les@protonmail.com
k.matroskin@aol.com
recoverydata@qbmail.biz
emergency911service@outlook.com
denis_help@inbox.ru
BobGreen85@tutanota.com
hacker_decryption@protonmail.ch
File-Help@India.Com
teamdecrypt@disroot.org
decrypterfile@mailfence.com.exe
qirapoo@firemail.cc
MyFiles1@ProtonMail.com
decoding_service@protonmail.com
AdamBrown89@aol.com
anonymous@academail.net
guaranteedsupport@protonmail.com
encryptfile@cock.li
savefile365@nuke.africa
Encryptedxtredboy@protonmail.com
brelox777@gmail.com
xmrlocker@protonmail.ch
officialintuitsoftware@gmail.com
bufalo@boximail.com
txdot911@protonmail.com
SilentDeathDecryptor@protonmail.com
表1. 黑客邮箱
通过将2020年8月与7月的数据进行对比发现,本月各个系统占比变化均不大,位居前三的系统仍是Windows 7、Windows 10和Windows 8。
图8. 2020年8月被弱口令攻击系统占比图
以下是对2020年8月被攻击系统所属IP采样制作的地域分布图,与之前几个月采集到的数据进行对比,地区排名和占比变化都不大。数字经济发达地区仍是攻击的主要对象。
图9. 2020年8月弱口令攻击区域图
通过观察2020年8月弱口令攻击态势发现,RDP弱口令和MySQL弱口令攻击在本月的攻击态势整体无较大波动。MSSQL在本月有一次上涨。
图10. 2020年8月弱口令攻击态势图
MSSQL投毒拦截态势和以往几个月一样有一定的波动,但并无较大幅度的上涨或者下跌。
图11. 2020年MSSQL投毒拦截态势图
该数据来自lesuobingdu.360.cn的搜索统计。(不包括WannCry、AllCry、TeslaCrypt、Satan、Kraken、Jsworm、X3m、WannaRen以及GandCrab几个家族)
· devos:属于phobos勒索病毒家族,由于被加密文件后缀会被修改为devos而成为关键词。该勒索病毒主要通过暴力破解远程桌面密码,拿到密码后手动投毒传播。
· eking:同devos。
· beijing: 属于BeijingCrypt勒索病毒家族,由于被加密文件后缀会被修改为beijing而成为关键词。该勒索病毒主要通过暴力破解远程桌面密码,拿到密码后手动投毒传播。
· boop:属于Stop勒索病毒家族,由于被加密文件后缀会被修改为boop而成为关键词。该勒索病毒主要通过伪装成激活工具或者破解软件诱导用户下载进行传播。
· C1H:属于GlobeImposter勒索病毒家族,由于被加密文件后缀会被修改为C1H而成为关键词。该勒索病毒主要通过暴力破解远程桌面密码,拿到密码后手动投毒传播。
· C4H:同C1H。
· Readinstructions:属于MedusaLocker勒索病毒家族,由于被加密文件后缀会被修改为Readinstruction而成为关键词。该勒索病毒主要通过暴力破解远程桌面密码,拿到密码后手动投毒传播。
· pgp: 属于Crysis勒索病毒家族。由于被加密文件后缀会被修改为pgp而成为关键词。该勒索病毒主要通过暴力破解远程桌面密码,拿到密码后手动投毒传播。
· roger:同pgp。
· dewar:同devos。
图12. 2020年8月关键词TOP10
从解密大师本月解密数据看,本月解密量最大的是GandCrab,其次是Stop。使用解密大师解密文件的用户数量最高的仍是Stop家族的中招设备,其次则是Crysis家族的中招设备。
图13. 2020年解密大师解密情况图
针对服务器的勒索病毒攻击依然是当下勒索病毒的一个主要方向,企业需要加强自身的信息安全管理能力——尤其是弱口令、漏洞、文件共享和远程桌面的管理,以应对勒索病毒的威胁,在此我们给各位管理员一些建议:
发现中勒索病毒后的正确处理流程:1.发现中毒机器应立即关闭其网络和该计算机。关闭网络能阻止勒索病毒在内网横向传播,关闭计算机能及时阻止勒索病毒继续加密文件。2.联系安全厂商,对内部网络进行排查处理。3.公司内部所有机器口令均应更换,你无法确定黑客掌握了内部多少机器的口令。
后续安全防护建议:
1. 多台机器,不要使用相同的账号和口令
2. 登录口令要有足够的长度和复杂性,并定期更换登录口令
3. 重要资料的共享文件夹应设置访问权限控制,并进行定期备份
4. 定期检测系统和软件中的安全漏洞,及时打上补丁。
5. 定期到服务器检查是否存在异常。查看范围包括:
(1) 是否有新增账户
(2) Guest是否被启用
(3) Windows系统日志是否存在异常
(4) 杀毒软件是否存在异常拦截情况
6. 安装安全防护软件,并确保其正常运行。
7. 从正规渠道下载安装软件。
8. 对不熟悉的软件,如果已经被杀毒软件拦截查杀,不要添加信任继续运行。
此外,无论是企业受害者还是个人受害者,都不建议支付赎金。支付赎金不仅变相鼓励了勒索攻击行为,而且解密的过程还可能会带来新的安全风险。
常见的勒索病毒,很多只加密文件头部数据,对于某些类型的文件(如数据库文件),可以尝试通过数据修复手段来挽回部分损失。如果不得不支付赎金的话,可以尝试和黑客协商来降低赎金价格,同时在协商过程中要避免暴露自己真实身份信息和紧急程度,以免黑客漫天要价。由于第三方均是通过联系黑客购买密钥解密文件,所以尽量避免咨询太多第三方(咨询太多第三方相当于咨询多次黑客,会导致黑客涨价。)
股票投资小常识:股东人数越少,股票的供求关系越紧张,反之在越宽松。股权激励和业绩没啥关系。却常常是管理层捞钱的遮羞布。
免责声明:本站所有信息均搜集自互联网,并不代表本站观点,本站不对其真实合法性负责。如有信息侵犯了您的权益,请告知,本站将立刻处理。联系QQ:1640731186