【安全资讯】2018年9月国内勒索病毒疫情分析

前言
       勒索病毒给企业和个人数据安全带来了严重的威胁，360互联网安全中心针对勒索病毒进行了多方位的监控及防御。弱口令攻击在9月份整体有下降趋势；勒索病毒的反馈情况 9月份仍然在上涨。以GandCrab家族为代表的一类勒索病毒，开始大规模转向以漏洞方式进行传播。


感染数据分析
通过对今年勒索病毒的感染数据进行统计发现，虽然整体有所下降，但是从8月到9月被感染用户开始有上升趋势。9月份反馈量相对8月份增长主要原因是9月底GandCrab勒索病毒的一次集中爆发。


图1. 2018年反馈数量统计


  根据360防护数据中心监控的数据，GandCrab在9月28当天达到了最高峰，该家族通过Tomcat，Apache，SQL等软件漏洞进行传播，利用powershell做加载工具执行木马，加密文件.


图2. 9月份勒索病毒感染趋势


   从9月份的整体反馈数据看，通过对开启远程桌面协议(RDP)的服务器进行攻击来传播的方式仍然是黑客们的首选。其中Crysis家族的勒索病毒相对于8月份有明显的增长。通过我们分析发现，大量用户在遭到勒索病毒攻击之前就已经被黑客拿下，而黑客会首先发掘这些机器的其它价值，包括窃取数据、挖矿、做为跳板攻击内网机器等，最后在失去这些价值之后，才会选择投毒。


图3. 9月份勒索病毒分布


针对被感染系统进行分析，Windows7系统感染量仍是占比最大。


图4. 9月份被感染系统统计


    但是通过对8月被感染系统和9月被感染系统进行对比，9月份被攻击的服务器系统从22%上升到24%。服务器被攻击的占比越来越大，其主要原因是服务器长时间运行期间，如果没有出现明显问题，管理员很少会去检查服务器状态。导致服务器受到攻击后，往往不会被第一时间发现，同时又没有及时修复漏洞或定期更改密码，导致最终文件被加密。此外，9月份GandCrab新增加了Tomcat、Apache、Jboss、WebLogic多用于服务器的软件的漏洞利用，这也是服务器系统占比增加的一个原因。


图5. 8、9月份被感染系统对比图


勒索病毒最新情报


感染量最大的两个勒索病毒家族仍是Crysis家族和GlobeImposter家族。其中Crysis家族新增后缀BRRR、BTC、BGTX、MONRO、BKP，但实际出现最多的依然是较早前已经出现的COMBO和BIP。GlobeImposter家族在9月份新增的后缀中，几个动物名+4444的后缀传播量最大，猜测后期可能会集齐十二生肖。


表1. Crysis,GlobeImposter量大家族后缀
   
    GandCrab在9月份非常活跃，传播上增加了多种漏洞传播方式。病毒程序方面，做了多次更新，堪称9月份的"版本王"。其最新版本的勒索病毒对文件后缀不再是固定后缀，而是随机命名，并将后缀写入到注册表Softwarekeys_datadata中。同时新增了对win10提权漏洞(CVE-2018-0896)的利用。通过我们的监控数据分析， 9月中旬开始出现上涨趋势，并在9月28号达到最高峰，在我们收到的反馈中，9月28号被感染的用户数量也是最多的一天。


图6. 9月GandCrab传播趋势图


    另外，我们还发现有黑客使用Fallout Exploit漏洞利用工具来传播GandCrab勒索病毒。同时在近期，该工具还被发现用来传播Kraken勒索病毒。Kraken是国外较为流行的一款勒索病毒，近期国内也出现了部分受害者。由此可以看出，勒索病毒传播者的信息交换与经验交流也是非常密切的。该勒索病毒将配置信息全部编写在了资源文件中，配置文件包含以下内容(仅部分)：
勒索病毒版本

· 加密文件公钥

· 黑客的联系邮箱

· 用户需要支付的比特币价格

· 加密后的文件后缀

· 会被加密的文件的后缀

· 跳过的文件夹

· 不被加密的文件

· 需要被停止的服务


图7. KraKen勒索病毒资源文件

     Matrix勒索病毒是一款之前在国外传播勒索病毒，最近我们收到的此类勒索病毒的反馈也开始增加。该勒索病毒早期通过漏洞利用工具进行分发，在我们接到的求助中，用户机器是被黑客通过远程桌面登录到系统中后手动投毒导致服务器文件被加密。该勒索病毒采用AES-128结合RSA-2048的算法对文件进行加密，目前还无法进行技术解密。


图8. Matrix勒索病毒提示信息


黑客信息
以下是9月份以来黑客在使用的勒索病毒联系邮箱（部分邮箱）


表2. 黑客邮箱


防护数据
从被攻击系统分布图看，被攻击的服务器系统版本中Win2003占比最高，其次是Win2008。建议用户安装系统时使用更高版本的系统，高版本系统总体上的安全性也会更高。


图9. 9月份被攻击系统分布图


  以下是根据9月份被攻击IP采样制作的被攻击地域分布图，和8月份采集到的进行对比，地区的排名和占比差别都不大。信息产业发达地区仍是被攻击的主要对象。


图10.被攻击地区分布图


  根据360防护中心数据分析发现，从8月底到9月中旬，攻击呈下滑趋势，而在9月下旬有开始上涨。 依此预测10月份攻击将进一步上涨。建议用户定期更改密码，更好保护自己的数据。


图11. 攻击类型趋势图


总结
   针对服务器的勒索病毒攻击已经成为当下勒索病毒的一个主要方向，企业也需要将强自身的信息安全管理能力，尤其是弱口令，漏洞，文件共享和远程桌面的管理，以应对勒索病毒的威胁，再次我们给各位管理员一些建议：

· 多台机器，不要使用相同的账号和口令

· 登录口令要有足够的长度和复杂性，并定期更换登录口令

· 重要资料的共享文件夹应设置访问控制全新啊，并进行定期备份

· 定期检测系统和软件中的安全漏洞，及时打上补丁。

· 定期上服务器查看一下是否存在异常，查看范围包括是否有新增账户，Guest是否被启用，windows系统日志是否存在异常，杀毒软件是否存在异常拦截情况等，在发现异常后第一时间进行处理。

叫你们用win7不用win10

顶！！