3月份勒索病毒们都干了啥？

虽然昨晚的黑洞照片糊得像近视眼看黑夜中的电热扇，但这个让人类魂牵梦绕了许多年的“大家闺秀”总算是正式跟人类“Say Hi”了。这个犹抱琵琶半遮面的神秘“人物”一经面世，便引发网友们一片热议：爱因斯坦又双叕对了！



但这不必定不是终点，宇宙中的黑洞需要天文科学家们继续探索，而网络世界中的安全“黑洞”同样也需要我们步履不停。那么问题来了，最近勒索病毒们都做了些啥？来听听360安全大脑怎么说！

攻击趋势相对平稳

仍需注意安全防范

通过360安全大脑的监测来看，3月份勒索病毒整体攻击趋势相对比较平稳，无新增的大规模传播渠道，感染区域以广东等信息产业发达地区居多，目标感染系统居前三的依次是Windows 7、Windows Server 2008和Windows 10。反勒索服务的反馈量也有小幅度下降，但其中新增的Paradise勒索病毒反馈较大，需要格外注意防范。

图1. 近12个月勒索病毒反馈统计

本月有三次反馈高峰。其中在月初出现过两次，主要原因有两点：一是Satan勒索病毒在3月初更新了其勒索病毒版本；二是在3月初挂马网站传播GandCrab勒索病毒的情况仍然比较突出。在3月21日出现第三次反馈高峰，主要是因为两款新勒索病毒Paradise和immortallock开始在国内传播。

图2. 2019年2月勒索病毒反馈趋势

各大家族“争奇斗艳”

勒索脚步未曾停歇

对本月勒索病毒家族占比进行分析发现，GandCrab勒索病毒家族仍是所有勒索病毒家族中占比最高的——达到38.06%，不过与2月份相比下降了8.5%。其次是占比25.81%的GlobeImposter勒索病毒家族和占比16.13%的Crysis勒索病毒家族。此外，值的一提的是：在本月下旬新出现的勒索病毒Paradise的占比（7.74%）直接就跃居到了第四位。

图3. 2019年3月勒索病毒反馈分布图

GandCrab勒索病毒



本月位居首位的GandCrab勒索病毒，其主要传播方式仍然是下面三种：

1.     排第一的是通过挂马网站传播

2.     其次是通过爆破远程桌面，之后手动投毒

3.     最后是通过发送钓鱼邮件，诱导用户下载并运行带有勒索病毒的邮件附件从而感染用户系统。

其中，网站挂马主要是使用了在暗网上公开售卖的Fallout Exploit Kit漏洞利用工具进行攻击。360安全大脑对其进行监控发现，GandCrab的拦截量在本月3月17日曾大幅度上涨，但并未实质性的造成大规模感染疫情。

图4. GandCrab通过漏洞进行传播态势图

Satan勒索病毒



Satan勒索病毒在3月进行过多次更新，在3月1日，攻击者曾大幅提高其攻击量来传播其最新变种。360解密大师也对其最新变种（后缀为evopro）进行了解密支持。后续，该勒索病毒作者还新增了appro和satan_pro后缀，360解密大师也在第一时间进行了跟进支持。

图5. Satan勒索病毒传播态势

Paradise勒索病毒



Paradise勒索病毒是新增勒索病毒中感染量最高的一款（该病毒曾在2018年短暂出现过，当时主要通过爆破远程桌面口令，之后手动投毒传播)。该勒索病毒生成的勒索提示信息以及被加密的文件名格式都是模仿的Crysis勒索病毒；而传播渠道方面则模仿了GandCrab勒索病毒的渠道，通过在暗网上购买Fallout Exploit Kit漏洞工具进行传播。



值得注意的是，仅本月该勒索病毒就出现了四个变种（修改后缀为.exploit、. p3rf0rm4、.paradise、.pro）。按照当前的变种速度和传播手段预估，在未来的几个月，Paradise勒索病毒可能会成为增长最快的勒索病毒之一。

图6. Paradise勒索病毒提[k1] 示信息

CRYPTED!勒索病毒



3月27日，360安全大脑监测到有黑客通过虚假种子资源，搭载“WinRAR远程代码执行漏洞CVE-2018-20250”下发新型勒索病毒“CRYPTED!”，攻击了国内数百台计算机。

图7. CRYPTED!勒索病毒勒索提示信息

黑客选择速度较快的TEA加密算法，原始密钥以资源的形式存储在勒索病毒中。勒索病毒取出原始密钥后，原始密钥会与被加密文件文件名的首个字符进行异或运算后形成每个文件独有的加密密钥，对文件内容进行加密，并向受害者勒索0.1个比特币的赎金。



不过广大用户可不必担心，360解密大师已支持针对该病毒的解密，中招用户可下载安装360安全卫士使用360解密大师恢复被加密文档。

GlobeImposter勒索病毒

另外，360安全大脑监测到GlobeImposter勒索病毒在本月发布了一个新变种“auchentoshan”，该变种仅在加密文件后缀以及勒索提示信息上做了修改，代码与之前版本相似度为99%，传播方式也仍是通过爆破远程桌面，拿到口令以后手动投毒。

图8. GlobeImposter最新变种和老版本代码相似度图

使用复杂的登录密码

避免弱口令攻击

此外，通过对360安全大脑监控到的弱口令攻击数据进行统计分析发现，从整体上分析MySQL弱口令攻击趋势有较大起伏，MYSQL弱口令攻击成为黑客目前最为青睐的对象。RDP（远程桌面）弱口令攻击趋势相对来说比较平稳。结合勒索病毒的传播态势，360安全大脑建议广大用户使用复杂的计算机口令，同时安装360安全卫士并开启系统防护功能，保护个人隐私以及财产安全。

图9. 2019年3月弱口令攻击趋势图

针对服务器的勒索病毒攻击依然是当下勒索病毒的一个主要方向，企业需要加强自身的信息安全管理能力——尤其是弱口令、漏洞、文件共享和远程桌面的管理，以应对勒索病毒的威胁，在此我们给各位管理员一些建议：

1.    多台机器，不要使用相同的账号和口令

2.    登录口令要有足够的长度和复杂性，并定期更换登录口令

3.    重要资料的共享文件夹应设置访问权限控制，并进行定期备份

4.    定期检测系统和软件中的安全漏洞，及时打上补丁。

5.    定期到服务器检查是否存在异常。查看范围包括：

a)    是否有新增账户

b)    Guest是否被启用

c)    Windows系统日志是否存在异常

d)    杀毒软件是否存在异常拦截情况

而针对个人电脑发起攻击的勒索病毒，建议广大用户：

1.    前往weishi.360.cn，下载并安装360安全卫士，拦截各类勒索病毒的攻击；

2.    从正规渠道下载安装软件。

3.    对不熟悉的软件，如果已经被杀毒软件拦截查杀，不要添加信任继续运行。


来源  360安全卫士

都没闲着