关闭

绑定手机号

应国家法规对于账号实名的要求,请您在进行下一步操作前,需要先完成手机绑定 (若绑定失败,请重新登录绑定)。了解更多

不绑定绑定手机号

360官网 | 会员商城 | 360手机官网 | 社区客户端

推荐论坛版块用户代言人活动众测会员商城积分商城
  勒索病毒的蔓延,给企业和个人都带来了严重的安全威胁。360安全大脑针对勒索病毒进行了全方位的监控与防御。从本月的数据来看,反勒索服务的反馈量有小幅度上升,其中GlobeImposter的反馈量居首位,新增的GetCrypt勒索病毒较为值得关注。
  360解密大师在本月新增了对X3m(后缀为firex3m)、Planetary、JSWorm以及GetCrypt四款勒索病毒的解密功能。
感染数据分析
相比上月(2019年4月),本月反勒索服务的反馈量有小幅度上升。上涨部分主要来自本月新增的GetCrypt勒索病毒以及通过邮件传播的Sodinokibi勒索病毒。

360社区

360社区

                                                       图1. 近12个月勒索病毒反馈趋势

   从反馈形势来看,仍然是工作日较多,节假日较少。主要还是由于在工作日,用户能更早的发现机器出现的故障。



360社区

360社区

                                                         图2. 5月份勒索病毒反馈趋势


对本月勒索病毒家族占比分析发现,本月GlobeImposter家族占比31.4%居首位,其次是占比为20.66%的GandCrab家族以及占比为12.4%的Crysis勒索病毒家族。  


360社区

360社区

                                                         图3. 5月份勒索病毒家族占比


从被感染系统的占比看,本月占比居前三的仍是Windows 7 、Windows 10和Windows Server 2008。其中,Windows 7系统以占比47.89%在所有系统中居首位,相比于上月的41.73%有小幅度上升。


360社区

360社区


                                                      图4. 2019年5月被感染系统占比


对比2019年4月和5月被感染系统情况,本月个人系统占比上升较大。这和4月初出现的Sodinokibi勒索病毒紧密相关,预计在未来一个月,个人系统占比还会有所提升。



360社区

360社区

                                                  图5. 2019年4月和5月被感染系统种类占比对比图


                                                                     勒索病毒疫情分析

                                                                         GandCrab

  GandCrab从4月份开始,传播量就逐步下降。4月中旬,Sodinokibi开始占据GandCrab的传播渠道,并在5月份实现了全部渠道占领。近日GandCrab作者在论坛公布GandCrab勒索病毒传播至今累积收益已高达20亿美元,平均每周获益250万美金。该作者还宣布将停止对GandCrab勒索病毒的维护并将删除密钥。GandCrab事件带来了一个“恶意典范”,预计会有更多灰黑产人员加入制作与传播勒索病毒的行列。


360社区

360社区


                                                          图6. GandCrab作者论坛公告


    GetCrypt
    在5月21日360安全大脑检测到GetCrypt勒索病毒通过RigEK漏洞利用工具开始进行传播,在5月22日达到高峰。360安全卫士日均拦截超过1000次该病毒的攻击,目前监测到的主流传播手段为非法境外网站挂马。360解密大师以增加对其的解密支持。


360社区

360社区


                                                                    图7. 解密GetCrypt  


   X3m
   X3m最早于2016年出现,但由于其传播量较小,一直没有得到广泛关注。但本次传播已导致国内多家企业和个人系统被感染,影响力逐步增强。此次变种主要通过暴力破解拿到远程桌面密码后手动投毒,该变种修改文件后缀为firex3m。



360社区

360社区

                                                             图8. 被X3m加密文件以及勒索提示信息


                      本次变种采用的3DES和RC4算法加密文件,并将密钥写入到本地的temp000000.txt文件中,因此只要还存在temp000000.txt文件即可使用360解密大师进行解密。
Phobos
   Phobos勒索病毒的勒索提示信息,以及所使用的扩展名都和Crysis类似,就连其传播方式也有很多相似之处,因此很容易被误认为是CrySis勒索病毒。该勒索病毒在本月的反馈量有大幅度上升,其中传播量较大的几个变种会修改文件后缀为actin、phobos、acton等。
该勒索病毒与Crysis的区别可通过被重命名的文件名进行判断:
 Crysis被重命名文件格式:原始文件名.id-xxxxxxxx.[邮箱].后缀


360社区

360社区


                                                       图9. 被Crysis加密文件


                                        Phobos被重命名文件格式:原始文件名. id[xxxxxxxx-xxxx].[邮箱].后缀


360社区

360社区


                                                       图10. 被Phobos加密文件


勒索提示信息界面采用Crysis勒索病毒相同的提示信息,因此很难从提示信息去区分出这两个勒索家族。Crysis的提示信息曾被不少其他的勒索病毒家族所采用过,比如早期的Xiaoba,以及近期的Paradise。如此受到众多家族采用,这和Crysis的“历史悠久”有密切关系(Crysis勒索病毒是唯一从2016年开始传播至今,且从未停止过的一个家族)。


360社区

360社区


                                                            图11. Phobos勒索提示信息

  黑客信息披露
   以下是2019年5月份以来,黑客在使用的勒索病毒联系邮箱:

360社区

360社区

                                             表格1. 黑客联系邮箱


服务器防护数据分析
通过对2019年4月份和5月份的数据进行对比分析发现,操作系统占比排位中XP系统有大幅度提升,从上月的以占比5.92%居第四到本月的9.05%居第二。


360社区

360社区


                                                                    图12. 被攻击系统占比图


以下是对2019年5月被攻击系统所属IP采样制作的地域分布图,与之前几个月采集到的数据进行对比,地区排名和占比变化都不大。信息产业发达地区仍是被攻击的主要对象。

360社区

360社区


                                                          图13. 2019年5月被攻击地域分布图


通过对4月和5月弱口令攻击数据分析,本月弱口令攻击量有大幅度下降。下降的攻击量主要来自针对Mysql数据库的弱口令爆破,高峰值从700多万下降到400百万次,回归到了相对“正常”的攻击峰值。

360社区

360社区



                                                   图14. 2019年5月弱口令攻击趋势

勒索病毒关键词
  该数据来源lesuobingdu.360.cn的使用统计。由于WannaCry、AllCry、TeslaCrypt、Satan以及kraken几个家族在过去曾出现过大规模爆发、长期性传播或国内受害者较多等原因,导致在早期搜索中排名靠前,长期停留在推荐栏里,容易影响搜索结果。以后每月的TOP10不再对这几个家族进行展示。




360社区

360社区

                                                     图15. 勒索病毒搜索


  对本月用户搜索勒索病毒关键词进行统计,搜索量较大的关键词情况如下:
 Firex3m:属于X3m勒索病毒家族,主要通过暴力破解远程桌密码手动投毒。目前已被360解密大师攻破,可使用360解密大师进行解密。
 Scaletto:属于GlobeImpsoter家族,是本月传播量最大的一个家族。
 GGGHJMNGFD:属于Attention家族,该勒索病毒家族同样是通过暴力破解远程桌面密码后手动投毒,该勒索病毒家族从2019年3月份开始传播,目前已知变种有三种,分别修改文件   后缀为:OOOKJYHCTVDF、GGGHJMNGFD、YYYYBJQOQDU。
 Adobe:属于Crysis家族,adobe后缀是该勒索病毒家族中最常用到的后缀之一。
 GandCrab:该勒索病毒作者宣称获利20亿美元后宣布停更GandCrab。由于其获得的高额利益在国内引起巨大轰动。

360社区

360社区


                                                       图16. 2019年5月关键词搜索TOP10

总结
   针对服务器的勒索病毒攻击依然是当下勒索病毒的一个主要方向,企业需要加强自身的信息安全管理能力——尤其是弱口令、漏洞、文件共享和远程桌面的管理,以应对勒索病毒的威胁,在此我们给各位管理员一些建议:
   1. 多台机器,不要使用相同的账号和口令
   2. 登录口令要有足够的长度和复杂性,并定期更换登录口令
   3. 重要资料的共享文件夹应设置访问权限控制,并进行定期备份
   4. 定期检测系统和软件中的安全漏洞,及时打上补丁。
   5. 定期到服务器检查是否存在异常。查看范围包括:
       a) 是否有新增账户
       b) Guest是否被启用
       c) Windows系统日志是否存在异常
       d) 杀毒软件是否存在异常拦截情况
  而对于本月又重新崛起的这对个人电脑发起攻击的勒索病毒,建议广大用户:
  1. 安装安全防护软件,并确保其正常运行。
  2. 从正规渠道下载安装软件。
  3. 对不熟悉的软件,如果已经被杀毒软件拦截查杀,不要添加信任继续运行。

来源 360官网

新品首发|360扫地机器人X90领劵立减800元

共 4 个关于2019年5月勒索病毒疫情分析的回复 最后回复于 2019-6-10 10:34

评论

直达楼层

zhc88888888888 LV8.少校 发表于 2019-6-9 13:21 | 显示全部楼层 | 私信
病毒无孔不入!
潭深千尺 LV8.少校 发表于 2019-6-9 20:40 | 显示全部楼层 | 私信
安装并使用360安防产品 定期检测系统和软件中的安全漏洞 及时打上补丁安心 放心 省心!!!
tan7177 LV14.上将 发表于 2019-6-9 21:53 | 显示全部楼层 | 私信
幸好有360!!!
xbtglibai360 LV13.中将 发表于 2019-6-10 10:34 | 显示全部楼层 | 私信
了解了   
您需要登录后才可以回帖 登录 | 注册

本版积分规则

飞机飞行 超级版主

粉丝:160 关注:12 积分:139715

精华:218 金币:167776 经验:113669

最后登录时间:2019-10-18

公测360摄像机户外版 360家庭防火墙APP内测 公测360摄像机标准版 儿童五周年纪念章 版主 安全卫士10周年纪念 360粉丝达人勋章 360手机f4 360会员商城青铜会员

私信 加好友

最新活动

用户代言人活动

排行榜

热度排行 查看排行
今日 本周 本月 全部
    今日 本周 本月 全部

      内容推荐 热门推荐最新主帖

        关注360粉丝团,回复:抽奖,每周抽一个锦鲤大奖,等啥呢?扫它!!!

        快速回复 返回顶部 返回列表