中文版 Global
首頁 > 安全資訊 > 正文

2021年1月勒索病毒流行態勢分析

勒索病毒傳播至今,360互聯網安全中心已累計接收到上萬勒索病毒感染求助。隨著新型勒索病毒的不斷湧現,企業數據泄露事件不斷上升,過萬甚至上億贖金的勒索案件不斷上演。勒索病毒給企業和個人帶來的影響範圍將越來越廣,危害性也越來越大。360安全大腦針對勒索病毒進行了全方位的監控與防禦,爲需要幫助的用戶提供360反勒索服務。

2021年1月,國內外新增勒索病毒Vovalex、Babuk、YourData、Summon、HelpYou、Encrp、Judge、Epsilon、WormLocker、Namaste、Povllsomware等勒索病毒家族,其中YourData、HelpYou、Summon本月國內出現感染者,Babuk家族針對企業進行攻擊並采用雙重勒索模式——在加密受害者數據之前,會先竊取用戶數據,若用戶不支付贖金,黑客將會在暗網公布從受害者設備中竊取到的數據。

感染數據分析

針對本月勒索病毒受害者所中勒索病毒家族進行統計,phobos家族占比22.30%居首位;其次是占比18.12%的GlobeImposter;Makop家族以9.41%位居第三。

其中YourData爲本月新增勒索,Magniber是近兩個月重新活躍起來的老牌勒索病毒家族。

2021年1月勒索病毒流行態勢分析


对本月受害者所使用的系统进行统计,位居前三的系统是:Windows 7、Windows 10和Windows Server 2012。其中Windows Server 2012首次占比超过Windows Server 2008。

2021年1月勒索病毒流行態勢分析


2021年1月被感染系統中桌面系統和服務器系統占比顯示,受攻擊的主要系統仍是桌面系統。

2021年1月勒索病毒流行態勢分析


勒索病毒疫情分析

GlobeImposter

本月360安全大脑监控到GlobeImposter通过SQL服务投放勒索病毒的量有所上涨,并在第三周达到峰值。此次传播该家族主要通过先获取到受害者机器上部署的SQL Server口令,再通过脚本下载并执行勒索病毒进行传播。

該家族已不是第一次通過SQL服務投毒,早在去年已有出現通過SQL服務新增賬戶後手動投毒案例。針對GlobeImposter這種攻擊階段,人爲參與度頗高的勒索病毒家族而言,其靈活性較高且攻擊方式也會相應的多樣化。但其家族的攻擊點目前還是圍繞著弱口令展開,不管是本月有上升態勢的SQL服務投毒,還是該家族一直在使用的遠程桌面攻擊,都繞不開弱口令問題。

2021年1月勒索病毒流行態勢分析


NetWalker

NetWalker是由“Cricus Spider”网络犯罪组织采用“勒索软件即服务(RaaS)”模式运营的勒索病毒。2019年传播至今至少有27个国家/地区有受害者被该家族攻击。在2020年,该家族利用疫情热点发送大量COVID-19相关钓鱼邮件传播勒索,并在同年3月开始将其主要攻击目标瞄准医疗和教育行业。从该团伙去年8月份报表显示,仅仅5个月,其获利已超2500万美元。

2021年1月27日美國和保加利亞的執法機構已查封了與Netwalker勒索軟件運營方相關的暗網站點,並在該站點挂出查封通知。同時抓捕了一名涉嫌通過傳播NetWalker勒索盈利超2700萬美元的加拿大人。

NetWalker被查封站點

DarkSide

DarkSide勒索病毒家族于2020年8月開始對企業展開針對性攻擊,並在伊朗創建了一個分布式存儲系統用于存儲受害者數據。而知名安全廠商BitDefender在本月發布了該家族的密鑰。針對本次事件,該團夥表示:由于密鑰生成問題導致有40%的公司擁有相同的密鑰,且因爲Bitdefender的發現,目前該團隊已修補了該漏洞。

Darkside關于解密密鑰泄露的聲明

此外,該團隊在本月還發出了第二份聲明,稱不會對醫療行業以及火葬場、殡儀館等場所發起勒索攻擊。相比該團隊之前的聲明,政府、教育、非盈利組織均被排除在外。此次聲明表示他們的攻擊範圍將越來越廣,後續是否還會信守承諾不攻擊醫療等組織成未知數。

Darkside關于攻擊目標的聲明

黑客信息披露

以下是本月搜集到的黑客郵箱信息:

黑客郵箱

通過雙重勒索模式運營勒索病毒的家族越來越多,勒索病毒伴有數據泄露的風險也越來越大。以下是本月通過數據泄露獲利的勒索病毒家族占比。該數據僅爲未能第一時間繳納贖金或拒繳納贖金部分(因爲第一時間支付贖金的企業或個人不會在暗網中公布,因此無這部分數據)。


以下是本月被雙重勒索病毒家族攻擊的企業或個人。若未發現被數據存在泄露風險的企業或個人也請第一時間自查,做好數據已被泄露准備,采取補救措施。

2021年1月勒索病毒流行態勢分析

受雙重勒索病毒家族攻擊名單

系統安全防護數據分析

通过将2021年与2021年1月的数据进行对比,本月各个系统占比变化均不大,位居前三的系统仍是Windows 7、Windows 8和Windows 10。

2021年1月勒索病毒流行態勢分析


以下是對2021年1月被攻擊系統所屬地域采樣制作的分布圖,與之前幾個月采集到的數據進行對比,地區排名和占比變化均不大。數字經濟發達地區仍是攻擊的主要對象。

2021年1月勒索病毒流行態勢分析

通過觀察2021年1月弱口令攻擊態勢發現,在本月RDP弱口令攻擊整體呈下降態勢、MSSQL和MYSQL弱口令攻擊整體無較大波動。

2021年1月勒索病毒流行態勢分析

勒索病毒關鍵詞

以下是本月上榜活跃勒索病毒關鍵詞统计,数据来自360勒索病毒搜索引擎。

l Devos:该后缀有三种情况,均因被加密文件后缀会被修改为devos而成为关键词。本月活跃的是phobos勒索病毒家族,该家族的主要传播方式为:通过暴力破解远程桌面口令成功后手动投毒。

l Incaseformat:该家族属于蠕虫病毒,中招用戶设备除系统磁盘外所有磁盘文件将被删除,导致用戶数据丢失。在本月突然爆发引发大量用戶恐慌。该蠕虫病毒通过U盘进行传播。

l eking:属于phobos勒索病毒家族,由于被加密文件后缀会被修改为eking而成为关键词。该家族主要的传播方式为:通过暴力破解远程桌面口令成功后手动投毒。

l makop:该后缀有两种情况, 均因被加密文件后缀会被修改为makop而成为关键词:

n 属于Makop勒索病毒家族,该家族主要的传播方式为:通过暴力破解远程桌面口令成功后手动投毒。

n 属于Cryptojoker勒索病毒家,通过“匿隐” 进行传播。

l fair: 属于Makop勒索病毒家族,由于被加密文件后缀会被修改fair而成为关键词。该家族主要的传播方式为:通过暴力破解远程桌面口令成功后手动投毒。

l CC1H:属于GlobeImposter勒索病毒家族,由于被加密文件后缀会被修改为CC1H而成为关键词。该家族主要的传播方式为:通过暴力破解远程桌面口令成功后手动投毒。

l Lockbit: 属于Lockbit勒索病毒家族,由于被加密文件后缀会被修改lockbit而成为关键词。该家族主要的传播方式为:通过暴力破解远程桌面口令成功后手动投毒。

l Eight:同eking。

l CC3H:同CC1H。

l genesis: 属于BeijingCrypt勒索病毒家族,由于被加密文件后缀会被修改genesis而成为关键词。该家族主要的传播方式为:通过暴力破解远程桌面口令成功后手动投毒。

2021年1月勒索病毒流行態勢分析

解密大師

从解密大師本月数据看,解密量最大的是GandCrab家族,其次是CryptoJoker家族。尝试使用360解密大師解密解密文件的用戶数量最高的是被Crysis家族加密的设备,其次是被Stop加密的设备。

2021年1月勒索病毒流行態勢分析

安全防護建議

面對嚴峻的勒索病毒威脅態勢,360安全大腦分別爲個人用戶和企業用戶給出有針對性的安全建議。希望能夠幫助盡可能多的用戶全方位的保護計算機安全,免受勒索病毒感染。

一、 针对个人用戶的安全建议

對于普通用戶,360安全大腦給出以下建議,以幫助用戶免遭勒索病毒攻擊。

(一) 养成良好的安全习惯

1) 电脑应当安装具有高级威胁防护能力和主动防御功能的安全软件,不随意退出安全软件或关闭防护功能,对安全软件提示的各类风险行为不要轻易采取放行操作。

2) 可使用安全软件的漏洞修复功能,第一时间为操作系统和浏览器,常用软件打好补丁,以免病毒利用漏洞入侵电脑。

3) 尽量使用安全浏览器,减少遭遇挂马攻击、钓鱼网站的风险。

4) 重要文档、数据应经常做备份,一旦文件损坏或丢失,也可以及时找回。

5) 电脑设置的口令要足够复杂,包括数字、大小写字母、符号且长度至少应该有8位,不使用弱口令,以防攻击者破解。

(二) 减少危险的上网操作

1) 不要浏览来路不明的色情、赌博等不良信息网站,此类网站经常被用于发起挂马、钓鱼攻击。

2) 不要轻易打开陌生人发来的邮件附件或邮件正文中的网址链接。也不要轻易打开扩展名为js 、vbs、wsf、bat、cmd、ps1等脚本文件和exe、scr、com等可执行程序,对于陌生人发来的压缩文件包,更应提高警惕,先使用安全软件进行检查后再打开。

3) 电脑连接移动存储设备(如U盘、移动硬盘等),应首先使用安全软件检测其安全性。

4) 对于安全性不确定的文件,可以选择在安全软件的沙箱功能中打开运行,从而避免木马对实际系统的破坏。

(三) 采取及时的补救措施

1) 安装360安全衛士并开启反勒索服务,一旦电脑被勒索软件感染,可以通过360反勒索服务寻求帮助,以尽可能的减小自身损失。

二、 针对企业用戶的安全建议

(一) 企業安全规划建议

對企業信息系統的保護,是一項系統化工程,在企業信息化建設初期就應該加以考慮,建設過程中嚴格落實,防禦勒索病毒也並非難事。對企業網絡的安全建設,我們給出下面幾方面的建議。

1) 安全规划

l 网络架构,业务、数据、服务分离,不同部门与区域之间通过VLAN和子网分离,减少因为单点沦陷造成大范围的网络受到攻击。

l 内外网隔离,合理设置DMZ区域,对外提供服务的设备要做严格管控。减少企业被外部攻击的暴露面。

l 安全设备部署,在企业终端和网络关键节点部署安全设备,并日常排查设备告警情况。

l 权限控制,包括业务流程权限与人员账户权限都应该做好控制,如控制共享网络权限,原则上以最小权限提供服务。降低因为单个账户沦陷而造成更大范围影响。

l 数据备份保护,对关键数据和业务系统做备份,如离线备份,异地备份,云备份等,避免因为数据丢失、被加密等造成业务停摆,甚至被迫向攻击者妥协。

2) 安全管理

l 账户口令管理,严格执行账户口令安全管理,重点排查弱口令问题,口令长期不更新问题,账户口令共用问题,内置、默认账户问题。

l 补丁与漏洞扫描,了解企业数字资产情况,将补丁管理作为日常安全维护项目,关注补丁发布情况,及时更新系统、应用系统、硬件产品安全补丁。定期执行漏洞扫描,发现设备中存在的安全问题。

l 权限管控,定期检查账户情况,尤其是新增账户。排查账户权限,及时停用非必要权限,对新增账户应有足够警惕,做好登记管理。

l 内网强化,进行内网主机加固,定期排查未正确进行安全设置,未正确安装安全软件设备,关闭设备中的非必要服务,提升内网设备安全性。

3) 人员管理

l 人员培训,对员工进行安全教育,培养员工安全意识,如识别钓鱼邮件、钓鱼页面等。

l 行为规范,制定工作行为规范,指导员工如何正常处理数据,发布信息,做好个人安全保障。如避免员工将公司网络部署,服务器设置发布到互联网之中。

(二) 发现遭受勒索病毒攻击后的处理流程

1) 发现中毒机器应立即关闭其网络和该计算机。关闭网络能阻止勒索病毒在内网横向传播,关闭计算机能及时阻止勒索病毒继续加密文件。

2) 联系安全厂商,对内部网络进行排查处理。

3) 公司内部所有机器口令均应更换,你无法确定黑客掌握了内部多少机器的口令。

(三) 遭受勒索病毒攻击后的防护措施

1) 联系安全厂商,对内部网络进行排查处理。

2) 登录口令要有足够的长度和复杂性,并定期更换登录口令

3) 重要资料的共享文件夹应设置访问权限控制,并进行定期备份

4) 定期检测系统和软件中的安全漏洞,及时打上补丁。

a) 是否有新增账户

b) Guest是否被启用

c) Windows系统日志是否存在异常

d) 杀毒软件是否存在异常拦截情况

5) 登录口令要有足够的长度和复杂性,并定期更换登录口令

6) 重要资料的共享文件夹应设置访问权限控制,并进行定期备份

7) 定期检测系统和软件中的安全漏洞,及时打上补丁。

三、 不建议支付赎金

最後——無論是個人用戶還是企業用戶,都不建議支付贖金!

支付贖金不僅變相鼓勵了勒索攻擊行爲,而且解密的過程還可能會帶來新的安全風險。可以嘗試通過備份、數據恢複、數據修複等手段挽回部分損失。比如:部分勒索病毒只加密文件頭部數據,對于某些類型的文件(如數據庫文件),可以嘗試通過數據修複手段來修複被加密文件。如果不得不支付贖金的話,可以嘗試和黑客協商來降低贖金價格,同時在協商過程中要避免暴露自己真實身份信息和緊急程度,以免黑客漫天要價。若對方竊取了重要數據並以此爲要挾進行勒索,則應立即采取補救措施——修補安全漏洞並調整相關業務,盡可能將數據泄露造成的損失降到最低。

360安全衛士

熱點排行

用戶
反饋
返回
頂部
關于360
公司簡介
創始人
大事記
獲獎記錄
品牌宣傳片
投資者關系
公司公告
加入360
社會招聘
校園招聘
360大學
用戶服务
意见反饋
理賠舉報
手機回收
电脑/手機維修
360隱私保護白皮書
360安全應急響應中心
商務合作
聯系我們
360點睛營銷平台
360奇勝效果聯盟
360生態鏈