隨著勒索病毒的蔓延�,給企業(yè)和個(gè)人都帶來了嚴(yán)重的威脅�,360安全大腦針對(duì)勒索病毒進(jìn)行了全方位的監(jiān)控與防御。從本月的數(shù)據(jù)來看�,反勒索服務(wù)的反饋量有小幅度下降,但其中新增的Paradise勒索病毒反饋較大���,需要格外注意防范��。
360解密大師在本月新增了對(duì)PewCrypt��、CRYPTED!以及ChinaYunLong三款勒索病毒的解密�。
感染數(shù)據(jù)分析
通過對(duì)2019年3月勒索病毒的反饋數(shù)據(jù)統(tǒng)計(jì)看,本月的反饋相對(duì)于2019年2月有小幅度的下降���。本月勒索病毒整體相對(duì)比較平靜��,無新增的大規(guī)模傳播渠道���。
圖1. 近12個(gè)月勒索病毒反饋統(tǒng)計(jì)
反饋趨勢(shì)看,本月有三次反饋高峰�。其中在月初出現(xiàn)過兩次,主要原因有兩點(diǎn):一是Satan勒索病毒在3月初更新了其勒索病毒版本�;二是在3月初掛馬網(wǎng)站傳播GandCrab勒索病毒的情況仍然比較突出。在3月21日出現(xiàn)第三次反饋高峰���,主要是因?yàn)閮煽钚吕账鞑《綪aradise和immortallock開始在國(guó)內(nèi)傳播�。
圖2. 2019年3月勒索病毒反饋趨勢(shì)
對(duì)本月勒索病毒家族占比進(jìn)行分析發(fā)現(xiàn)�����,GandCrab勒索病毒家族仍是所有勒索病毒家族中占比最高的——達(dá)到38.06%�����,不過與2月份相比下降了8.5%。其次是占比25.81%的GlobeImposter勒索病毒家族和占比16.13%的Crysis勒索病毒家族��。此外��,值的一提的是:在本月下旬新出現(xiàn)的勒索病毒Paradise的占比(7.74%)直接就躍居到了第四位�����。
圖3. 2019年3月勒索病毒反饋分布圖
從感染系統(tǒng)的占比看�����,本月占比居前三的仍是Windows 7�����、Windows Server 2008和Windows 10�。其中Windows 7系統(tǒng)以占比49.71%在所有系統(tǒng)版本中居首位�����,但相較于上個(gè)月的54.92%�����,仍屬于下降的態(tài)勢(shì)。
圖4. 2019年3月份被感染系統(tǒng)占比圖
對(duì)比2019年2月和2019年3月被感染系統(tǒng)情況�,發(fā)現(xiàn)這兩月被感染系統(tǒng)中個(gè)人系統(tǒng)占比和服務(wù)器系統(tǒng)占比相對(duì)穩(wěn)定,變化不是很大��。
圖5. 2019年2月與2019年3月被感染系統(tǒng)類型對(duì)比圖
勒索病毒疫情
GandCrab勒索病毒
本月位居首位的GandCrab勒索病毒���,其主要傳播方式仍然是下面三種:
1. 排第一的是通過掛馬網(wǎng)站傳播
2. 其次是通過爆破遠(yuǎn)程桌面�,之后手動(dòng)投毒
3. 最后是通過發(fā)送釣魚郵件�,誘導(dǎo)用戶下載并運(yùn)行帶有勒索病毒的郵件附件從而感染用戶系統(tǒng)。
其中����,網(wǎng)站掛馬主要是使用了在暗網(wǎng)上公開售賣的Fallout Exploit Kit漏洞利用工具進(jìn)行攻擊。360安全大腦對(duì)其進(jìn)行監(jiān)控發(fā)現(xiàn)���,GandCrab的攔截量在本月3月17日曾大幅度上漲�����。但并未實(shí)質(zhì)性的造成大規(guī)模感染疫情���。
圖6. GandCrab通過漏洞進(jìn)行傳播態(tài)勢(shì)圖
Satan勒索病毒
Satan勒索病毒在3月進(jìn)行過多次更新�����,在3月1日��,攻擊者曾大幅提高其攻擊量來傳播其最新變種���。360解密大師也對(duì)其最新變種(后綴為evopro)進(jìn)行了解密支持。后續(xù)��,該勒索病毒作者還新增了appro和satan_pro后綴����,360解密大師也在第一時(shí)間進(jìn)行了跟進(jìn)支持��。
圖7. Satan勒索病毒傳播態(tài)勢(shì)
Paradise勒索病毒
在本月�����,Paradise勒索病毒是新增勒索病毒中感染量最高的一款(該病毒曾在2018年短暫出現(xiàn)過�����,當(dāng)時(shí)主要通過爆破遠(yuǎn)程桌面口令�����,之后手動(dòng)投毒傳播)。勒索提示信息方面���,該勒索病毒生成的勒索提示信息以及被加密的文件名格式都是模仿的Crysis勒索病毒���;而傳播渠道方面則模仿了GandCrab勒索病毒的渠道,通過在暗網(wǎng)上購買Fallout Exploit Kit漏洞工具進(jìn)行傳播�����;在僅在本月該勒索病毒就出現(xiàn)了四個(gè)變種(修改后綴為.exploit��、. p3rf0rm4�、 .paradise、.pro)���。按照當(dāng)前的變種速度和傳播手段預(yù)估����,在未來的幾個(gè)月���,Paradise勒索病毒可能會(huì)成為增長(zhǎng)最快的勒索病毒之一�����。
圖8. Paradise勒索病毒提示信息
CRYPTED!勒索病毒
3月27日���,360安全大腦監(jiān)測(cè)到有黑客通過虛假種子資源傳播一種新的勒索病毒“CRYPTED!”并勒索0.1比特幣贖金�。在攻擊中�����,黑客利用最新的WinRAR遠(yuǎn)程代碼執(zhí)行漏洞CVE-2018-20250下發(fā)勒索病毒�����,并攻擊了數(shù)百臺(tái)國(guó)內(nèi)的計(jì)算機(jī)�����。
圖9. CRYPTED!勒索病毒勒索提示信息
黑客選擇的加密算法是速度較快的TEA加密算法�����,原始密鑰以資源的形式存儲(chǔ)在勒索病毒中��。勒索病毒取出原始密鑰后�����,原始密鑰會(huì)與被加密文件文件名的首個(gè)字符進(jìn)行異或運(yùn)算后形成每個(gè)文件獨(dú)有的加密密鑰����,對(duì)文件內(nèi)容進(jìn)行加密。經(jīng)過360安全大腦分析���,該加密算法可以破解�,并已在360解密大師中進(jìn)行了支持���,中招用戶可是用360解密大師進(jìn)行解密�。
GlobeImposter勒索病毒
在本月�����,出現(xiàn)的一款被稱之為“auchentoshan”的“新勒索病毒”�,由于反饋中招的用戶較多,引起了廣泛的關(guān)注��。經(jīng)過360安全大腦鑒定該勒索病毒為GlobeImposter的一個(gè)新變種���。此次變種主要更新了勒索提示信息以及后綴�����。代碼和之前版本的相似度為99%���,并沒有做大幅度更改���。其傳播方式也仍是通過爆破遠(yuǎn)程桌面,拿到口令后手動(dòng)投毒�����。用戶也不必太過恐慌��,使用復(fù)雜的計(jì)算機(jī)口令�����,安裝360安全衛(wèi)士并開啟系統(tǒng)防護(hù)功能即可防護(hù)��。
圖10. GlobeImposter最新變種和老版本代碼相似度圖
黑客信息披露
