勒索病毒传播至今, 我们已累计接收到上万勒索病毒感染求助。勒索病毒的蔓延,给企业和个人都带来了严重的安全威胁。本月新增LeakThemAll、RanzyLocker、TrchandStrat、Pizhon、Bondy、Clay、CCE、BadBoymnb、Nibiru等勒索病毒家族。
本月新增解密:
· SantaCrypt勒索病毒家族(修改后缀为.$anta)。
· ThunderX勒索病毒(修改后缀为随机后缀)。
感染数据分析
分析本月勒索病毒家族占比:phobos家族占比24.79%居首位;其次是占比19.83%的GlobeImposter;Crysis家族以占比13.64%位居第三。十一期间出现的一款新兴勒索病毒LeakThemAll直接跻身前十,位列第六名。
图1. 2020年10月勒索病毒家族占比
从被感染系统分布看,本月位居前三的系统是:Windows 10、Windows 7和Windows Servers 2008。
图2. 2020年10月被感染系统占比
2020年10月被感染系统中桌面系统和服务器系统占比显示,受***的主要系统仍是桌面PC系统。
图3. 2020年10月被感染系统占比
勒索病毒疫情分析Ryuk勒索病毒在2020年7月,Ryuk勒索病毒针对企业推出新型勒索病毒Conti,并加入到数据泄露的队伍中。在本月末,该家族将美国医疗行业作为主要***对象,目前已有UHS医疗服务系统、俄勒冈州Sky Lakes医疗中心以及纽约的St.Lawrence医疗系统等受到了***。疫情期间曾有多个勒索病毒家族先后宣布将避开对医疗行业的***,Ryuk则是第一个在疫情期间公开针对医疗行业进行***的家族。
图4. Ryuk勒索提示信息
Maze勒索病毒Maze勒索病毒家族于2019年5月开始出现,并在2019年11月成为首个宣布若受害者不支付赎金将公布窃取到的数据的勒索病毒家族。宣称公布数据不久之后,其便搭建了"迷宫新闻" 网站,将未支付赎金的用户的数据上传到该网址供所有人下载和查看。到目前为止,该网站已公布超180家公司数据。
近期由于"迷宫新闻"网站上的受害者数据在不断删除,所以有传言猜测该勒索病毒将模仿GandCrab的模式关闭该项目。而从该网站2020年11月1日发布的新闻称:该项目已正式关闭,但不存在其他报道所说的有其运营成员开始转向运营Egregor勒索病毒。
图5. "迷宫新闻"网站最新新闻
Thundex勒索病毒Thundex勒索病在2020年8月首次出现,在本月国内也出现被家族感染的受害者。针对该受害者的日志分析发现该家族在国内的传播仍通过暴力破解远程桌面口令成功后手动投毒,这导致受害者公司内部多台设备出现感染情况。
Thundex勒索病毒的最早版本存在算法漏洞,能被成功解密,因此该家族在10月中旬发布新版本,并更名为RanzyLocker。此外,该家族的新变种也加入到了数据泄露的队伍当中。
图6. RanzyLocker支付页面
***信息披露以下是本月搜集到的***邮箱信息:
表格1. ***邮箱
系统安全防护数据分析通过将2020年10月与9月的数据进行对比发现,本月各个系统占比变化均不大,位居前三的系统仍是Windows 7、Windows 8和Windows 10。
图7. 2020年10月被弱口令***系统占比
以下是对2020年10月被***系统所属地域采样制作的分布图,与之前几个月采集到的的数据进行对比,地区排名和占比变化都不大。数字经济发达地区仍是***的主要对象。
图8. 2020年10月弱口令***趋势图
通过观察2020年10月弱口令***态势发现,RDP弱口令和MySql弱口令***在本月的***态势整体无较大波动。MSSQL在本月整体呈上升趋势。
图9. 2020年10月弱口令***态势图
从本月MSSQL的投毒态势和MSSQL的弱口令***态势分析,本月利用MSSQL的***成上涨态势。
图10. 2020年10月MSSQL投毒态势图
勒索病毒关键词以下是本月上榜活跃勒索病毒统计,数据来自360勒索病毒搜索引擎。
· eking:属于phobos勒索病毒家族,由于被加密文件后缀会被修改为devos而成为关键词。该勒索病毒主要的传播方式为:通过暴力破解远程桌面口令成功后手动投毒。
· devos:同eking
· C1H: 属于GlobeImposter勒索病毒家族,由于被加密文件后缀会被修改为C1H而成为关键词。该勒索病毒主要的传播方式为:通过暴力破解远程桌面口令成功后手动投毒。
· C4H:同C1H。
· eight:同eking。
· globeimposter-alpha865qqz:同C1H。
· blm: 属于Crysis勒索病毒家族。由于被加密文件后缀会被修改为blm而成为关键词。该勒索病毒主要的传播方式为:通过暴力破解远程桌面口令成功后手动投毒。
· globeimposter:同C1H。
· lockbit: 属于LockBit勒索病毒家族,由于被加密文件后缀会被修改为��ŭ,ʢŭlockbit而成为关键词。该勒索病毒主要的传播方式为:通过暴力破解远程桌面口令成功后手动投毒。。
· montana:属于LeakThemAll勒索病毒家族,由于被加密文件猴崽子会被修改为montana而成为关键词。该勒索病毒主要的传播方式为:通过暴力破解远程桌面口令成功后手动投毒。
图11. 2020年10月关键词搜索TOP10
解密大师从解密大师本月解密数据看,解密量最大的仍是GandCrab,其次是Stop。使用解密大师解密文件的用户数量最高的是Crysis家族的中招设备,其次则是Stop家族的中招设备。
图12. 2020年10月解密大师解密情况
总结针对服务器的勒索病毒***依然是当下勒索病毒的一个主要方向,企业需要加强自身的信息安全管理能力——尤其是弱口令、漏洞、文件共享和远程桌面的管理,以应对勒索病毒的威胁,在此我们给各位管理员一些建议:
发现中勒索病毒后的正确处理流程:1.发现中毒机器应立即关闭其网络和该计算机。关闭网络能阻止勒索病毒在内网横向传播,关闭计算机能及时阻止勒索病毒继续加密文件。2.联系专业人士,对内部网络进行排查处理。3.公司内部所有机器口令均应更换,你无法确定***掌握了内部多少机器的口令。