用心将技术和服务遍布全中国
一切都是为了价值无法衡量的数据!



2021年3月勒索病毒流行态势分析

2021-04-18 00:31:46 10975 编辑:91数据恢复专家 来源:本站原创
6Ic91数据恢复
6Ic91数据恢复
勒索病毒传播至今,91数据恢复团队已累计接收到数千例勒索病毒感染求助。随着新型勒索病毒的不断涌现,企业数据泄露事件不断上升,过万甚至上亿赎金的勒索案件不断上演。勒索病毒给企业和个人带来的影响范围将越来越广,危害性也越来越大。6Ic91数据恢复
2021年3月,全球新增活跃勒索病:FancyBear、Hog、DearCry、Sarbloh、BadGopher、RunExeMemory、Phoenix CryptoLocker等。其中FancyBear还处于开发阶段,DearCry是本月最先被捕获使用Exchange漏洞投发勒索病毒的家族,新出现的Phonenix CryptoLocker可能与Evil黑客组织相关。6Ic91数据恢复
 6Ic91数据恢复
感染数据分析6Ic91数据恢复
针对本月勒索病毒受害者所中勒索病毒家族进行统计,phobos家族占比22.22%居首位,其次是占比15.03%的GlobeImposter, 而MedusaLocker家族以9.8%位居第三。6Ic91数据恢复
其中Dragon勒索病毒家族虽不是首次出现,但在本月首次进入前十,其转播有上升趋势。针对NAS进行攻击的Ech0raix勒索病毒家族虽未上榜,但其危害不小,也需要广大用户提高警惕。6Ic91数据恢复
6Ic91数据恢复
 6Ic91数据恢复
对本月受害者所使用的系统进行统计,位居前三的系统是:Windows 7、Windows 10和Windows Server 2012。其中Windows Server 2012首次占比超过Windows Server 2008。6Ic91数据恢复
 6Ic91数据恢复
 6Ic91数据恢复
2021年1月被感染系统中桌面系统和服务器系统占比显示,受攻击的主要系统仍是桌面系统。6Ic91数据恢复
 6Ic91数据恢复
 6Ic91数据恢复
勒索病毒疫情分析6Ic91数据恢复
ech0raix6Ic91数据恢复
近日91数据恢复团队监控到在国内外沉寂一时的ech0raix勒索病毒家族再度开始活跃。最近一周已有多位用户的NAS系统遭遇攻击。NAS系统通常有较大的存储容量被用来做文件备份和存储,因此被加密后很难完全找回数据。其中威联通品牌的NAS主机受害者较多。6Ic91数据恢复
该家族最早出现于2019年7月,加密时会避开白俄罗斯、俄罗斯、乌克兰等地区的设备,是第一款针对NAS进行攻击的勒索病毒。目前其主要通过以下几个渠道进行传播:
  • 桌面登录口令暴力破解
  • CVE-2019-7192、CVE-2019-7194、CVE-2019-7195等漏洞(均为针对QNAP NAS的Photo Station远程执行漏洞)
  •  
  • phobos
  • 近日,91数据恢复团队接到多用户反馈中勒索病毒后后缀名被修改为.POLSAT,经鉴定该变种属于phobos勒索病毒家族。此次变种仅提供ICQ即时通信渠道和黑客进行赎金沟通,同时新增了5国语言。除去之前有的英语,还新增西班牙语、意大利语、法语、德语以及中文。
  • phobos勒索病毒家族早期出现的样本与Crysis极其的相似,也存在不少关系。因此国内有部分安全厂家将两者一同归为Crysis家族。但在后期,两者互相独立,因此我们将两者独立区分。该家族最早出现于2019年9月,其主要传播方式为暴力破解远程桌面成功后手动投毒和钓鱼邮件,在2020年7月还捕获到该家族在国外通过激活工具进行传播,短短一星期已转播到十多个国家。
 6Ic91数据恢复
Black kingdom6Ic91数据恢复
继DearCry勒索病毒被曝使用Exchange漏洞传播后,又曝出Black KingDom家族开始使用该系列漏洞进行传播。该家族最早出现于2020年月,当时是伪装成赛博朋克2077安装程序进行传播的。根据对该家族的跟踪研究,从传播至今该家族索要的赎金均为价值为价值1万美元的比特币。6Ic91数据恢复
 6Ic91数据恢复
SodinokibiREvil6Ic91数据恢复
继富士康开出天价赎金后,宏碁(Acer)被索要赎金金额又创历史新高。Sodinokibi(REvil)勒索团伙向其索要5000万美元(约3.3亿元人民币)作为赎金,该勒索病毒家族不仅加密了Acer的文件,还窃取了宏碁的财务表格、银行结余、银行通讯录文档等机密文件。若宏碁不能在规定时间内支付赎金,该团伙将在暗网公布窃取到的数据。6Ic91数据恢复
 6Ic91数据恢复
GlobeImposter6Ic91数据恢复
本月91数据恢复团队监控到GlobeImposter通过SQL服务投放勒索病毒的量有所上涨,并在第三周达到峰值。此次传播该家族主要通过先获取到受害者机器上部署的SQL Server口令,再通过脚本下载并执行勒索病毒进行传播。6Ic91数据恢复
该家族已不是第一次通过SQL服务投毒,早在去年已有出现通过SQL服务新增账户后手动投毒案例。针对GlobeImposter这种攻击阶段,人为参与度颇高的勒索病毒家族而言,其灵活性较高且攻击方式也会相应的多样化。但其家族的攻击点目前还是围绕着弱口令展开,不管是本月有上升态势的SQL服务投毒,还是该家族一直在使用的远程桌面攻击,都绕不开弱口令问题。6Ic91数据恢复
 6Ic91数据恢复
 6Ic91数据恢复
NetWalker6Ic91数据恢复
NetWalker是由“Cricus Spider”网络犯罪组织采用“勒索软件即服务(RaaS)”模式运营的勒索病毒。2019年传播至今至少有27个国家/地区有受害者被该家族攻击。在2020年,该家族利用疫情热点发送大量COVID-19相关钓鱼邮件传播勒索,并在同年3月开始将其主要攻击目标瞄准医疗和教育行业。从该团伙去年8月份报表显示,仅仅5个月,其获利已超2500万美元。6Ic91数据恢复
2021年1月27日美国和保加利亚的执法机构已查封了与Netwalker勒索软件运营方相关的暗网站点,并在该站点挂出查封通知。同时抓捕了一名涉嫌通过传播NetWalker勒索盈利超2700万美元的加拿大人。6Ic91数据恢复
 6Ic91数据恢复
DarkSide6Ic91数据恢复
DarkSide勒索病毒家族于2020年8月开始对企业展开针对性攻击,并在伊朗创建了一个分布式存储系统用于存储受害者数据。而知名安全厂商BitDefender在本月发布了该家族的密钥。针对本次事件,该团伙表示:由于密钥生成问题导致有40%的公司拥有相同的密钥,且因为Bitdefender的发现,目前该团队已修补了该漏洞。6Ic91数据恢复
此外,该团队在本月还发出了第二份声明,称不会对医疗行业以及火葬场、殡仪馆等场所发起勒索攻击。相比该团队之前的声明,政府、教育、非盈利组织均被排除在外。此次声明表示他们的攻击范围将越来越广,后续是否还会信守承诺不攻击医疗等组织成未知数。6Ic91数据恢复
6Ic91数据恢复
 6Ic91数据恢复
黑客邮箱6Ic91数据恢复
通过双重勒索模式运营勒索病毒的家族越来越多,勒索病毒伴有数据泄露的风险也越来越大。以下是本月通过数据泄露获利的勒索病毒家族占比。该数据仅为未能第一时间缴纳赎金或拒缴纳赎金部分(因为第一时间支付赎金的企业或个人不会在暗网中公布,因此无这部分数据)。6Ic91数据恢复
 6Ic91数据恢复
系统安全防护数据分析6Ic91数据恢复
通过将2021年1月与2021年2月的数据进行对比,本月各个系统占比变化均不大,位居前三的系统仍是Windows 7、Windows 8和Windows 10。6Ic91数据恢复
 6Ic91数据恢复
 6Ic91数据恢复
以下是对2021年1月被攻击系统所属地域采样制作的分布图,与之前几个月采集到的数据进行对比,地区排名和占比变化均不大。数字经济发达地区仍是攻击的主要对象。6Ic91数据恢复
 6Ic91数据恢复
通过观察2021年1月弱口令攻击态势发现,在本月RDP弱口令攻击整体呈下降态势、MSSQL和MYSQL弱口令攻击整体无较大波动。6Ic91数据恢复
 6Ic91数据恢复
勒索病毒关键词6Ic91数据恢复
以下是本月上榜活跃勒索病毒关键词统计,数据来自360勒索病毒搜索引擎。
  • devos: 该后缀有三种情况,均因被加密文件后缀会被修改为devos而成为关键词。本月活跃的是phobos勒索病毒家族,该家族的主要传播方式为:通过暴力破解远程桌面口令成功后手动投毒。
  • eking: 属于phobos勒索病毒家族,由于被加密文件后缀会被修改为eking而成为关键词。该家族主要的传播方式为:通过暴力破解远程桌面口令成功后手动投毒。
  • Dragon:属于Dragon勒索病毒家族,由于被加密文件后缀会被修改为dragon而成为关键词。该家族主要的传播方式为:通过暴力破解远程桌面口令成功后手动投毒。
  • Makop: 该后缀有两种情况, 均因被加密文件后缀会被修改为makop而成为关键词:
    • 属于Makop勒索病毒家族,该家族主要的传播方式为:通过暴力破解远程桌面口令成功后手动投毒。
    • 属于Cryptojoker勒索病毒家,通过“匿隐” 进行传播。
  • Readinstructions: 属于MedusaLocker勒索病毒家族,由于被加密文件后缀会被修改为readinstructions而成为关键词。该家族主要的传播方式为:通过暴力破解远程桌面口令成功后手动投毒。
  • solaso: 属于Cryptojoker勒索病毒家,由于被加密文件后缀会被修改为solaso而成为关键词,该家族的传播方式为:通过“匿隐” 僵尸网络进行传播。
  • globeimposter: 属于GlobeImposter勒索病毒家族,该家族主要的传播方式为:通过暴力破解远程桌面口令成功后手动投毒。
  • globeimposter-alpha666qqz:同GlobeImposter。
  • Lockbit: 属于Lockbit勒索病毒家族,由于被加密文件后缀会被修改为lockbit而成为关键词。该家族主要的传播方式为:通过暴力破解远程桌面口令成功后手动投毒。
  • globeimposter-alpha865qqz:同GlobeImposter。
 6Ic91数据恢复
安全防护建议6Ic91数据恢复
面对严峻的勒索病毒威胁态势,91数据恢复团队分别为个人用户和企业用户给出有针对性的安全建议。希望能够帮助尽可能多的用户全方位的保护计算机安全,免受勒索病毒感染。6Ic91数据恢复
一、 针对个人用户的安全建议6Ic91数据恢复
对于普通用户,91数据恢复团队给出以下建议,以帮助用户免遭勒索病毒攻击。6Ic91数据恢复
(一) 养成良好的安全习惯6Ic91数据恢复
1) 电脑应当安装具有高级威胁防护能力和主动防御功能的安全软件,不随意退出安全软件或关闭防护功能,对安全软件提示的各类风险行为不要轻易采取放行操作。6Ic91数据恢复
2) 可使用安全软件的漏洞修复功能,第一时间为操作系统和浏览器,常用软件打好补丁,以免病毒利用漏洞入侵电脑。6Ic91数据恢复
3) 尽量使用安全浏览器,减少遭遇挂马攻击、钓鱼网站的风险。6Ic91数据恢复
4) 重要文档、数据应经常做备份,一旦文件损坏或丢失,也可以及时找回。6Ic91数据恢复
5) 电脑设置的口令要足够复杂,包括数字、大小写字母、符号且长度至少应该有8位,不使用弱口令,以防攻击者破解。6Ic91数据恢复
(二) 减少危险的上网操作6Ic91数据恢复
1) 不要浏览来路不明的色情、赌博等不良信息网站,此类网站经常被用于发起挂马、钓鱼攻击。6Ic91数据恢复
2) 不要轻易打开陌生人发来的邮件附件或邮件正文中的网址链接。也不要轻易打开扩展名为js 、vbs、wsf、bat、cmd、ps1等脚本文件和exe、scr、com等可执行程序,对于陌生人发来的压缩文件包,更应提高警惕,先使用安全软件进行检查后再打开。6Ic91数据恢复
3) 电脑连接移动存储设备(如U盘、移动硬盘等),应首先使用安全软件检测其安全性。6Ic91数据恢复
4) 对于安全性不确定的文件,可以选择在安全软件的沙箱功能中打开运行,从而避免木马对实际系统的破坏。6Ic91数据恢复
(三) 采取及时的补救措施6Ic91数据恢复
1) 安装安全软件,一旦电脑被勒索软件感染,以尽可能的减小自身损失。6Ic91数据恢复
二、 针对企业用户的安全建议6Ic91数据恢复
(一) 企业安全规划建议6Ic91数据恢复
对企业信息系统的保护,是一项系统化工程,在企业信息化建设初期就应该加以考虑,建设过程中严格落实,防御勒索病毒也并非难事。对企业网络的安全建设,我们给出下面几方面的建议。6Ic91数据恢复
1) 安全规划6Ic91数据恢复
l 网络架构,业务、数据、服务分离,不同部门与区域之间通过VLAN和子网分离,减少因为单点沦陷造成大范围的网络受到攻击。6Ic91数据恢复
l 内外网隔离,合理设置DMZ区域,对外提供服务的设备要做严格管控。减少企业被外部攻击的暴露面。6Ic91数据恢复
l 安全设备部署,在企业终端和网络关键节点部署安全设备,并日常排查设备告警情况。6Ic91数据恢复
l 权限控制,包括业务流程权限与人员账户权限都应该做好控制,如控制共享网络权限,原则上以最小权限提供服务。降低因为单个账户沦陷而造成更大范围影响。6Ic91数据恢复
l 数据备份保护,对关键数据和业务系统做备份,如离线备份,异地备份,云备份等,避免因为数据丢失、被加密等造成业务停摆,甚至被迫向攻击者妥协。6Ic91数据恢复
2) 安全管理6Ic91数据恢复
l 账户口令管理,严格执行账户口令安全管理,重点排查弱口令问题,口令长期不更新问题,账户口令共用问题,内置、默认账户问题。6Ic91数据恢复
l 补丁与漏洞扫描,了解企业数字资产情况,将补丁管理作为日常安全维护项目,关注补丁发布情况,及时更新系统、应用系统、硬件产品安全补丁。定期执行漏洞扫描,发现设备中存在的安全问题。6Ic91数据恢复
l 权限管控,定期检查账户情况,尤其是新增账户。排查账户权限,及时停用非必要权限,对新增账户应有足够警惕,做好登记管理。6Ic91数据恢复
l 内网强化,进行内网主机加固,定期排查未正确进行安全设置,未正确安装安全软件设备,关闭设备中的非必要服务,提升内网设备安全性。6Ic91数据恢复
3) 人员管理6Ic91数据恢复
l 人员培训,对员工进行安全教育,培养员工安全意识,如识别钓鱼邮件、钓鱼页面等。6Ic91数据恢复
l 行为规范,制定工作行为规范,指导员工如何正常处理数据,发布信息,做好个人安全保障。如避免员工将公司网络部署,服务器设置发布到互联网之中。6Ic91数据恢复
(二) 发现遭受勒索病毒攻击后的处理流程6Ic91数据恢复
1) 发现中毒机器应立即关闭其网络和该计算机。关闭网络能阻止勒索病毒在内网横向传播,关闭计算机能及时阻止勒索病毒继续加密文件。6Ic91数据恢复
2) 联系安全厂商,对内部网络进行排查处理。6Ic91数据恢复
3) 公司内部所有机器口令均应更换,你无法确定黑客掌握了内部多少机器的口令。6Ic91数据恢复
(三) 遭受勒索病毒攻击后的防护措施6Ic91数据恢复
1) 联系安全厂商,对内部网络进行排查处理。6Ic91数据恢复
2) 登录口令要有足够的长度和复杂性,并定期更换登录口令6Ic91数据恢复
3) 重要资料的共享文件夹应设置访问权限控制,并进行定期备份6Ic91数据恢复
4) 定期检测系统和软件中的安全漏洞,及时打上补丁。6Ic91数据恢复
a) 是否有新增账户6Ic91数据恢复
b) Guest是否被启用6Ic91数据恢复
c) Windows系统日志是否存在异常6Ic91数据恢复
d) 杀毒软件是否存在异常拦截情况6Ic91数据恢复
5) 登录口令要有足够的长度和复杂性,并定期更换登录口令6Ic91数据恢复
6) 重要资料的共享文件夹应设置访问权限控制,并进行定期备份6Ic91数据恢复
7) 定期检测系统和软件中的安全漏洞,及时打上补丁。6Ic91数据恢复
三、 不建议支付赎金6Ic91数据恢复
最后——无论是个人用户还是企业用户,都不建议支付赎金!6Ic91数据恢复
支付赎金不仅变相鼓励了勒索攻击行为,而且解密的过程还可能会带来新的安全风险。可以尝试通过备份、数据恢复、数据修复等手段挽回部分损失。比如:部分勒索病毒只加密文件头部数据,对于某些类型的文件(如数据库文件),可以尝试通过数据修复手段来修复被加密文件。如果不得不支付赎金的话,可以尝试和黑客协商来降低赎金价格,同时在协商过程中要避免暴露自己真实身份信息和紧急程度,以免黑客漫天要价。若对方窃取了重要数据并以此为要挟进行勒索,则应立即采取补救措施——修补安全漏洞并调整相关业务,尽可能将数据泄露造成的损失降到最低。6Ic91数据恢复
 
本站文章均为91数据恢复专业数据团队根据公司业务案例,数据恢复工作中整理发表,部分内容摘自权威资料,书籍,或网络原创文章,如有版权纠纷或者违规问题,请即刻联系我们删除,我们欢迎您分享,引用和转载,我们谢绝直接复制和抄袭,感谢!

联络方式:

客服热线:400-1050-918

技术顾问:17620159934

邮箱:91huifu@91huifu.com

微信公众号
售前工程师1
售前工程师2