用心将技术和服务遍布全中国
一切都是为了价值无法衡量的数据!



2021年勒索病毒流行态势分析

2021-08-12 20:26:16 15854 编辑:91数据恢复专家 来源:本站原创

 BFb91数据恢复-勒索病毒数据恢复专家
勒索病毒传播至今,91数据恢复团队已累计接收到数千例勒索病毒感染求助。随着新型勒索病毒的不断涌现,企业数据泄露事件不断上升,过万甚至上亿赎金的勒索案件不断上演。勒索病毒给企业和个人带来的影响范围将越来越广,危害性也越来越大。BFb91数据恢复-勒索病毒数据恢复专家
2021年1月,国内外新增勒索病毒Vovalex、Babuk、YourData、Summon、HelpYou、Encrp、Judge、Epsilon、WormLocker、Namaste、Povllsomware等勒索病毒家族,其中YourData、HelpYou、Summon本月国内出现感染者,Babuk家族针对企业进行攻击并采用双重勒索模式——在加密受害者数据之前,会先窃取用户数据,若用户不支付赎金,黑客将会在暗网公布从受害者设备中窃取到的数据。BFb91数据恢复-勒索病毒数据恢复专家
感染数据分析BFb91数据恢复-勒索病毒数据恢复专家
针对本月勒索病毒受害者所中勒索病毒家族进行统计,phobos家族占比22.30%居首位;其次是占比18.12%的GlobeImposter;Makop家族以9.41%位居第三。BFb91数据恢复-勒索病毒数据恢复专家
其中YourData为本月新增勒索,Magniber是近两个月重新活跃起来的老牌勒索病毒家族。BFb91数据恢复-勒索病毒数据恢复专家
BFb91数据恢复-勒索病毒数据恢复专家
 BFb91数据恢复-勒索病毒数据恢复专家
对本月受害者所使用的系统进行统计,位居前三的系统是:Windows 7、Windows 10和Windows Server 2012。其中Windows Server 2012首次占比超过Windows Server 2008。BFb91数据恢复-勒索病毒数据恢复专家
BFb91数据恢复-勒索病毒数据恢复专家
 BFb91数据恢复-勒索病毒数据恢复专家
2021年1月被感染系统中桌面系统和服务器系统占比显示,受攻击的主要系统仍是桌面系统。BFb91数据恢复-勒索病毒数据恢复专家
BFb91数据恢复-勒索病毒数据恢复专家
 BFb91数据恢复-勒索病毒数据恢复专家
勒索病毒疫情分析BFb91数据恢复-勒索病毒数据恢复专家
GlobeImposterBFb91数据恢复-勒索病毒数据恢复专家
本月91数据恢复团队监控到GlobeImposter通过SQL服务投放勒索病毒的量有所上涨,并在第三周达到峰值。此次传播该家族主要通过先获取到受害者机器上部署的SQL Server口令,再通过脚本下载并执行勒索病毒进行传播。BFb91数据恢复-勒索病毒数据恢复专家
该家族已不是第一次通过SQL服务投毒,早在去年已有出现通过SQL服务新增账户后手动投毒案例。针对GlobeImposter这种攻击阶段,人为参与度颇高的勒索病毒家族而言,其灵活性较高且攻击方式也会相应的多样化。但其家族的攻击点目前还是围绕着弱口令展开,不管是本月有上升态势的SQL服务投毒,还是该家族一直在使用的远程桌面攻击,都绕不开弱口令问题。BFb91数据恢复-勒索病毒数据恢复专家
BFb91数据恢复-勒索病毒数据恢复专家
 BFb91数据恢复-勒索病毒数据恢复专家
NetWalkerBFb91数据恢复-勒索病毒数据恢复专家
NetWalker是由“Cricus Spider”网络犯罪组织采用“勒索软件即服务(RaaS)”模式运营的勒索病毒。2019年传播至今至少有27个国家/地区有受害者被该家族攻击。在2020年,该家族利用疫情热点发送大量COVID-19相关钓鱼邮件传播勒索,并在同年3月开始将其主要攻击目标瞄准医疗和教育行业。从该团伙去年8月份报表显示,仅仅5个月,其获利已超2500万美元。BFb91数据恢复-勒索病毒数据恢复专家
2021年1月27日美国和保加利亚的执法机构已查封了与Netwalker勒索软件运营方相关的暗网站点,并在该站点挂出查封通知。同时抓捕了一名涉嫌通过传播NetWalker勒索盈利超2700万美元的加拿大人。BFb91数据恢复-勒索病毒数据恢复专家
BFb91数据恢复-勒索病毒数据恢复专家
NetWalker被查封站点BFb91数据恢复-勒索病毒数据恢复专家
DarkSideBFb91数据恢复-勒索病毒数据恢复专家
DarkSide勒索病毒家族于2020年8月开始对企业展开针对性攻击,并在伊朗创建了一个分布式存储系统用于存储受害者数据。而知名安全厂商BitDefender在本月发布了该家族的密钥。针对本次事件,该团伙表示:由于密钥生成问题导致有40%的公司拥有相同的密钥,且因为Bitdefender的发现,目前该团队已修补了该漏洞。BFb91数据恢复-勒索病毒数据恢复专家
BFb91数据恢复-勒索病毒数据恢复专家
Darkside关于解密密钥泄露的声明BFb91数据恢复-勒索病毒数据恢复专家
此外,该团队在本月还发出了第二份声明,称不会对医疗行业以及火葬场、殡仪馆等场所发起勒索攻击。相比该团队之前的声明,政府、教育、非盈利组织均被排除在外。此次声明表示他们的攻击范围将越来越广,后续是否还会信守承诺不攻击医疗等组织成未知数。BFb91数据恢复-勒索病毒数据恢复专家
BFb91数据恢复-勒索病毒数据恢复专家
Darkside关于攻击目标的声明BFb91数据恢复-勒索病毒数据恢复专家
黑客信息披露BFb91数据恢复-勒索病毒数据恢复专家
以下是本月搜集到的黑客邮箱信息:BFb91数据恢复-勒索病毒数据恢复专家
BFb91数据恢复-勒索病毒数据恢复专家
黑客邮箱BFb91数据恢复-勒索病毒数据恢复专家
通过双重勒索模式运营勒索病毒的家族越来越多,勒索病毒伴有数据泄露的风险也越来越大。以下是本月通过数据泄露获利的勒索病毒家族占比。该数据仅为未能第一时间缴纳赎金或拒缴纳赎金部分(因为第一时间支付赎金的企业或个人不会在暗网中公布,因此无这部分数据)。BFb91数据恢复-勒索病毒数据恢复专家
BFb91数据恢复-勒索病毒数据恢复专家
 BFb91数据恢复-勒索病毒数据恢复专家
以下是本月被双重勒索病毒家族攻击的企业或个人。若未发现被数据存在泄露风险的企业或个人也请第一时间自查,做好数据已被泄露准备,采取补救措施。BFb91数据恢复-勒索病毒数据恢复专家
BFb91数据恢复-勒索病毒数据恢复专家
受双重勒索病毒家族攻击名单BFb91数据恢复-勒索病毒数据恢复专家
系统安全防护数据分析BFb91数据恢复-勒索病毒数据恢复专家
通过将2021年与2021年1月的数据进行对比,本月各个系统占比变化均不大,位居前三的系统仍是Windows 7、Windows 8和Windows 10。BFb91数据恢复-勒索病毒数据恢复专家
BFb91数据恢复-勒索病毒数据恢复专家
 BFb91数据恢复-勒索病毒数据恢复专家
以下是对2021年1月被攻击系统所属地域采样制作的分布图,与之前几个月采集到的数据进行对比,地区排名和占比变化均不大。数字经济发达地区仍是攻击的主要对象。BFb91数据恢复-勒索病毒数据恢复专家
BFb91数据恢复-勒索病毒数据恢复专家
通过观察2021年1月弱口令攻击态势发现,在本月RDP弱口令攻击整体呈下降态势、MSSQL和MYSQL弱口令攻击整体无较大波动。BFb91数据恢复-勒索病毒数据恢复专家
BFb91数据恢复-勒索病毒数据恢复专家
勒索病毒关键词BFb91数据恢复-勒索病毒数据恢复专家
以下是本月上榜活跃勒索病毒关键词统计。BFb91数据恢复-勒索病毒数据恢复专家
l Devos:该后缀有三种情况,均因被加密文件后缀会被修改为devos而成为关键词。本月活跃的是phobos勒索病毒家族,该家族的主要传播方式为:通过暴力破解远程桌面口令成功后手动投毒。BFb91数据恢复-勒索病毒数据恢复专家
l Incaseformat:该家族属于蠕虫病毒,中招用户设备除系统磁盘外所有磁盘文件将被删除,导致用户数据丢失。在本月突然爆发引发大量用户恐慌。该蠕虫病毒通过U盘进行传播。BFb91数据恢复-勒索病毒数据恢复专家
l eking:属于phobos勒索病毒家族,由于被加密文件后缀会被修改为eking而成为关键词。该家族主要的传播方式为:通过暴力破解远程桌面口令成功后手动投毒。BFb91数据恢复-勒索病毒数据恢复专家
l makop:该后缀有两种情况, 均因被加密文件后缀会被修改为makop而成为关键词:BFb91数据恢复-勒索病毒数据恢复专家
n 属于Makop勒索病毒家族,该家族主要的传播方式为:通过暴力破解远程桌面口令成功后手动投毒。BFb91数据恢复-勒索病毒数据恢复专家
n 属于Cryptojoker勒索病毒家,通过“匿隐” 进行传播。BFb91数据恢复-勒索病毒数据恢复专家
l fair: 属于Makop勒索病毒家族,由于被加密文件后缀会被修改fair而成为关键词。该家族主要的传播方式为:通过暴力破解远程桌面口令成功后手动投毒。BFb91数据恢复-勒索病毒数据恢复专家
l CC1H:属于GlobeImposter勒索病毒家族,由于被加密文件后缀会被修改为CC1H而成为关键词。该家族主要的传播方式为:通过暴力破解远程桌面口令成功后手动投毒。BFb91数据恢复-勒索病毒数据恢复专家
l Lockbit: 属于Lockbit勒索病毒家族,由于被加密文件后缀会被修改lockbit而成为关键词。该家族主要的传播方式为:通过暴力破解远程桌面口令成功后手动投毒。BFb91数据恢复-勒索病毒数据恢复专家
l Eight:同eking。BFb91数据恢复-勒索病毒数据恢复专家
l CC3H:同CC1H。BFb91数据恢复-勒索病毒数据恢复专家
l genesis: 属于BeijingCrypt勒索病毒家族,由于被加密文件后缀会被修改genesis而成为关键词。该家族主要的传播方式为:通过暴力破解远程桌面口令成功后手动投毒。BFb91数据恢复-勒索病毒数据恢复专家
BFb91数据恢复-勒索病毒数据恢复专家
解密大师BFb91数据恢复-勒索病毒数据恢复专家
从解密大师本月数据看,解密量最大的是GandCrab家族,其次是CryptoJoker家族。BFb91数据恢复-勒索病毒数据恢复专家
BFb91数据恢复-勒索病毒数据恢复专家
安全防护建议BFb91数据恢复-勒索病毒数据恢复专家
面对严峻的勒索病毒威胁态势,91数据恢复团队分别为个人用户和企业用户给出有针对性的安全建议。希望能够帮助尽可能多的用户全方位的保护计算机安全,免受勒索病毒感染。BFb91数据恢复-勒索病毒数据恢复专家
一、 针对个人用户的安全建议BFb91数据恢复-勒索病毒数据恢复专家
对于普通用户,91数据恢复团队给出以下建议,以帮助用户免遭勒索病毒攻击。BFb91数据恢复-勒索病毒数据恢复专家
(一) 养成良好的安全习惯BFb91数据恢复-勒索病毒数据恢复专家
1) 电脑应当安装具有高级威胁防护能力和主动防御功能的安全软件,不随意退出安全软件或关闭防护功能,对安全软件提示的各类风险行为不要轻易采取放行操作。BFb91数据恢复-勒索病毒数据恢复专家
2) 可使用安全软件的漏洞修复功能,第一时间为操作系统和浏览器,常用软件打好补丁,以免病毒利用漏洞入侵电脑。BFb91数据恢复-勒索病毒数据恢复专家
3) 尽量使用安全浏览器,减少遭遇挂马攻击、钓鱼网站的风险。BFb91数据恢复-勒索病毒数据恢复专家
4) 重要文档、数据应经常做备份,一旦文件损坏或丢失,也可以及时找回。BFb91数据恢复-勒索病毒数据恢复专家
5) 电脑设置的口令要足够复杂,包括数字、大小写字母、符号且长度至少应该有8位,不使用弱口令,以防攻击者破解。BFb91数据恢复-勒索病毒数据恢复专家
(二) 减少危险的上网操作BFb91数据恢复-勒索病毒数据恢复专家
1) 不要浏览来路不明的色情、赌博等不良信息网站,此类网站经常被用于发起挂马、钓鱼攻击。BFb91数据恢复-勒索病毒数据恢复专家
2) 不要轻易打开陌生人发来的邮件附件或邮件正文中的网址链接。也不要轻易打开扩展名为js 、vbs、wsf、bat、cmd、ps1等脚本文件和exe、scr、com等可执行程序,对于陌生人发来的压缩文件包,更应提高警惕,先使用安全软件进行检查后再打开。BFb91数据恢复-勒索病毒数据恢复专家
3) 电脑连接移动存储设备(如U盘、移动硬盘等),应首先使用安全软件检测其安全性。BFb91数据恢复-勒索病毒数据恢复专家
4) 对于安全性不确定的文件,可以选择在安全软件的沙箱功能中打开运行,从而避免木马对实际系统的破坏。BFb91数据恢复-勒索病毒数据恢复专家
(三) 采取及时的补救措施BFb91数据恢复-勒索病毒数据恢复专家
1) 安装安全软件,一旦电脑被勒索软件感染,以尽可能的减小自身损失。BFb91数据恢复-勒索病毒数据恢复专家
二、 针对企业用户的安全建议BFb91数据恢复-勒索病毒数据恢复专家
(一) 企业安全规划建议BFb91数据恢复-勒索病毒数据恢复专家
对企业信息系统的保护,是一项系统化工程,在企业信息化建设初期就应该加以考虑,建设过程中严格落实,防御勒索病毒也并非难事。对企业网络的安全建设,我们给出下面几方面的建议。BFb91数据恢复-勒索病毒数据恢复专家
1) 安全规划BFb91数据恢复-勒索病毒数据恢复专家
l 网络架构,业务、数据、服务分离,不同部门与区域之间通过VLAN和子网分离,减少因为单点沦陷造成大范围的网络受到攻击。BFb91数据恢复-勒索病毒数据恢复专家
l 内外网隔离,合理设置DMZ区域,对外提供服务的设备要做严格管控。减少企业被外部攻击的暴露面。BFb91数据恢复-勒索病毒数据恢复专家
l 安全设备部署,在企业终端和网络关键节点部署安全设备,并日常排查设备告警情况。BFb91数据恢复-勒索病毒数据恢复专家
l 权限控制,包括业务流程权限与人员账户权限都应该做好控制,如控制共享网络权限,原则上以最小权限提供服务。降低因为单个账户沦陷而造成更大范围影响。BFb91数据恢复-勒索病毒数据恢复专家
l 数据备份保护,对关键数据和业务系统做备份,如离线备份,异地备份,云备份等,避免因为数据丢失、被加密等造成业务停摆,甚至被迫向攻击者妥协。BFb91数据恢复-勒索病毒数据恢复专家
2) 安全管理BFb91数据恢复-勒索病毒数据恢复专家
l 账户口令管理,严格执行账户口令安全管理,重点排查弱口令问题,口令长期不更新问题,账户口令共用问题,内置、默认账户问题。BFb91数据恢复-勒索病毒数据恢复专家
l 补丁与漏洞扫描,了解企业数字资产情况,将补丁管理作为日常安全维护项目,关注补丁发布情况,及时更新系统、应用系统、硬件产品安全补丁。定期执行漏洞扫描,发现设备中存在的安全问题。BFb91数据恢复-勒索病毒数据恢复专家
l 权限管控,定期检查账户情况,尤其是新增账户。排查账户权限,及时停用非必要权限,对新增账户应有足够警惕,做好登记管理。BFb91数据恢复-勒索病毒数据恢复专家
l 内网强化,进行内网主机加固,定期排查未正确进行安全设置,未正确安装安全软件设备,关闭设备中的非必要服务,提升内网设备安全性。BFb91数据恢复-勒索病毒数据恢复专家
3) 人员管理BFb91数据恢复-勒索病毒数据恢复专家
l 人员培训,对员工进行安全教育,培养员工安全意识,如识别钓鱼邮件、钓鱼页面等。BFb91数据恢复-勒索病毒数据恢复专家
l 行为规范,制定工作行为规范,指导员工如何正常处理数据,发布信息,做好个人安全保障。如避免员工将公司网络部署,服务器设置发布到互联网之中。BFb91数据恢复-勒索病毒数据恢复专家
(二) 发现遭受勒索病毒攻击后的处理流程BFb91数据恢复-勒索病毒数据恢复专家
1) 发现中毒机器应立即关闭其网络和该计算机。关闭网络能阻止勒索病毒在内网横向传播,关闭计算机能及时阻止勒索病毒继续加密文件。BFb91数据恢复-勒索病毒数据恢复专家
2) 联系安全厂商,对内部网络进行排查处理。BFb91数据恢复-勒索病毒数据恢复专家
3) 公司内部所有机器口令均应更换,你无法确定黑客掌握了内部多少机器的口令。BFb91数据恢复-勒索病毒数据恢复专家
(三) 遭受勒索病毒攻击后的防护措施BFb91数据恢复-勒索病毒数据恢复专家
1) 联系安全厂商,对内部网络进行排查处理。BFb91数据恢复-勒索病毒数据恢复专家
2) 登录口令要有足够的长度和复杂性,并定期更换登录口令BFb91数据恢复-勒索病毒数据恢复专家
3) 重要资料的共享文件夹应设置访问权限控制,并进行定期备份BFb91数据恢复-勒索病毒数据恢复专家
4) 定期检测系统和软件中的安全漏洞,及时打上补丁。BFb91数据恢复-勒索病毒数据恢复专家
a) 是否有新增账户BFb91数据恢复-勒索病毒数据恢复专家
b) Guest是否被启用BFb91数据恢复-勒索病毒数据恢复专家
c) Windows系统日志是否存在异常BFb91数据恢复-勒索病毒数据恢复专家
d) 杀毒软件是否存在异常拦截情况BFb91数据恢复-勒索病毒数据恢复专家
5) 登录口令要有足够的长度和复杂性,并定期更换登录口令BFb91数据恢复-勒索病毒数据恢复专家
6) 重要资料的共享文件夹应设置访问权限控制,并进行定期备份BFb91数据恢复-勒索病毒数据恢复专家
7) 定期检测系统和软件中的安全漏洞,及时打上补丁。BFb91数据恢复-勒索病毒数据恢复专家
三、 不建议支付赎金BFb91数据恢复-勒索病毒数据恢复专家
最后——无论是个人用户还是企业用户,都不建议支付赎金!BFb91数据恢复-勒索病毒数据恢复专家
支付赎金不仅变相鼓励了勒索攻击行为,而且解密的过程还可能会带来新的安全风险。可以尝试通过备份、数据恢复、数据修复等手段挽回部分损失。比如:部分勒索病毒只加密文件头部数据,对于某些类型的文件(如数据库文件),可以尝试通过数据修复手段来修复被加密文件。如果不得不支付赎金的话,可以尝试和黑客协商来降低赎金价格,同时在协商过程中要避免暴露自己真实身份信息和紧急程度,以免黑客漫天要价。若对方窃取了重要数据并以此为要挟进行勒索,则应立即采取补救措施——修补安全漏洞并调整相关业务,尽可能将数据泄露造成的损失降到最低。BFb91数据恢复-勒索病毒数据恢复专家
 BFb91数据恢复-勒索病毒数据恢复专家
 
本站文章均为91数据恢复专业数据团队根据公司业务案例,数据恢复工作中整理发表,部分内容摘自权威资料,书籍,或网络原创文章,如有版权纠纷或者违规问题,请即刻联系我们删除,我们欢迎您分享,引用和转载,我们谢绝直接复制和抄袭,感谢!

联络方式:

客服热线:400-1050-918

技术顾问:17620159934

邮箱:91huifu@91huifu.com

微信公众号
售前工程师1
售前工程师2