用心将技术和服务遍布全中国
一切都是为了价值无法衡量的数据！

我们坚信
无论您在哪里
我们都能为您提供
最优质、及时、可靠的数据恢复服务！

如需恢复数据，请您致电:
客服：400-1050-918
技术：133-188-44580 166-6622-5144

2020年10月勒索病毒疫情分析

2020-11-12 15:35:37 8179 编辑：91数据恢复专家来源：本站原创

勒索病毒传播至今，我们已累计接收到上万勒索病毒感染求助。勒索病毒的蔓延，给企业和个人都带来了严重的安全威胁。本月新增LeakThemAll、RanzyLocker、TrchandStrat、Pizhon、Bondy、Clay、CCE、BadBoymnb、Nibiru等勒索病毒家族。

本月新增解密：
· SantaCrypt勒索病毒家族(修改后缀为.$anta)。
· ThunderX勒索病毒(修改后缀为随机后缀)。

感染数据分析
分析本月勒索病毒家族占比：phobos家族占比24.79%居首位；其次是占比19.83%的；Crysis家族以占比13.64%位居第三。十一期间出现的一款新兴勒索病毒LeakThemAll直接跻身前十，位列第六名。

图1. 2020年10月勒索病毒家族占比
从被感染系统分布看，本月位居前三的系统是：Windows 10、Windows 7和Windows Servers 2008。

图2. 2020年10月被感染系统占比
2020年10月被感染系统中桌面系统和服务器系统占比显示，受攻击的主要系统仍是桌面PC系统。

图3. 2020年10月被感染系统占比

勒索病毒疫情分析

Ryuk勒索病毒

在2020年7月，Ryuk勒索病毒针对企业推出新型勒索病毒Conti，并加入到数据泄露的队伍中。在本月末，该家族将美国医疗行业作为主要攻击对象，目前已有UHS医疗服务系统、俄勒冈州Sky Lakes医疗中心以及纽约的St.Lawrence医疗系统等受到了攻击。疫情期间曾有多个勒索病毒家族先后宣布将避开对医疗行业的攻击，Ryuk则是第一个在疫情期间公开针对医疗行业进行攻击的家族。

图4. Ryuk勒索提示信息

Maze勒索病毒

Maze勒索病毒家族于2019年5月开始出现，并在2019年11月成为首个宣布若受害者不支付赎金将公布窃取到的数据的勒索病毒家族。宣称公布数据不久之后，其便搭建了"迷宫新闻" 网站，将未支付赎金的用户的数据上传到该网址供所有人下载和查看。到目前为止，该网站已公布超180家公司数据。
近期由于"迷宫新闻"网站上的受害者数据在不断删除，所以有传言猜测该勒索病毒将模仿GandCrab的模式关闭该项目。而从该网站2020年11月1日发布的新闻称：该项目已正式关闭，但不存在其他报道所说的有其运营成员开始转向运营Egregor勒索病毒。

图5. "迷宫新闻"网站最新新闻

Thundex勒索病毒

Thundex勒索病在2020年8月首次出现，在本月国内也出现被家族感染的受害者。针对该受害者的日志分析发现该家族在国内的传播仍通过暴力破解远程桌面口令成功后手动投毒，这导致受害者公司内部多台设备出现感染情况。
Thundex勒索病毒的最早版本存在算法漏洞，能被成功解密，因此该家族在10月中旬发布新版本，并更名为RanzyLocker。此外，该家族的新变种也加入到了数据泄露的队伍当中。

图6. RanzyLocker支付页面

黑客信息披露

以下是本月搜集到的黑客邮箱信息：

表格1. 黑客邮箱

系统安全防护数据分析

通过将2020年10月与9月的数据进行对比发现，本月各个系统占比变化均不大，位居前三的系统仍是Windows 7、Windows 8和Windows 10。

图7. 2020年10月被弱口令攻击系统占比
以下是对2020年10月被攻击系统所属地域采样制作的分布图，与之前几个月采集到的的数据进行对比，地区排名和占比变化都不大。数字经济发达地区仍是攻击的主要对象。

图8. 2020年10月弱口令攻击趋势图
通过观察2020年10月弱口令攻击态势发现，RDP弱口令和MySql弱口令攻击在本月的攻击态势整体无较大波动。MSSQL在本月整体呈上升趋势。

图9. 2020年10月弱口令攻击态势图
从本月MSSQL的投毒态势和MSSQL的弱口令攻击态势分析，本月利用MSSQL的攻击成上涨态势。

图10. 2020年10月MSSQL投毒态势图

勒索病毒关键词

以下是本月上榜活跃勒索病毒统计，数据来自360勒索病毒搜索引擎。
· eking：属于phobos勒索病毒家族，由于被加密文件后缀会被修改为devos而成为关键词。该勒索病毒主要的传播方式为：通过暴力破解远程桌面口令成功后手动投毒。
· devos:同eking
· C1H: 属于GlobeImposter勒索病毒家族，由于被加密文件后缀会被修改为C1H而成为关键词。该勒索病毒主要的传播方式为：通过暴力破解远程桌面口令成功后手动投毒。
· C4H:同C1H。
· eight:同eking。
· globeimposter-alpha865qqz:同C1H。
· blm: 属于Crysis勒索病毒家族。由于被加密文件后缀会被修改为blm而成为关键词。该勒索病毒主要的传播方式为：通过暴力破解远程桌面口令成功后手动投毒。
· globeimposter:同C1H。
· lockbit: 属于LockBit勒索病毒家族，由于被加密文件后缀会被修改为lockbit而成为关键词。该勒索病毒主要的传播方式为：通过暴力破解远程桌面口令成功后手动投毒。。
· montana:属于LeakThemAll勒索病毒家族，由于被加密文件猴崽子会被修改为montana而成为关键词。该勒索病毒主要的传播方式为：通过暴力破解远程桌面口令成功后手动投毒。

图11. 2020年10月关键词搜索TOP10

解密大师

从解密大师本月解密数据看，解密量最大的仍是GandCrab，其次是Stop。使用解密大师解密文件的用户数量最高的是Crysis家族的中招设备，其次则是Stop家族的中招设备。

图12. 2020年10月解密大师解密情况

总结

针对服务器的勒索病毒攻击依然是当下勒索病毒的一个主要方向，企业需要加强自身的信息安全管理能力——尤其是弱口令、漏洞、文件共享和远程桌面的管理，以应对勒索病毒的威胁，在此我们给各位管理员一些建议：
发现中勒索病毒后的正确处理流程：1.发现中毒机器应立即关闭其网络和该计算机。关闭网络能阻止勒索病毒在内网横向传播，关闭计算机能及时阻止勒索病毒继续加密文件。2.联系安全厂商，对内部网络进行排查处理。3.公司内部所有机器口令均应更换，你无法确定黑客掌握了内部多少机器的口令。

文章来源：https://www.360.cn/n/11837.html

本站文章均为91数据恢复专业数据团队根据公司业务案例，数据恢复工作中整理发表，部分内容摘自权威资料，书籍，或网络原创文章，如有版权纠纷或者违规问题，请即刻联系我们删除，我们欢迎您分享，引用和转载，我们谢绝直接复制和抄袭，感谢！

返回首页上一篇：2020年勒索病毒状况报告出炉，盘点今年一月至十月勒索病毒下一篇：看看勒索病毒的历史，最具破坏性的勒索病毒攻击以及这种病毒威胁的未来。

联络方式：

客服热线：400-1050-918

技术顾问：133-188-44580 166-6622-5144

邮箱：91huifu@91huifu.com

微信公众号

售前工程师1

售前工程师2

我们的业务: 勒索病毒数据恢复; 勒索病毒数据解密; 数据库修复; 中毒数据库解密; 企业安全防护

我们的案例: Phobos家族; GlobeImposter家族; Mallox家族; Makop家族; lockbit家族

我们的服务流程: 免费咨询/数据诊断分析; 评估报价/数据恢复方案; 确认下单/签订合同; 开始数据恢复专业施工; 数据验收/安全防御方案

我们的原创资讯: 勒索病毒数据恢复; 勒索病毒数据解密; 数据库修复; 中毒数据库解密; 企业安全知识

关于我们: 关于我们; 服务承诺; 常见问答; 招贤礼才; 联系我们

关注公众号

91数据恢复是一家专注于勒索病毒数据恢复、勒索病毒数据修复、数据库修复、数据库解密恢复、企业安全防护的专业数据处理服务商，公司在数据恢复方面目前已拥有多项专利技术，多项专业软件著作权，技术专业实力与创新性位列行业前茅。目前，公司已与多家一线数据厂商建立数据恢复技术研究的深度合作，在全国设立多个数据恢复研发中心，使公司长期具备行业一流的数据恢复技术及地位。