6Um91数据恢复-勒索病毒数据恢复专家,.wex/wxr/baxia/bixi/wstop/mkp/chewbac勒索病毒
6Um91数据恢复-勒索病毒数据恢复专家,.wex/wxr/baxia/bixi/wstop/mkp/chewbac勒索病毒
勒索病毒传播至今, 我们已累计接收到上万勒索病毒感染求助。勒索病毒的蔓延,给企业和个人都带来了严重的安全威胁。本月新增LeakThemAll、RanzyLocker、TrchandStrat、Pizhon、Bondy、Clay、CCE、BadBoymnb、Nibiru等勒索病毒家族。
6Um91数据恢复-勒索病毒数据恢复专家,.wex/wxr/baxia/bixi/wstop/mkp/chewbac勒索病毒
6Um91数据恢复-勒索病毒数据恢复专家,.wex/wxr/baxia/bixi/wstop/mkp/chewbac勒索病毒
本月新增解密:
6Um91数据恢复-勒索病毒数据恢复专家,.wex/wxr/baxia/bixi/wstop/mkp/chewbac勒索病毒
· SantaCrypt勒索病毒家族(修改后缀为.$anta)。
6Um91数据恢复-勒索病毒数据恢复专家,.wex/wxr/baxia/bixi/wstop/mkp/chewbac勒索病毒
· ThunderX勒索病毒(修改后缀为随机后缀)。
6Um91数据恢复-勒索病毒数据恢复专家,.wex/wxr/baxia/bixi/wstop/mkp/chewbac勒索病毒
6Um91数据恢复-勒索病毒数据恢复专家,.wex/wxr/baxia/bixi/wstop/mkp/chewbac勒索病毒
感染数据分析
6Um91数据恢复-勒索病毒数据恢复专家,.wex/wxr/baxia/bixi/wstop/mkp/chewbac勒索病毒
分析本月勒索病毒家族占比:phobos家族占比24.79%居首位;其次是占比19.83%的;Crysis家族以占比13.64%位居第三。十一期间出现的一款新兴勒索病毒LeakThemAll直接跻身前十,位列第六名。
6Um91数据恢复-勒索病毒数据恢复专家,.wex/wxr/baxia/bixi/wstop/mkp/chewbac勒索病毒
6Um91数据恢复-勒索病毒数据恢复专家,.wex/wxr/baxia/bixi/wstop/mkp/chewbac勒索病毒
6Um91数据恢复-勒索病毒数据恢复专家,.wex/wxr/baxia/bixi/wstop/mkp/chewbac勒索病毒
图1. 2020年10月勒索病毒家族占比
6Um91数据恢复-勒索病毒数据恢复专家,.wex/wxr/baxia/bixi/wstop/mkp/chewbac勒索病毒
从被感染系统分布看,本月位居前三的系统是:Windows 10、Windows 7和Windows Servers 2008。
6Um91数据恢复-勒索病毒数据恢复专家,.wex/wxr/baxia/bixi/wstop/mkp/chewbac勒索病毒
6Um91数据恢复-勒索病毒数据恢复专家,.wex/wxr/baxia/bixi/wstop/mkp/chewbac勒索病毒
6Um91数据恢复-勒索病毒数据恢复专家,.wex/wxr/baxia/bixi/wstop/mkp/chewbac勒索病毒
图2. 2020年10月被感染系统占比
6Um91数据恢复-勒索病毒数据恢复专家,.wex/wxr/baxia/bixi/wstop/mkp/chewbac勒索病毒
2020年10月被感染系统中桌面系统和服务器系统占比显示,受攻击的主要系统仍是桌面PC系统。
6Um91数据恢复-勒索病毒数据恢复专家,.wex/wxr/baxia/bixi/wstop/mkp/chewbac勒索病毒
6Um91数据恢复-勒索病毒数据恢复专家,.wex/wxr/baxia/bixi/wstop/mkp/chewbac勒索病毒
6Um91数据恢复-勒索病毒数据恢复专家,.wex/wxr/baxia/bixi/wstop/mkp/chewbac勒索病毒
图3. 2020年10月被感染系统占比
6Um91数据恢复-勒索病毒数据恢复专家,.wex/wxr/baxia/bixi/wstop/mkp/chewbac勒索病毒
勒索病毒疫情分析
Ryuk勒索病毒
在2020年7月,Ryuk勒索病毒针对企业推出新型勒索病毒Conti,并加入到数据泄露的队伍中。在本月末,该家族将美国医疗行业作为主要攻击对象,目前已有UHS医疗服务系统、俄勒冈州Sky Lakes医疗中心以及纽约的St.Lawrence医疗系统等受到了攻击。疫情期间曾有多个勒索病毒家族先后宣布将避开对医疗行业的攻击,Ryuk则是第一个在疫情期间公开针对医疗行业进行攻击的家族。
6Um91数据恢复-勒索病毒数据恢复专家,.wex/wxr/baxia/bixi/wstop/mkp/chewbac勒索病毒
6Um91数据恢复-勒索病毒数据恢复专家,.wex/wxr/baxia/bixi/wstop/mkp/chewbac勒索病毒
6Um91数据恢复-勒索病毒数据恢复专家,.wex/wxr/baxia/bixi/wstop/mkp/chewbac勒索病毒
图4. Ryuk勒索提示信息
Maze勒索病毒
Maze勒索病毒家族于2019年5月开始出现,并在2019年11月成为首个宣布若受害者不支付赎金将公布窃取到的数据的勒索病毒家族。宣称公布数据不久之后,其便搭建了"迷宫新闻" 网站,将未支付赎金的用户的数据上传到该网址供所有人下载和查看。到目前为止,该网站已公布超180家公司数据。
6Um91数据恢复-勒索病毒数据恢复专家,.wex/wxr/baxia/bixi/wstop/mkp/chewbac勒索病毒
近期由于"迷宫新闻"网站上的受害者数据在不断删除,所以有传言猜测该勒索病毒将模仿GandCrab的模式关闭该项目。而从该网站2020年11月1日发布的新闻称:该项目已正式关闭,但不存在其他报道所说的有其运营成员开始转向运营Egregor勒索病毒。
6Um91数据恢复-勒索病毒数据恢复专家,.wex/wxr/baxia/bixi/wstop/mkp/chewbac勒索病毒
6Um91数据恢复-勒索病毒数据恢复专家,.wex/wxr/baxia/bixi/wstop/mkp/chewbac勒索病毒
6Um91数据恢复-勒索病毒数据恢复专家,.wex/wxr/baxia/bixi/wstop/mkp/chewbac勒索病毒
图5. "迷宫新闻"网站最新新闻
Thundex勒索病毒
Thundex勒索病在2020年8月首次出现,在本月国内也出现被家族感染的受害者。针对该受害者的日志分析发现该家族在国内的传播仍通过暴力破解远程桌面口令成功后手动投毒,这导致受害者公司内部多台设备出现感染情况。
6Um91数据恢复-勒索病毒数据恢复专家,.wex/wxr/baxia/bixi/wstop/mkp/chewbac勒索病毒
Thundex勒索病毒的最早版本存在算法漏洞,能被成功解密,因此该家族在10月中旬发布新版本,并更名为RanzyLocker。此外,该家族的新变种也加入到了数据泄露的队伍当中。
6Um91数据恢复-勒索病毒数据恢复专家,.wex/wxr/baxia/bixi/wstop/mkp/chewbac勒索病毒
6Um91数据恢复-勒索病毒数据恢复专家,.wex/wxr/baxia/bixi/wstop/mkp/chewbac勒索病毒
6Um91数据恢复-勒索病毒数据恢复专家,.wex/wxr/baxia/bixi/wstop/mkp/chewbac勒索病毒
图6. RanzyLocker支付页面
6Um91数据恢复-勒索病毒数据恢复专家,.wex/wxr/baxia/bixi/wstop/mkp/chewbac勒索病毒
黑客信息披露
以下是本月搜集到的黑客邮箱信息:
6Um91数据恢复-勒索病毒数据恢复专家,.wex/wxr/baxia/bixi/wstop/mkp/chewbac勒索病毒
6Um91数据恢复-勒索病毒数据恢复专家,.wex/wxr/baxia/bixi/wstop/mkp/chewbac勒索病毒
6Um91数据恢复-勒索病毒数据恢复专家,.wex/wxr/baxia/bixi/wstop/mkp/chewbac勒索病毒
6Um91数据恢复-勒索病毒数据恢复专家,.wex/wxr/baxia/bixi/wstop/mkp/chewbac勒索病毒
6Um91数据恢复-勒索病毒数据恢复专家,.wex/wxr/baxia/bixi/wstop/mkp/chewbac勒索病毒
6Um91数据恢复-勒索病毒数据恢复专家,.wex/wxr/baxia/bixi/wstop/mkp/chewbac勒索病毒
6Um91数据恢复-勒索病毒数据恢复专家,.wex/wxr/baxia/bixi/wstop/mkp/chewbac勒索病毒
6Um91数据恢复-勒索病毒数据恢复专家,.wex/wxr/baxia/bixi/wstop/mkp/chewbac勒索病毒
6Um91数据恢复-勒索病毒数据恢复专家,.wex/wxr/baxia/bixi/wstop/mkp/chewbac勒索病毒
表格1. 黑客邮箱
系统安全防护数据分析
通过将2020年10月与9月的数据进行对比发现,本月各个系统占比变化均不大,位居前三的系统仍是Windows 7、Windows 8和Windows 10。
6Um91数据恢复-勒索病毒数据恢复专家,.wex/wxr/baxia/bixi/wstop/mkp/chewbac勒索病毒
6Um91数据恢复-勒索病毒数据恢复专家,.wex/wxr/baxia/bixi/wstop/mkp/chewbac勒索病毒
6Um91数据恢复-勒索病毒数据恢复专家,.wex/wxr/baxia/bixi/wstop/mkp/chewbac勒索病毒
图7. 2020年10月被弱口令攻击系统占比
6Um91数据恢复-勒索病毒数据恢复专家,.wex/wxr/baxia/bixi/wstop/mkp/chewbac勒索病毒
以下是对2020年10月被攻击系统所属地域采样制作的分布图,与之前几个月采集到的的数据进行对比,地区排名和占比变化都不大。数字经济发达地区仍是攻击的主要对象。
6Um91数据恢复-勒索病毒数据恢复专家,.wex/wxr/baxia/bixi/wstop/mkp/chewbac勒索病毒
6Um91数据恢复-勒索病毒数据恢复专家,.wex/wxr/baxia/bixi/wstop/mkp/chewbac勒索病毒
6Um91数据恢复-勒索病毒数据恢复专家,.wex/wxr/baxia/bixi/wstop/mkp/chewbac勒索病毒
图8. 2020年10月弱口令攻击趋势图
6Um91数据恢复-勒索病毒数据恢复专家,.wex/wxr/baxia/bixi/wstop/mkp/chewbac勒索病毒
通过观察2020年10月弱口令攻击态势发现,RDP弱口令和MySql弱口令攻击在本月的攻击态势整体无较大波动。MSSQL在本月整体呈上升趋势。
6Um91数据恢复-勒索病毒数据恢复专家,.wex/wxr/baxia/bixi/wstop/mkp/chewbac勒索病毒
6Um91数据恢复-勒索病毒数据恢复专家,.wex/wxr/baxia/bixi/wstop/mkp/chewbac勒索病毒
6Um91数据恢复-勒索病毒数据恢复专家,.wex/wxr/baxia/bixi/wstop/mkp/chewbac勒索病毒
图9. 2020年10月弱口令攻击态势图
6Um91数据恢复-勒索病毒数据恢复专家,.wex/wxr/baxia/bixi/wstop/mkp/chewbac勒索病毒
从本月MSSQL的投毒态势和MSSQL的弱口令攻击态势分析,本月利用MSSQL的攻击成上涨态势。
6Um91数据恢复-勒索病毒数据恢复专家,.wex/wxr/baxia/bixi/wstop/mkp/chewbac勒索病毒
6Um91数据恢复-勒索病毒数据恢复专家,.wex/wxr/baxia/bixi/wstop/mkp/chewbac勒索病毒
6Um91数据恢复-勒索病毒数据恢复专家,.wex/wxr/baxia/bixi/wstop/mkp/chewbac勒索病毒
图10. 2020年10月MSSQL投毒态势图
6Um91数据恢复-勒索病毒数据恢复专家,.wex/wxr/baxia/bixi/wstop/mkp/chewbac勒索病毒
勒索病毒关键词
以下是本月上榜活跃勒索病毒统计,数据来自360勒索病毒搜索引擎。
6Um91数据恢复-勒索病毒数据恢复专家,.wex/wxr/baxia/bixi/wstop/mkp/chewbac勒索病毒
· eking:属于phobos勒索病毒家族,由于被加密文件后缀会被修改为devos而成为关键词。该勒索病毒主要的传播方式为:通过暴力破解远程桌面口令成功后手动投毒。
6Um91数据恢复-勒索病毒数据恢复专家,.wex/wxr/baxia/bixi/wstop/mkp/chewbac勒索病毒
· devos:同eking
6Um91数据恢复-勒索病毒数据恢复专家,.wex/wxr/baxia/bixi/wstop/mkp/chewbac勒索病毒
· C1H: 属于GlobeImposter勒索病毒家族,由于被加密文件后缀会被修改为C1H而成为关键词。该勒索病毒主要的传播方式为:通过暴力破解远程桌面口令成功后手动投毒。
6Um91数据恢复-勒索病毒数据恢复专家,.wex/wxr/baxia/bixi/wstop/mkp/chewbac勒索病毒
· C4H:同C1H。
6Um91数据恢复-勒索病毒数据恢复专家,.wex/wxr/baxia/bixi/wstop/mkp/chewbac勒索病毒
· eight:同eking。
6Um91数据恢复-勒索病毒数据恢复专家,.wex/wxr/baxia/bixi/wstop/mkp/chewbac勒索病毒
· globeimposter-alpha865qqz:同C1H。
6Um91数据恢复-勒索病毒数据恢复专家,.wex/wxr/baxia/bixi/wstop/mkp/chewbac勒索病毒
· blm: 属于Crysis勒索病毒家族。由于被加密文件后缀会被修改为blm而成为关键词。该勒索病毒主要的传播方式为:通过暴力破解远程桌面口令成功后手动投毒。
6Um91数据恢复-勒索病毒数据恢复专家,.wex/wxr/baxia/bixi/wstop/mkp/chewbac勒索病毒
· globeimposter:同C1H。
6Um91数据恢复-勒索病毒数据恢复专家,.wex/wxr/baxia/bixi/wstop/mkp/chewbac勒索病毒
· lockbit: 属于LockBit勒索病毒家族,由于被加密文件后缀会被修改为lockbit而成为关键词。该勒索病毒主要的传播方式为:通过暴力破解远程桌面口令成功后手动投毒。。
6Um91数据恢复-勒索病毒数据恢复专家,.wex/wxr/baxia/bixi/wstop/mkp/chewbac勒索病毒
· montana:属于LeakThemAll勒索病毒家族,由于被加密文件猴崽子会被修改为montana而成为关键词。该勒索病毒主要的传播方式为:通过暴力破解远程桌面口令成功后手动投毒。
6Um91数据恢复-勒索病毒数据恢复专家,.wex/wxr/baxia/bixi/wstop/mkp/chewbac勒索病毒
6Um91数据恢复-勒索病毒数据恢复专家,.wex/wxr/baxia/bixi/wstop/mkp/chewbac勒索病毒
6Um91数据恢复-勒索病毒数据恢复专家,.wex/wxr/baxia/bixi/wstop/mkp/chewbac勒索病毒
图11. 2020年10月关键词搜索TOP10
解密大师
从解密大师本月解密数据看,解密量最大的仍是GandCrab,其次是Stop。使用解密大师解密文件的用户数量最高的是Crysis家族的中招设备,其次则是Stop家族的中招设备。
6Um91数据恢复-勒索病毒数据恢复专家,.wex/wxr/baxia/bixi/wstop/mkp/chewbac勒索病毒
6Um91数据恢复-勒索病毒数据恢复专家,.wex/wxr/baxia/bixi/wstop/mkp/chewbac勒索病毒
6Um91数据恢复-勒索病毒数据恢复专家,.wex/wxr/baxia/bixi/wstop/mkp/chewbac勒索病毒
图12. 2020年10月解密大师解密情况
总结
针对服务器的勒索病毒攻击依然是当下勒索病毒的一个主要方向,企业需要加强自身的信息安全管理能力——尤其是弱口令、漏洞、文件共享和远程桌面的管理,以应对勒索病毒的威胁,在此我们给各位管理员一些建议:
6Um91数据恢复-勒索病毒数据恢复专家,.wex/wxr/baxia/bixi/wstop/mkp/chewbac勒索病毒
发现中勒索病毒后的正确处理流程:1.发现中毒机器应立即关闭其网络和该计算机。关闭网络能阻止勒索病毒在内网横向传播,关闭计算机能及时阻止勒索病毒继续加密文件。2.联系安全厂商,对内部网络进行排查处理。3.公司内部所有机器口令均应更换,你无法确定黑客掌握了内部多少机器的口令。
6Um91数据恢复-勒索病毒数据恢复专家,.wex/wxr/baxia/bixi/wstop/mkp/chewbac勒索病毒
6Um91数据恢复-勒索病毒数据恢复专家,.wex/wxr/baxia/bixi/wstop/mkp/chewbac勒索病毒
6Um91数据恢复-勒索病毒数据恢复专家,.wex/wxr/baxia/bixi/wstop/mkp/chewbac勒索病毒
文章来源:
https://www.360.cn/n/11837.html 本站文章均为91数据恢复专业数据团队根据公司业务案例,数据恢复工作中整理发表,部分内容摘自权威资料,书籍,或网络原创文章,如有版权纠纷或者违规问题,请即刻联系我们删除,我们欢迎您分享,引用和转载,我们谢绝直接复制和抄袭,感谢!