勒索病毒传播至今,已累计接收到上万勒索病毒感染求助。勒索病毒的蔓延,给企业和个人都带来了严重的安全威胁。针对勒索病毒进行了全方位的监控与防御。本月新增ThunderX、LeakThemAll、Pewpew、Demon、Dusk、Badbeetteam、WoodRat、Badbax等勒索病毒家族。
感染数据分析
分析本月勒索病毒家族占比:phobos家族占比23.89%居首位;其次是占比17.00%的Crysis;GlobeImposter家族以占比16.60%位居第三。本月新增的勒索并未有大量传播态势,针对NAS(网络附属存储)设备进行攻击的Ech0raix勒索病毒在本月再度活跃,并成功打入前十。
图1. 2020年09月勒索病毒家族占比
从被感染系统分布看:本月位居前三的系统是:Windows 10、Windows7和Windows Servers 2008。而从本月被感染设备数据看,NAS类设备再次被黑客作为攻击目标。
图2. 2020年09月被感染系统占比
2020年09月被感染系统中桌面系统和服务器系统占比显示,受攻击的主要系统仍是个人桌面系统。被攻击的NAS设备占少部分。
图3. 2020年09月被感染系统占比
勒索病毒疫情分析
Crysis
Crysis勒索病毒是持续活跃时间最长的勒索病毒之一。该勒索病毒的变种已累计高达数百种,这和其源代码在被暗网被公开售卖有很大关系。该家族大部分均要求受害者通过邮件与黑客进行联系,但在本月发现一个变种是通过暗网地址以及telegram进行联系的。在通过暗网地址进行联系时,回复响应不及时,且没有保存之前对话记录,每次打开都是一个全新的对话。
图4. Crysis变种暗网地址
在通过telegram联系黑客时,也发现有大量账户名类似的高仿账户,伪装成该勒索病毒传播者骗取用户赎金。在进行沟通中发现,这部分人并不会同意你免费试解密文件,而且非常的警觉——如果你问题太多或者对他产生质疑,他会直接将进行屏蔽。可能这也与该勒索病毒传播者回复消息不及时有关,不幸中招的用户如果联系黑客,也要注意甄别,以防被骗。
以下为部分与骗子的对话:
图5. Telegram对话
还有部分骗子,在用户提出需要测试解密文件,对方会向用户索要150美元的保证金后才会提供测试解密文件。但真的黑客为了赚取后续大笔的赎金,大多是会免费提供解密测试机会以展示解密能力的,这里也应该注意。
图6. Telegram对话
Ech0Raix
Ech0Raix勒索病毒是一款针对NAS (网络附属存储)设备进行攻击的勒索病毒。该病毒国内最早出现于2019年6月,通过nDay漏洞和暴力破解手段进行传播。这是该病毒在国内的第二次成规模的进行攻击,大部分中招用户均因登录口令太弱导致。该病毒在加密文件后会将文件后缀修改为encrypt,并向受害者索要0.005~0.06个比特币。
图7. Ech0Raix支付页面
勒索病毒新趋势——数据泄露
在以往,勒索病毒危害给人的印象仅为加密文件、破坏系统,但今年开始,越来越多的勒索病毒攻击会伴随着数据泄露,随之而来的这类攻击案例也越来越多,企业用户更应该加强防护,避免自己成为下一个受害者。
据不完全统计,自2019年11月首次公开报道出现勒索病毒窃取数据并泄露的事件以来,不到一年时间里,参与数据窃取的流行勒索病毒家族团伙已超过20个,其中具有代表性的家族有:Maze、Sodinokibi、Clop、Conti、NetWalker和SunCrypt等。
最先开始系统性的窃取数据,并以泄露为威胁勒索赎金的勒索病毒家族Maze,已在其网站公布184家受害者数据,其中139家数据被完全公布,45家的数据正在公布中。勒索病毒的危害正在进一步加强。
图8. 数据泄露
黑客信息披露
以下是本月搜集到的黑客邮箱信息:
|
x3m@usa.com |
tools1990m@gmail.com |
decryptor666@420blaze.it |
|
AESMew@pm.me |
crypto0077@gmail.com |
newhelper24@protonmail.ch |
|
rx99@cock.li |
De-crypt@foxmail.com |
sookie.stackhouse@gmx.com |
|
murryu@aol.com |
rdp571@protonmail.ch |
Ctorsenoria@ttutanota.com |
|
cryhelp@dr.com |
maedeh81@firemail.cc |
SurpriseN1@protonmail.com |
|
pewpew@TuTa.io |
newrecoverybot@pm.me |
alexwind46@protonmail.com |
|
r4ns0m@cock.li |
xilttbg@tutanota.com |
sorcinacin@protonmail.com |
|
alfryy@cock.li |
PabFox@protonmail.com |
neyhyretim@protonmail.com |
|
l_crypt@aol.com |
Sidmouleux996@aol.com |
securityteamex@yandex.com |
|
FoxHelp@cock.li |
virus@countermail.com |
MikeyMaus77@protomail.com |
|
epicday@cock.li |
Genovo@protonmail.com |
rdpconnect@protonmail.com |
|
moncler@cock.li |
crioso@protonmail.com |
Steven77xx@protonmail.com |
|
mr.yoba@aol.com |
akzhq808@tutanota.com |
TeslaBrain@protonmail.com |
|
mk.rain@aol.com |
filerestory@gmail.com |
unlock0101@protonmail.com |
|
mk_rain@aol.com |
btcsupport@msgsafe.io |
Founder94@yakuzacrypt.com |
|
jacdecr@tuta.io |
sambolero@tutanoa.com |
johnsonwhate@tutanota.com |
|
js3010@rape.lol |
best@desharonline.top |
decrypter02@cumallover.me |
|
newbang@cock.li |
mrromber@tutanota.com |
getthefiles2@protonmail.ch |
|
M0rphine@cock.li |
decoderforyou@cock.li |
leakthemall@protonmail.com |
|
Helpsir@rape.lol |
immunityyoung@aol.com |
suppdecrypt@protonmail.com |
|
operator3@qq.com |
pewpew@Protonmail.Com |
notesteam2018@tutanota.com |
|
decrypt@rape.lol |
polssh@protonmail.com |
MayarChenot@protonmail.com |
|
decrypt20@vpn.tg |
lewismccown@yahoo.com |
michael.reynolds74@aol.com |
|
corebitp@cock.li |
ultrasert77@gmail.com |
yourlastchancehelp@cock.li |
|
mk.kabal@aol.com |
blair_lockyer@aol.com |
unlockme123@protonmail.com |
|
d.fedor2@aol.com |
ww6666@protonmail.com |
Decryptions@protonmail.com |
|
mk.smoke@aol.com |
farik1@protonmail.com |
blackroot54@protonmail.com |
|
Rezcrypt@cock.li |
pittt@prt-decrypt.xyz |
darkencryptor@tutanota.com |
|
bosxsxsx@cock.li |
support@p-security.li |
recowerdata@protonmail.com |
|
repairdb@mail.fr |
2k19sys@p-security.li |
jimmtheworm@dicksinmyan.us |
|
1rest0re@cock.li |
wecanh3lpyou2@cock.li |
Recoverybat@protonmail.com |
|
BatHelp@india.com |
wecanhelpyou@elude.in |
klowershit1835@tutanota.com |
|
rdpunlock@cock.li |
rdpmanager@airmail.cc |
decoder83540@protonmail.com |
|
mrromber@cock.lii |
gomer@horsefucker.org |
immunityyoung@aol.com.young |
|
Crypt@zimbabwe.su |
piterpen02@keemail.me |
viruszone4209@opentrash.com |
|
dcr@cumallover.me |
BatHelp@protonmail.com |
e95c12d08b14@protonmail.com |
|
swhost@msgsafe.io |
ThunderBirdXeX@cock.li |
support@all-ransomware.info |
|
coryell.r@aol.com |
russiawolf09@gmail.com |
nemesis-decryptor@india.com |
|
alexbanan@tuta.io |
05250lock@tutamail.com |
BackFileHelp@protonmail.com |
|
pay@cyberdude.com |
reidcry@hackermail.com |
cryptofiles@horsefucker.org |
|
mk.baraka@aol.com |
fartcool@protonmail.ch |
decodeodveta@protonmail.com |
|
m.reptile@aol.com |
rdp_unlock@outlook.com |
mzrdecryptorbuy@firemail.cc |
|
m.subzero@aol.com |
777decoder777@tfwno.gf |
helptounlock@protonmail.com |
|
SuckBaBe@Rape.LoL |
polssh1@protonmail.com |
johnsonwhate@protonmail.com |
|
A654763764@qq.com |
rizonlocker@airmail.cc |
remotePChelper@tutanota.com |
|
doctor666@mail.fr |
BhatMaker@tutanota.com |
filemaster777@protonmail.com |
|
doctor666@cock.li |
divevecufa@firemail.cc |
deloneThunder@protonmail.com |
|
support@lzt.design |
elfbash@protonmail.com |
777decoder777@protonmail.com |
|
prndssdnrp@mail.fr |
Adamfox69@criptext.com |
decoderforyou@protonmail.com |
|
decrypt@europe.com |
admcphel@protonmail.ch |
SuzuMcpherson@protonmail.com |
|
vulicapson@cock.lu |
petrus34@p-security.li |
securityit123@protonmail.com |
|
vulicapson@tuta.io |
decryptdocs@msgsafe.io |
jacksteam2018@protonmail.com |
|
rightcheck@cock.li |
montanarecover@aol.com |
loyaldecrypt@privatemail.com |
|
berstife@gmail.com |
montanarecover@cock.li |
caizonatu1987@protonmail.com |
|
linajamser@aol.com |
data_cloud2012@aol.com |
nowabosag1988@protonmail.com |
|
databack44@tuta.io |
x3m-pro@protonmail.com |
DharmaParrack@protonmail.com |
|
endereless@cock.li |
contactsupport@cock.li |
paradise@all-ransomware.info |
|
SurpriseN1@aol.com |
helpdesk_nemty@aol.com |
cyber.duskfly@protonmail.com |
|
epicday@airmail.cc |
FilesHelp@tutanota.com |
don-corleone@mortalkombat.su |
|
alexwind46@aol.com |
RestoreData@airmail.cc |
letitbedecryptedzi@gmail.com |
|
badbeeteam@cock.li |
softs98@protonmail.com |
Mr.TeslaBrain@protonmail.com |
|
badbeeteam@mail.ee |
blacklivesatter@qq.com |
Filedecryptor@protonmail.com |
|
file@p-security.li |
newbang@protonmail.com |
repairdatadochelp@airmail.cc |
|
decodor@airmail.cc |
Founder94@tutanota.com |
ellenfabiana01@protonmail.com |
|
mk.kunglao@aol.com |
alfryy@yakuzacrypt.com |
coincidenceleague@firemail.cc |
|
asmo49@asmodeus.us |
newrecoveryrobot@pm.me |
RemotePChelper@protonmail.com |
|
Hiddenhelp@cock.li |
RemotePChelper@cock.li |
dogeremembersss@protonmail.ch |
|
recovery94@cock.li |
BCPFILE17@tutanota.com |
paologaldini2020@tutanota.com |
|
teslabrain@cock.li |
doctorhelp2120@cock.li |
befittingdavid@protonmail.com |
|
giveyoukey@cock.li |
SpadeFiles@tutanota.com |
pebawestsa1973@protonmail.com |
|
sqlbackup3@mail.fr |
blacklivesmatter@qq.com |
nespabatbe1989@protonmail.com |
|
repairdb@seznam.cz |
ataback2@protonmail.com |
indilacons1975@protonmail.com |
|
returndb@seznam.cz |
tchukopchu@tutanota.com |
chocolate_muffin@tutanota.com |
|
support911@cock.li |
Folielol@protonmail.com |
restoring.data@protonmail.com |
|
file-cloud@email.tg |
AsuxidOruraep1999@o2.pl |
babyfromparadise666@gmail.com |
|
zimbabwe@msgsafe.io |
buransupport@exploit.im |
legion.developers72@gmail.com |
|
grdoks@tutanota.com |
recovery1server@cock.li |
RECOVERUNKNOWN@protonmail.com |
|
bestcool@keemail.me |
e95c12d08b14@airmail.cc |
AdvancedBackup@protonmail.com |
|
Writeme4@airmail.cc |
rizonlocker@firemail.cc |
Black.Berserks@protonmail.com |
|
Chadmad@nuke.africa |
puckett_jeffrey@aol.com |
olgearreabo1989@protonmail.com |
|
greenreed007@qq.com |
immortalsupport@cock.li |
coincidenceleague@tutanota.com |
|
Daves.smith@aol.com |
decryptdocs@firemail.cc |
recovery_server@protonmail.com |
|
decryp7@foxmail.com |
macgregor@aolonline.top |
gustafkeach@tohaveandtohold.us |
|
Datarest0re@aol.com |
deyscriptors1@india.com |
luizunwrite2020@protonmail.com |
|
datarest0re@xmpp.jp |
yotabyte@protonmail.com |
surguitenve1986@protonmail.com |
|
fixallfiles@tuta.io |
liukang@mortalkombat.su |
wyattpettigrew8922555@mail.com |
|
VASHMAIL@KEEMAIL.ME |
dd.coala@protonmail.com |
your_last_chance_help@elude.in |
|
helpdesk_mz@aol.com |
dcyptfils@protonmail.ch |
leltitbedecrypteddzi@gmail.com |
|
Deus69@criptext.com |
Helpcrypt1@tutanota.com |
Black.Berserks@yakuzacrypt.com |
|
returndb@airmail.cc |
Mr.TeslaBrain@gmail.com |
imBoristheBlade@protonmail.com |
|
Recoverybat@cock.li |
Bitdefender2020@cock.li |
gaetwelsenba1983@protonmail.com |
|
returndb@airmail.ee |
vashmail@protonmail.com |
profhandgomo1989@protonmail.com |
|
Filesback@keemail.me |
Decfile431@tutanota.com |
phrasitliter1981@protonmail.com |
|
nekross@tutanota.com |
smartrecav@tutanota.com |
coincidenceleague@thesecure.biz |
|
BatHelp@tutanota.com |
Jonbrown88@criptext.com |
nicenphacock1976@protonmail.com |
|
FoxHelp@tutanota.com |
gomersimpson@keemail.me |
glocadboysun1978@protonmail.com |
|
John91Done@yahoo.com |
decryptor911@airmail.cc |
DecrypterSupport@protonmail.com |
|
Chadmad@ctemplar.com |
1rest0re@protonmail.com |
Recoveryhelp2019@protonmail.com |
|
decoder83540@cock.li |
MREncptor@protonmail.com |
filedownload2020@protonmail.com |
|
buransupport@xmpp.jp |
gustav.strasserg@gmx.com |
coftocounbio1977@protonmail.com |
|
happyless@airmail.cc |
Ctorsenoria@tutanota.com |
decoding_help8888@protonmail.com |
|
johnsmith654@cock.li |
ITAmbuler@protonmail.com |
guifullcharti1970@protonmail.com |
|
johnsmith456@cock.li |
bavaria54@protonmail.com |
coincidenceleague@protonmail.com |
|
sanio.marino@aol.com |
nic.shulz@protonmail.com |
supp0rtdecrypti0n@protonmail.com |
|
bullockcraig@aol.com |
BhatMaker@protonmail.com |
sxvcsacobyzurlock@protonmail.com |
|
decryptor@cock.email |
recowery1servers@cock.li |
StephanVeamont1997C@tutanota.com |
|
stopcrypt@cock.email |
greenreed911@foxmail.com |
carbedispgret1983@protonmail.com |
|
VictorLustig@gmx.com |
backtonormal@foxmail.com |
SupportMIICCSSetup@protonmail.com |
|
alexwind46@yahoo.com |
fiasco911@protonmail.com |
sookie_stackhousse@protonmail.com |
|
augusto.ruby@aol.com |
server-support@india.com |
ScorpionEncryption@protonmail.com |
|
mecybaki@firemail.cc |
contact-support@elude.in |
ScorpionEncryption@Protonmail.com |
|
opensafezona@cock.li |
Honeylock@protonmail.com |
ScorpionEncryption@yakuzacrypt.com |
|
blackblackra@tuta.io |
recover85@protonmail.com |
your_last_chance_help@protonmail.com |
|
w3canh3lpy0u@cock.li |
josefrendal797@gmail.com |
MariaJackson2019williams@protonmail.com |
|
karnel.fikol@aol.com |
helper571@protonmail.com |
MariaJackson2020williams@protonmail.com |
|
TeslaBrain@gmail.com |
maedeh81@yakuzacrypt.com |
表格1. 黑客邮箱
系统安全防护数据分析
通过将2020年9月与8月的数据进行对比发现,本月各个系统占比变化均不大,位居前三的系统仍是Windows 7、Windows 8和Windows 10。
图9. 2020年9月被弱口令攻击系统占比图
以下是对2020年9月被攻击系统所属地域采样制作的分布图,与之前几个月采集到的数据进行对比,地区排名和占比变化都不大。数字经济发达地区仍是攻击的主要对象。
图10. 2020年9月弱口令攻击趋势图
通过观察2020年9月弱口令攻击态势发现,RDP弱口令和MySQL弱口令攻击 在本月的攻击态势整体无较大波动。MSSQL在本月有一次上涨。
图11. 2020年9月弱口令攻击态势图
MSSQL投毒拦截态势和以往几个月一样有一定的波动,但并无较大幅度的上涨或者下跌。
图12. 2020年MSSQL投毒拦截态势图
勒索病毒关键词
以下是本月新上榜活跃勒索病毒统计,数据来自勒索病毒搜索引擎。
· eking:属于phobos勒索病毒家族,由于被加密文件后缀会被修改为devos而成为关键词。该勒索病毒主要通过暴力破解远程桌面密码,获取密码后手动投毒传播。
· devos:同eking。
· C1H:属于GlobeImposter勒索病毒家族,由于被加密文件后缀会被修改为C1H而成为关键词。该勒索病毒主要通过暴力破解远程桌面密码,获取密码后手动投毒传播。
· C4H:同C1H。
· Lockbit:属于LockBit勒索病毒家族,该勒索病毒主要通过暴力破解远程桌面密码,获取密码后手动投毒传播。
· globeimposter-alpha865qqz:同C1H。
· eight:同eking。
· globeimposter:同C1H。
· blm:属于Crysis勒索病毒家族。由于被加密文件后缀会被修改为pgp而成为关键词。该勒索病毒主要通过暴力破解远程桌面密码,获取密码后手动投毒传播。
· montana:属于LeakThemAll勒索病毒家族,由于被加密文件后缀会被修改为montana而成为关键词。该勒索病毒主要通过暴力破解远程桌面密码,获取密码后手动投毒进行传播。并且会窃取用户重要数据作为索要赎金的重要筹码,若用户不支付赎金将在公布用户数据。
图13. 2020年09月关键词搜索TOP10
解密大师
从解密大师本月解密数据看,解密量最大的仍是GandCrab,其次是Stop。使用解密大师解密文件的用户数量最高的仍是Stop家族的中招设备,其次则是Crysis家族的中招设备。
图14. 2020年解密大师解密情况图
中了各种后缀的勒索病毒文件怎么恢复?
1.如果文件不急需,可以先备份等黑客被抓或良心发现,自行发布解密工具
2.如果文件急需,可以添加服务号(shujuxf),发送文件样本进行免费咨询数据恢复方案。
预防勒索病毒-日常防护建议:
预防远比救援重要,所以为了避免出现此类事件,强烈建议大家日常做好以下防护措施:
1.多台机器,不要使用相同的账号和口令,以免出现“一台沦陷,全网瘫痪”的惨状;
2.登录口令要有足够的长度和复杂性,并定期更换登录口令;
3.严格控制共享文件夹权限,在需要共享数据的部分,尽可能的多采取云协作的方式。
4.及时修补系统漏洞,同时不要忽略各种常用服务的安全补丁。
5.关闭非必要的服务和端口如135、139、445、3389等高危端口。
6.备份备份备份!!!重要资料一定要定期隔离备份。进行RAID备份、多机异地备份、混合云备份,对于涉及到机密或重要的文件建议选择多种方式来备份;
7.提高安全意识,不随意点击陌生链接、来源不明的邮件附件、陌生人通过即时通讯软件发送的文件,在点击或运行前进行安全扫描,尽量从安全可信的渠道下载和安装软件;
8.安装专业的安全防护软件并确保安全监控正常开启并运行,及时对安全软件进行更新。
联络方式:
客服热线:400-1050-918
技术顾问:13318844580
邮箱:91huifu@91huifu.com
粤公网安备 44030502006563号