微信昵称,2019年4月勒索病毒疫情剖析,天坛医院
跟着勒索病毒的延伸,给企业和个人都带来了严峻的要挟,360洛晴可能否安全大脑针对勒索病毒进行了全方位的监控与防护。从本月的数据来看,反勒索病毒的反应量有小幅度下降。本月新增Sodinokibi、Planetary以及MegaCortext勒索病毒。
360解密大师在本月新增了对PokemonGo、Stop/KeyPass以及SadComputer三款勒索病毒的解密。
感染数据剖析
经过对2019年4月勒索病毒的反应数据计算看,本月反应相关于3月有小幅度的下降。一起,本月有两种新增勒索病毒值得重视:经过Windows域控下发的Planetary勒索病毒,以捅肚子及和GandCrab传茹进存播途径高度重合的Sodinokibi勒索病毒(“锁蓝”勒索病毒)。
图1. 微信昵称,2019年4月勒索病毒疫情剖析,天坛医院近12个月勒索病毒反应计算
从反应量散布状况看,本月有两次顶峰反应:别离呈现在4月11日以及4月17日。而从用户反应的宗族来看,并无某独自一个宗族呈现大迸发状况,两次反应顶峰都归于勒索病毒宗族品种增多导致的。
图2.微信昵称,2019年4月勒索病毒疫情剖析,天坛医院 2019年4月勒索病毒反应趋势
本月勒索病毒宗族占比状况看:GandCrab勒索病毒滑落至第二位,在本月的占比为24.78%;而GlobeImposter以35.4%的占比重回首位;Crysis勒索病毒则以16.81%的占比持续坚持第三位。导致GandCrab宗族占比下降的首要原因是,GandCrab的传达途径也被其它两家勒索病毒Paradise和Sodinokib分流。
图3. 2019年4月勒索病毒反应散布图
从被尿道锁感染体系的占比看,本月占比居前三的仍是Windows 7、Windows 2008和Windows 10。其间,Windows 7体系以占比41.73%在所有体系版别中居首位,但相较于上个月的49.71%,有下降趋势。
图4. 2019年4月被ponhd感染体系占比图
比照2019年3月和4月被感染体系状况,发现这两个月被感染体系中个人体系占比和服务器体系占比相对安稳,改变不是很大微信昵称,2019年4月勒索病毒疫情剖析,天坛医院。
图5. 2019年3月份与2019年4月被感染体系类型比照图
勒索病毒疫情剖析
Sodinokibi勒索病毒
4月底,360安全大脑监测到该勒索病毒运用多种办法进行传达,其间首要运用了本月底刚发表的WebLogic长途代码履行缝隙CVE-2019-2725并合作其它缝隙对Windows服务器主张进犯,此外,改勒索病毒还运用了垃圾邮件进行传达。而垃圾邮件传达办法又存在两种办法:办法一是假装exe程序为图片附件进行传达;办法二是运用Word文档的宏进行传达。以下是360安全大脑检测到该勒索病毒经过缝隙进行传达的态势图。
图6. Sodinokibi勒索病毒经过缝隙传达的态势
GandCrab勒索病毒
本月GandCrab因为受到了Paradsie以及Sodinokibi两个勒索病毒宗族的分流,导致传达量下降不少。一起360安全大脑检测到,在本月GandCrab的传达被分为了三个阶段:第一阶段运用缝隙、U盘蠕虫、长途桃瘾桌面弱口令进犯以及垃圾邮件进行传达;第二解阶段几乎没有传达量;第三阶段则是假充DHL(全球物流)发送邮件,提示包裹交给无限延伸,附件为推迟阐明。附件中包含两个exe和两个快捷键办法(两个可履行程序均为勒索病毒),快捷办法指向被躲藏的勒索病毒。
图7. GandCrab勒索病毒压缩包内文件
MegaCortext勒索病毒
MegaCortext勒索病毒是在本月底新呈现的一款勒索病毒,该勒索病毒传达者在侵略到域控服务器后会向整个域内下发一个批处理,该批处理文件封闭掉44个进程女奥特曼苍月、199个体系服务并会禁用掉194个服务,于此一起还会下发勒索病毒加载器。该加载器有批处理传递一个basbe64字符串作为参数调起。运用base64字符串和硬编码的字符串进行异或生成一个key,用该key经过AES算法解密出加密文件的代码。
图8. 解密加密代码
图9. MegaCortext勒索病毒提示信息
Sata微信昵称,2019年4月勒索病毒疫情剖析,天坛医院n勒索病毒
360安全大脑监测到,在本月Satan勒索病毒并没有主张较大进犯,4月份全体传达量较小。但是在本月Satan再次对加密程序进行更新,将后缀更改为session的一起也不在运用之前的邮箱。此外,本次更新中还对代码进行了混杂以及加入了反调试功用。深深打破exo
图10. Satan勒索病毒传达趋势
图11. 被Satan加密的文件
黑客信息发表
以下是2019年4月份以来,黑客在运用的勒索病毒联络邮箱。
beam@firemail.cc
support@p-security.li
supportbest@protonmail4.com
tracsebluopa1975@aol.com
pedantback@protonmail.com
datadecrypt@qq.com
falitodalgliesh@aol.com
coffix@india.com
e微信昵称,2019年4月勒索病毒疫情剖析,天坛医院ncrypted@cock.li
crypt_sherhagd微信昵称,2019年4月勒索病毒疫情剖析,天坛医院omski@godzym_bid
Coffix@Tuta.Io
helpme@countermail.com
gabbiemciveen@aol.com
jaffe@india.com
veracrypt@foxmail.com
barddoling@蛇性ganefs.com
kolet@tuta.io
ngeloco1337@protonmail.com
alphons丈夫楼epercy@aol.com
andriybakyn@india.com
btc@decoding.biz
park.jehu@aol.com
cartmelsutton@venom.io
killsever@portonmail.com
mr.crypt@aol.com
supportbest@protonmail.com
icanhelp@cock.li
bk666@protonmail.com
evilcock@cock.li上海神明电机有限公司
serverkill@protonmail.com
mr.hacker@tu宫龙杰tanota.com
goliaf@tuta.io
software7@tutanota.com
reek@tuta.io
alekstraza@bigmir.net
break@cock.li
return.data@qq.com
altairs35@protonmail.com
savefiles@cock.li加比拉斯奥特曼
clasp@firemail.cc
backupfiles@keemail.me
decryptyourdata@qq.com
DonovanTudor@aol.com
booth_beau@aol.com
killbillkill@protonmail3.com
Killserver@protonmail.com
calwiposla1974@aol.com
China.helper@aol.com
alldataback@protonmail.com
data@decoding.biz
barddolling@ganefs.com
phobosrecovery@cock.li
decryptdocs@airmail.cc
mrgrayhorse@protonmail2.com
MailPayment@decoding.biz
decryptdocs@protonmail.com
scaletto@proton黄霑老婆陈惠敏相片mail.com
parrnell.c@aol.com
decryptmyfiles@qq.com
backdata@qq.com
rodent@cock.li
decryptoperator@qq.com
decrypter2018@hotmail.com
killserver@protonmail.com
getbackdata@qq.com
nmare@protonmail.com
mailpayment@decoding.bi微信昵称,2019年4月勒索病毒疫情剖析,天坛医院z
helip@protonmail.com
tidwell.thibaud@aol.com
aq811@cock.li
lockhelp@qq.com
Benjamin_Jack2811@aol.com
donovantudor@aol.com
master777@tutanota.com
Benjamin_Jack2811@aol3.com
crypted_bizarrio@pay4me_in
recoveryhelp@airmail.cc
mrgrayhorse@protonmail3.com
autrey.b@aol.com
todecrypt@protonmail.com
support1prt@cock.li
hulkhoganztx@protonmail2.com
usacode@aol.com
franniestopp@magte.ch
hulkhoganztx@protonmail.com
immortalsupport@cock.li
unlock初中女生胸好软@cock.li
gorentos@bitmessage.ch
Benjamin_Jack2811@aol1.com
wixomd@ymolt2.com
merosa田敬然@firemail.cc
Benjamin_Jack2811@aol2.com
BIGBOSS777@airmail.cc
merosa@india.com
dresdent@protonmail1.com
decryptprof@qq.com
vengisto@firemail.cc
HulkHoganZTX@protonmail2.com
ramsey69tang_frederick@aol.com
vengisto@india.com
Killback@protonmail2.com
REDHEADSHOT@PROTONMAIL2.COM
服务器防护数据剖析
经过对2019年3月份和4月份的数据进行比照剖析发现操作体系占比排位并未有任何改变,仅占比有细小的动摇。
图12. 2强制侵吞019年4月被进犯体系散布图
以下是对2019年4月被进犯体系所属IP采样制造的地域散布图,与之前几个月收集到的数据进行比照,区域排名和占比改变都不大。信息长西凯拉夜发达区域仍是被进犯的首要目标。
图13. 2019年4月被进犯的地域散布图
经过对360安全大脑监控到的弱口令进犯数据进行计算剖析发现,从全体上剖析MySQL弱口令进犯趋势有较大的崎岖,MySQL弱口令进犯成为黑客现在最为喜爱的目标,RDP(长途桌面)弱口令进犯趋势相对来说比较安稳。
图14. 2019年4月弱口令进犯趋势图
总结
针对服务器的勒索病毒进犯依然是当下勒索病毒的一个首要方向,企业需求加强本身的信息安全办理能力——尤其是弱口令、缝隙、文件同享和长途桌面的办理,以应对勒索病毒的要挟,在此咱们给各位办理员一些主张:
1.多台机器,不要运用相同的账号和口令
2.登录口令要有满足的长度和复杂性,并定时替换登录口令
3.重要材料的同享文件夹应设置拜访权限操控,并进行定时备份
4.定时检测体系和软件中的安全缝隙,及时打上补丁。
5.定时到服务器检查是否存在反常。检查规模包含:
a)是否有新增账户
b)Guest是否被启用
c)Windows体系日志是否存在反常
d)杀毒软件是否存在反常阻拦状况
而关于本月又从头兴起的这对个人电脑主张进犯的勒索病毒,主张广阔用户:
1.装置安全防护软件,并保证其正常运转。
2.从正规途径下载装置软件。
3.对不熟悉的软件,假如现已被杀毒软件阻拦查杀,不要增加信赖持续运转。
版权声明
本文仅代表作者观点,不代表本站立场。
本文系作者授权发表,未经许可,不得转载。