您好,欢迎来到站长目录(28sn.com)!


2020年10月勒索病毒疫情分析,一款新兴病毒正在极速传播,注意防范!

来源:网络整理 浏览:288次 时间:2021-11-30

       

      勒索病毒传播至今,  我们已累计接收到上万勒索病毒感染求助。勒索病毒的蔓延,给企业和个人都带来了严重的安全威胁。本月新增LeakThemAll、RanzyLocker、TrchandStrat、Pizhon、Bondy、Clay、CCE、BadBoymnb、Nibiru等勒索病毒家族。

本月新增解密:

· SantaCrypt勒索病毒家族(修改后缀为.$anta)。

· ThunderX勒索病毒(修改后缀为随机后缀)。

感染数据分析

分析本月勒索病毒家族占比:phobos家族占比24.79%居首位;其次是占比19.83%的GlobeImposter;Crysis家族以占比13.64%位居第三。十一期间出现的一款新兴勒索病毒LeakThemAll直接跻身前十,位列第六名。

图1. 2020年10月勒索病毒家族占比

从被感染系统分布看,本月位居前三的系统是:Windows 10、Windows 7和Windows Servers 2008。

图2. 2020年10月被感染系统占比

2020年10月被感染系统中桌面系统和服务器系统占比显示,受***的主要系统仍是桌面PC系统。

图3. 2020年10月被感染系统占比

勒索病毒疫情分析Ryuk勒索病毒

在2020年7月,Ryuk勒索病毒针对企业推出新型勒索病毒Conti,并加入到数据泄露的队伍中。在本月末,该家族将美国医疗行业作为主要***对象,目前已有UHS医疗服务系统、俄勒冈州Sky Lakes医疗中心以及纽约的St.Lawrence医疗系统等受到了***。疫情期间曾有多个勒索病毒家族先后宣布将避开对医疗行业的***,Ryuk则是第一个在疫情期间公开针对医疗行业进行***的家族。

图4. Ryuk勒索提示信息

Maze勒索病毒

Maze勒索病毒家族于2019年5月开始出现,并在2019年11月成为首个宣布若受害者不支付赎金将公布窃取到的数据的勒索病毒家族。宣称公布数据不久之后,其便搭建了"迷宫新闻" 网站,将未支付赎金的用户的数据上传到该网址供所有人下载和查看。到目前为止,该网站已公布超180家公司数据。

近期由于"迷宫新闻"网站上的受害者数据在不断删除,所以有传言猜测该勒索病毒将模仿GandCrab的模式关闭该项目。而从该网站2020年11月1日发布的新闻称:该项目已正式关闭,但不存在其他报道所说的有其运营成员开始转向运营Egregor勒索病毒。

图5. "迷宫新闻"网站最新新闻

Thundex勒索病毒

Thundex勒索病在2020年8月首次出现,在本月国内也出现被家族感染的受害者。针对该受害者的日志分析发现该家族在国内的传播仍通过暴力破解远程桌面口令成功后手动投毒,这导致受害者公司内部多台设备出现感染情况。

Thundex勒索病毒的最早版本存在算法漏洞,能被成功解密,因此该家族在10月中旬发布新版本,并更名为RanzyLocker。此外,该家族的新变种也加入到了数据泄露的队伍当中。

图6. RanzyLocker支付页面

***信息披露

以下是本月搜集到的***邮箱信息:

 

 

表格1. ***邮箱

系统安全防护数据分析

通过将2020年10月与9月的数据进行对比发现,本月各个系统占比变化均不大,位居前三的系统仍是Windows 7、Windows 8和Windows 10。

图7. 2020年10月被弱口令***系统占比

以下是对2020年10月被***系统所属地域采样制作的分布图,与之前几个月采集到的的数据进行对比,地区排名和占比变化都不大。数字经济发达地区仍是***的主要对象。

图8. 2020年10月弱口令***趋势图

通过观察2020年10月弱口令***态势发现,RDP弱口令和MySql弱口令***在本月的***态势整体无较大波动。MSSQL在本月整体呈上升趋势。

图9. 2020年10月弱口令***态势图

从本月MSSQL的投毒态势和MSSQL的弱口令***态势分析,本月利用MSSQL的***成上涨态势。

图10. 2020年10月MSSQL投毒态势图

勒索病毒关键词

以下是本月上榜活跃勒索病毒统计,数据来自360勒索病毒搜索引擎。

· eking:属于phobos勒索病毒家族,由于被加密文件后缀会被修改为devos而成为关键词。该勒索病毒主要的传播方式为:通过暴力破解远程桌面口令成功后手动投毒。

· devos:同eking

· C1H: 属于GlobeImposter勒索病毒家族,由于被加密文件后缀会被修改为C1H而成为关键词。该勒索病毒主要的传播方式为:通过暴力破解远程桌面口令成功后手动投毒。

· C4H:同C1H。

· eight:同eking。

· globeimposter-alpha865qqz:同C1H。

· blm: 属于Crysis勒索病毒家族。由于被加密文件后缀会被修改为blm而成为关键词。该勒索病毒主要的传播方式为:通过暴力破解远程桌面口令成功后手动投毒。

· globeimposter:同C1H。

· lockbit: 属于LockBit勒索病毒家族,由于被加密文件后缀会被修改为lockbit而成为关键词。该勒索病毒主要的传播方式为:通过暴力破解远程桌面口令成功后手动投毒。。

· montana:属于LeakThemAll勒索病毒家族,由于被加密文件猴崽子会被修改为montana而成为关键词。该勒索病毒主要的传播方式为:通过暴力破解远程桌面口令成功后手动投毒。

图11. 2020年10月关键词搜索TOP10

解密大师

从解密大师本月解密数据看,解密量最大的仍是GandCrab,其次是Stop。使用解密大师解密文件的用户数量最高的是Crysis家族的中招设备,其次则是Stop家族的中招设备。

图12. 2020年10月解密大师解密情况

总结

针对服务器的勒索病毒***依然是当下勒索病毒的一个主要方向,企业需要加强自身的信息安全管理能力——尤其是弱口令、漏洞、文件共享和远程桌面的管理,以应对勒索病毒的威胁,在此我们给各位管理员一些建议:

发现中勒索病毒后的正确处理流程:1.发现中毒机器应立即关闭其网络和该计算机。关闭网络能阻止勒索病毒在内网横向传播,关闭计算机能及时阻止勒索病毒继续加密文件。2.联系专业人士,对内部网络进行排查处理。3.公司内部所有机器口令均应更换,你无法确定***掌握了内部多少机器的口令。 


 

推荐站点

  • 我爱发烧音乐我爱发烧音乐

    我爱发烧音乐囊括了从流行音乐到古典音乐多个类型的音乐作品,专栏推荐最新的音乐,提供音乐排名榜单!可供免费线上收听音乐,歌曲流畅,音效极佳! 网站提供的钢琴以及二胡专栏,可供收听者,陶冶情操,改善心情,是难得的轻音乐典藏!

    www.520fs.com
  • 世纪音乐网世纪音乐网

    世纪音乐网是专业的在线音乐试听MP3下载网站。歌曲总计30余万首,收录了网上最新歌曲和流行音乐,DJ舞曲,非主流音乐,经典老歌,劲舞团歌曲,搞笑歌曲,儿童歌曲,英文歌曲等。是您上网听歌的最佳网站。

    www.ssjj.com
  • 杭州网杭州网

      杭州网是杭州地区唯一的新闻门户网站,由中共杭州市委宣传部、杭州日报报业集团和杭州广播电视集团共同组建的杭州网络传媒有限公司运营。

    www.hangzhou.com.cn
  • 深圳在线深圳在线

      深圳在线 www.szol.net是深圳本地最大、最早的地方生活资讯网站之一,网站名“深圳在线www.szol.net”由南方报业传媒集团编辑委员会总编辑、南方日报社总编辑、南方都市报总编辑、南方书画院名誉院长王春芙亲笔题名,深圳在线www.szol.net团队与深圳热线www.szonline.net、奥一网www.oeeee.com都源于全国最早成立于1996年的知名网络公司——深圳万用网。

    www.szol.net
  • 今题网今题网

     今题网- 中国领先的社区服务网,提供社区服务, 在线交友和商家推广服务,于2004年创建上线,公司现有员工超过百名。今题网自成立以来,凭借其独特的定位和丰富的社区交友功能, 凭借其团队超强的搜索引擎优化技术吸引超过千万的用户成为今题网的注册会员。

    www.jinti.com

鄂公网安备 42062502000001号