首页 > 安全资讯 > 正文

2020年12月勒索病毒疫情分析

勒索病毒传播至今,360互联网安全中心已累积接收到上万勒索病毒感染求助。勒索病毒的蔓延,给企业和个人都带来了严重的安全威胁。360安全电脑针对勒索病毒进行了全方位的监控与防御。本月新增Zeoticus、LoL、BlueEagle、RansomToad、Mijnal等勒索病毒家族。

本月360解密大师新增解密支持:

· CryptoJoker家族(修改后缀为ncory,devos)

· Nibiru家族(修改后缀为nibiru)

感染数据分析

分析本月勒索病毒家族占比:phobos家族占比18.35%居首位;其次是占比11.71%的CryptoJoker家族;Makop家族以占比11.39%位居第三。CryptJoker家族的感染量持续上涨,Makop勒索病毒家族沉寂一段时间后在本月又开始活跃。

图1. 2020年12月勒索病毒家族占比

从被感染系统分布看,本月位居前三的系统是:Windows 10、Windows 7和Windows Server2008。

图2. 2020年12月被感染系统占比

2020年12月被感染系统中桌面系统和服务器系统占比显示,受攻击的主要系统仍是桌面PC系统。

图3. 2020年12月被感染系统类型占比

勒索病毒疫情分析

CryptoJoker

360安全大脑监测数据显示,在360解密大师推出对该家族的解密支持后,该勒索病毒家族的传播量不仅未下降,反而有上升趋势。该家族是由Wannaren演变而来的一个新家族。而在本月,该家族又出现三个新变种:

· 变种一:仅修改文件后缀为devos,不加密文件。

· 变种二:加密文件,但文件内容包含两部分:原始文件内容+被加密的原始内容+加密key相关数据

· 变种三:加密文件并跳过中文系统(使用GB2312的系统)。

在以往,360安全大脑监测到的勒索病毒会有避免加密例如俄语、乌克兰语、白俄罗斯语等斯拉夫语系的系统,此次是第一次出现加密文件时检测中文系统,决定是否加密的勒索病毒。

图4. CrytoJoker加密跳过中文系统

GlobeImposter

GlobeImposter勒索病毒又被称作"十二生肖"或"十二主神"勒索病毒,该家族勒索病毒自出现以来在国内未曾停止过传播。本月末360安全大脑监控到GlobeImposter尝试通过对已获取到数据库口令的机器下发勒索病毒。猜测可能是本月远程桌面感染的设备量在下降,该团伙想通过更多渠道感染设备。根据当前形势分析,该家族在2021年升攻击量可能会进一步提升。

图5. 360沙箱云捕获GlobeImposter勒索病毒

DoppelPaymer

在本月,位于墨西哥的富士康工厂遭到了"DoppelPaymer"勒索软件的攻击,并被勒索病毒在数据泄漏网站上挂出数据进行出售。据悉,窃取的文件包括常规的业务文档和报告,其中并不包含任何财务信息或者员工的个人信息。网络安全行业证实,富士康在其位于墨西哥华雷斯城的富士康CTBG MX设施遭受了攻击。在对工厂设备进行加密之后,系统中被置入了一个指向DoppelPaymer Tor付款站点的链接,要求支付1804多个比特币——约合人民币2.3亿元。作为此次攻击的一部分,不法分子声称已加密了约1200台服务器,窃取了100 GB的未加密文件,并删除了20~30 TB的备份。

图6. 数据泄露站点

黑客信息披露

以下是本月搜集到的黑客优先信息:

表格1. 黑客邮箱

系统安全防护数据分析

通过将2020年12月与2020年11月份的数据进行对比发现,本月各个先听占比变化均不大,位居前三的系统仍是Windows 7、Windows 8和Windows 10。

图7. 2020年12月被弱口令攻击系统占比

通过观察2020年12月弱口令攻击态势发现,RDP弱口令以及MySql弱口令攻击均无较大的波动。Mssql弱口令攻击在本月中旬有一次上升。

图9. 2020年12月弱口令态势图

勒索病毒关键词

以下是本月上榜活跃勒索病毒关键词统计,数据来自360勒索病毒搜索引擎。

· devos:该后缀有三种情况,均因被加密文件后缀会被修改为devos而成为关键词。

· 属于phobos勒索病毒家族,该家族的主要传播方式为:通过暴力破解远程桌面口令成功后手动投毒。

· 属于Devos勒索病毒家族,目前尚未可知其传播渠道。

· 属于Cryptojoker勒索病毒家,通过"匿隐" 进行传播。

· eking:属于phobos勒索病毒家族,由于被加密文件后缀会被修改为devos而成为关键词。该家族主要的传播方式为:通过暴力破解远程桌面口令成功后手动投毒。

· fair:属于Makop勒索病毒家族,由于被加密文件后缀会被修改fair而成为关键词。该家族主要的传播方式为:通过暴力破解远程桌面口令成功后手动投毒。

· makop:该后缀有两种情况, 均因被加密文件后缀会被修改为makop而成为关键词:

· 属于Makop勒索病毒家族,该家族主要的传播方式为:通过暴力破解远程桌面口令成功后手动投毒。

· 属于Cryptojoker勒索病毒家,通过"匿隐" 进行传播。

· eight:同eking。

· genesis:属于BeijingCrypt勒索病毒家族,由于被加密文件后缀会被修改genesis而成为关键词。该家族主要的传播方式为:通过暴力破解远程桌面口令成功后手动投毒。

· lockbit:属于Lockbit勒索病毒家族,由于被加密文件后缀会被修改lockbit而成为关键词。该家族主要的传播方式为:通过暴力破解远程桌面口令成功后手动投毒。

· Readinstructions:属于MedusaLocker勒索病毒家族,由于被加密文件后缀会被修改为Readinstructions而成为关键词。该家族主要的传播方式为:通过暴力破解远程桌面口令成功后手动投毒。

· Help: 该后缀有两种情况, 均因被加密文件后缀会被修改为help而成为关键词:

· 属于Crysis勒索病毒家族

· 属于VoidCrypt勒索病毒家族。

两个家族的传播均通过暴力破解远程桌面口令成功后手动投毒。

· CC3H:属于GlobeImposter勒索病毒家族,由于被加密文件后缀会被修改为CC3H而成为关键词。该家族主要的传播方式为:通过暴力破解远程桌面口令成功后手动投毒。

图10. 2020年12月关键词搜索TOP10

解密大师

从解密大师本月解密数据看,解密量最大的是CryptoJoker,其次是GandCrab。使用解密大师解密文件的用户数量最高的是被Crysis家族加密的设备,其次是被Stop家族加密的设备。

图11. 2020年12月解密大师解密情况


360安全卫士

热点排行

用户
反馈
返回
顶部