勒索病毒发展至今,360互联网安全中心已累计接收到数万勒索病毒感染求助。勒索病毒的蔓延,给企业和个人都带来了严重的安全威胁。360安全大脑针对勒索病毒进行了全方位的监控与防御。本月新出现了Panther、FileCoder.bj、pojie、WhoLocker、FonixCrypter、SilentDeath等勒索病毒家族。
360解密大师在2020年7月新增对Panther(后缀为panther)、FlowEncrypt(后缀为FlowEncryption)、Cobra(后缀为C0br4)、Loki(后缀为loki)以及OutCrypt(后缀为_out)的解密支持。
感染数据分析
分析本月勒索病毒家族分布:phobos家族占比22.96%居首位;其次是占比14.51%的GlobeImposter;Crysis家族以占比12.14%位居第三。FileCoder.bj勒索病毒在本月初开始传播,在7月的勒索病毒家族占比中已进入了TOP 10榜单。
图1.2020年7月勒索病毒家族占比
而从被感染系统占比看:本月位居前三的系统是windows 10、Windows 7和Windows Server 2008。为了进一步增加调查的覆盖范围,此次的的统计数据在原有的反勒索服务数据基础上并入了反馈群中获取到的相关数据。
图2. 2020年7月被感染系统占比图
2020年7月被感染系统中桌面系统和服务器系统占比显示:受攻击的主要系统仍是个人桌面系统。合并两部分数据后,桌面系统占比有一定下降。
图3. 2020年7月被感染系统类型占比图
勒索病毒疫情分析
Panther勒索病毒家族
“老豹”是一个从今年2月底开始活跃的一个黑客组织,该组织在五月份开始以供应链攻击方式,下发潜伏在中文编程语言编译环境的感染型病毒Peviru,导致用户编译的所有程序都被感染以及下发大灰狼远控程序,以达到对该机器的绝对掌控权。在本月监控到该团伙通过被感染文件开始下发“Panther”勒索病。
图4. Panther传播流程
在360安全大脑监控到该勒索病后便第一时间成功破解,中招用户可使用360解密大师对中招文件进行解密。
图5. Panther解密
FileCoder.bj勒索病毒家族
本月360安全大脑监控到多款国产勒索病毒敲诈者在进行活动。其中,名为“FileCoder.bj”勒索病毒家族是几个国产家族中活跃度最高的一个。和大部分勒索病毒一样,该病毒也是采用暴力破解受害者远程桌面登录口令后手动投毒。中招用户文件被加密后,被添加新后缀:FileCoder.bj 。
图6. 被FileCoder.bj加密的文件截图
经过分析,发现该勒索病毒采用了比较常见的RSA+AES算法组合对文件进行加密。
病毒运行后,会在本地创建文件写入被RSA公钥加密后的文件加密密钥。加密文件时,采用CFB加密模式,IV被RSA加密后追加于文件尾部。
图7. FileCoder.bj勒索病毒加密文件反汇编代码图
Cobra勒索病毒家族
本月360安全大脑监控到一款特别比较奇葩的勒索病毒,该勒索病毒目前已监控到四个版本。
l 版本一:只加密文件不留任何勒索提示信息。
l 版本二:加密文件并弹窗提示解密需要联系指定邮箱
l 版本三:明确表明不收取任何赎金,只是想看看安全专家能否成功解密
l 版本四:让受害者去指定网站玩游戏达到指定等级后截图发给指定邮箱即可解密文件。
图8. Cobra勒索提示信息图
讽刺的是,这款曾号称“想看看安全专家解密能力”的勒索病毒,不仅在加密算法上有漏洞,加密流程也存在漏洞。由于该勒索病毒程序在加密文件时存在的编码问题会导致数据出现问题,所以部分格式文件解密时可能会出现解密失败问题。目前360解密大师已能对该勒索病毒的多个版本进行解密。
图9. Cobra解密图
黑客信息披露
以下是本月搜集到的黑客邮箱信息:
enc6@dr.com
Ecovector3@aol.com
rescuer@protonmail.com
qa458@ya.ru
9kusd@tutanota.com
natali_bond90@inbox.ru
ubtc@cock.li
resque@plague.desi
recoverydata@qbmail.biz
TorS@Tuta.Io
vapeefiles@aol.com
needrecovery@airmail.cc
enc6@usa.com
helpbackup@email.tg
distwork@protonmail.com
777@8chan.co
yourbackup@email.tg
filerestore07@gmail.com
byd@india.com
decoding@qbmail.biz
newhelper@protonmail.ch
Help244@Ya.RU
backdata@qbmail.biz
service@goodluckday.xyz
traher@dr.com
unlock_rabbit@pm.me
kkmalazu@protonmail.com
jalicry@pm.me
J0ra@protonmail.com
rans0msupport@gmail.com
repter@tuta.ip
Thunder@fonix.email
decryptdocs@firemail.cc
repter@tuta.io
opengpg@foxmail.com
homersimpson777@mail.fr
mich78@usa.com
88828@PROTONMAIL.CH
juniorwanme@tutanota.co
deerho@email.tg
saviours@airmail.cc
yakomoko@protonmail.com
gygabot@cock.li
michael78@india.com
ftsbk24h@protonmail.com
decrypt@file.mn
trfgklmbvzx@aol.com
pilotpilot088@gmail.com
supp0rt@cock.li
black.mirror@qq.com
colderman@mailfence.com
paco@airmail.cc
Russ@protonmail.com
decrypt@hellokittyy.top
help@wizrac.com
supp0rt.h@rambler.ru
suupport@protonmail.com
qa458@yandex.ru
normanzak@airmail.cc
vault.decrypt@gmail.com
Jchan@india.com
maedeh81@firemail.cc
covexmail@protonmail.com
rescuer@cock.li
helpmanageer@mail.ch
normanzak@protonmail.com
decrypt@files.mn
infomacaoh@gmail.com
maedeh81@yakuzacrypt.com
ghostmax@cock.li
zewen93341@126.com
supportdoc@protonmail.ch
d_dukens@aol.com
AlanRed@criptext.com
alaahamid@protonmail.com
data@recovery.sx
AlanRed@tutanota.com
teamfiles@protonmail.com
Crypt@qbmail.biz
mawienkiu@yandex.com
nopain555@protonmail.com
bigbosscry@pm.me
Evagreps83@yahoo.com
databack3@protonmail.com
de.crypt@aol.com
sleepme134@gmail.com
CORDAZIUS@PROTONMAIL.COM
rocosmon@cock.li
torsed@protonmail.ch
xsupportx@countermail.com
47266@AIRMAIL.CC
jeiphoos@sigaint.org
robinhood@countermail.com
Help-Mails@Ya.Ru
Decoding@zimbabwe.su
AlanRed88@protionmail.com
Jackie7@asia.com
elmersglue@india.com
helpmedecoding@airmail.cc
XMMH@tutanota.com
jack-daniels22@bk.ru
s1an1er111@protonmail.com
greed_001@aol.com
creampie@ctemplar.com
Evagreps83@protonmail.com
pride_001@aol.com
wang_team1111@aol.com
RobertEvan78@criptext.com
helpmakop@cock.li
decrptsupp@keemail.me
RobertEvan78@tutanota.com
pride_002@aol.com
teamvi@protonmail.com
CyberLucifer@tutanota.com
dfgkbtprz@aol.com
felix@countermail.com
coronavirus19@tutanota.com
3610356673@qq.com
faq.mail@tutanota.com
vegaconsult@protonmail.com
crypto@keemail.me
magician@ctemplar.com
CyberLucifer@mailfence.com
srat@tutanota.com
mack_traher@india.com
52pojie_mail@protonmail.com
mrdoc8869@xmpp.jp
Hublle@protonmail.com
Olivier92747@protonmail.com
nopain666@cock.li
getdataback@qbmail.biz
decrypterfile@mailfence.com
horsia@airmail.cc
xersami@protonmail.com
friedashumes@protonmail.com
cockroach@cock.lu
geniusid@protonmail.ch
langdiru1887@protonmail.com
imugf@outlook.com
d_dukens@bitmessage.ch
RobertEvan78@protonmail.com
Help244@Yandex.ru
decryptdocs@msgsafe.io
achtung_admin@protonmail.com
squadhack@email.tg
SimpleSup@tutanota.com
markngibson10@protonmail.com
backdata@qmail.biz
decryption@zimbabwe.su
jim.velazquez@protonmail.com
prndssdnrp@mail.fr
decr1pt@protonmail.com
flapalinta1950@protonmail.com
crimecrypt@aol.com
covid-123@tutanota.com
maksimbockovskij315@gmail.com
hosdecoder@aol.com
helpforyou@firemail.cc
john_brown1954@protonmail.com
holylolly@airmail.cc
9000usd@protonmail.com
HassanaliDellah@protonmail.com
infocrypt@mail.com
ssimpotashka@gmail.com
bobbybarnett2020@protonmail.com
Evagreps83@aol.com
fbifine@protonmail.com
thomas_davies2020@protonmail.com
krymaster@mail.com
ftsbk@criptext.com
SilentDeathDecryptor@protonmail.com
表格1. 黑客邮箱
系统安全防护数据分析
通过将2020年7月与6月的数据进行对比发现,本月各个系统占比变化均不大,位居前三的系统仍是Windows 7、Windows 10和Windows 8。
图10. 2020年7月被弱口令攻击系统占比图
以下是对2020年7月被攻击系统所属IP采样制作的地域分布图,与之前几个月采集到的数据进行对比,地区排名和占比变化都不大。数字经济发达地区仍是攻击的主要对象。
图11. 2020年7月弱口令攻击区域图
通过观察2020年7月弱口令攻击态势发现,RDP弱口令和MySQL弱口令攻击 在本月的攻击态势整体无较大波动。MSSQL在本月有一次上涨。
图12. 2020年7月弱口令攻击态势图
参照2020年7月弱口令攻击态势图,发现与本月MSSQL投毒拦截态势图有一定出入。这一情况可能是由于MSSQL的峰值攻击可能存在测试性攻击,并非实战攻击,也有可能攻击者拿下服务器后并未立刻进行投毒操作,而是留作“库存”。
图13. MSSQL投毒拦截态势图
勒索病毒关键词
该数据来自lesuobingdu.360.cn的搜索统计。(不包括WannCry、AllCry、TeslaCrypt、Satan、Kraken、Jsworm、X3m、WannaRen以及GandCrab几个家族)
l Devos:属于phobos勒索病毒家族,由于被加密文件后缀会被修改为devos而成为关键词。该勒索病毒主要通过暴力破解远程桌面密码,拿到密码后手动投毒传播。
l Eking:同devos
l c4h: 属于GlobeImposter勒索病毒家族。由于被加密文件后缀会被修改为c4h而成为关键词。该勒索病毒主要通过暴力破解远程桌面密码,拿到密码后手动投毒传播。
l beijing:属于FileCoder.bj勒索病毒家族。由于被加密文件后缀会被修改为FileCoder.bj而成为关键词。该勒索病毒主要通过暴力破解远程桌面密码,拿到密码后手动投毒传播。
l Pgp: 属于Crysis勒索病毒家族。由于被加密文件后缀会被修改为pgp而成为关键词。该勒索病毒主要通过暴力破解远程桌面密码,拿到密码后手动投毒传播。
l Roger:同pgp。
l globeimposter-alpha865qqz:同c4h。
l dewar:同devos。
l c1h:同c4h。
l readinstructions: 属于MedusaLocker勒索病毒家族。由于被加密文件后缀会被修改为readinstructions而成为关键词。该勒索病毒主要通过暴力破解远程桌面密码,拿到密码后手动投毒传播。
图14. 2020年7月关键词搜索TOP10
解密大师
从解密大师本月解密数据看,本月解密量最大的是Panther,其次是Crysis。使用解密大师解密文件的用户数量最高的仍是Stop家族的中招设备,其次则是Crysis家族的中招设备。
图15. 2020年7月解密大师解密情况
总结
针对服务器的勒索病毒攻击依然是当下勒索病毒的一个主要方向,企业需要加强自身的信息安全管理能力——尤其是弱口令、漏洞、文件共享和远程桌面的管理,以应对勒索病毒的威胁,在此我们给各位管理员一些建议:
发现中勒索病毒后的正确处理流程:
1.发现中毒机器应立即关闭其网络和该计算机。关闭网络能阻止勒索病毒在内网横向传播,关闭计算机能及时阻止勒索病毒继续加密文件。
2.联系安全厂商,对内部网络进行排查处理。
3.公司内部所有机器口令均应更换,你无法确定黑客掌握了内部多少机器的口令。
后续安全防护建议:
1. 多台机器,不要使用相同的账号和口令
2. 登录口令要有足够的长度和复杂性,并定期更换登录口令
3. 重要资料的共享文件夹应设置访问权限控制,并进行定期备份
4. 定期检测系统和软件中的安全漏洞,及时打上补丁。
5. 定期到服务器检查是否存在异常。查看范围包括:
(1) 是否有新增账户
(2) Guest是否被启用
(3) Windows系统日志是否存在异常
(4) 杀毒软件是否存在异常拦截情况
6. 安装安全防护软件,并确保其正常运行。
7. 从正规渠道下载安装软件。
8. 对不熟悉的软件,如果已经被杀毒软件拦截查杀,不要添加信任继续运行。
此外,无论是企业受害者还是个人受害者,都不建议支付赎金。支付赎金不仅变相鼓励了勒索攻击行为,而且解密的过程还可能会带来新的安全风险。
常见的勒索病毒,很多只加密文件头部数据,对于某些类型的文件(如数据库文件),可以尝试通过数据修复手段来挽回部分损失。如果不得不支付赎金的话,可以尝试和黑客协商来降低赎金价格,同时在协商过程中要避免暴露自己真实身份信息和紧急程度,以免黑客漫天要价。由于第三方均是通过联系黑客购买密钥解密文件,所以尽量避免咨询太多第三方(咨询太多第三方相当于咨询多次黑客,会导致黑客涨价。)
