2020年7月勒索病毒疫情分析( 三 ) _勒索病毒

文章插图

图10. 2020年7月被弱口令攻击系统占比图
以下是对2020年7月被攻击系统所属IP采样制作的地域分布图，与之前几个月采集到的数据进行对比，地区排名和占比变化都不大。数字经济发达地区仍是攻击的主要对象。

文章插图

图11. 2020年7月弱口令攻击区域图
通过观察2020年7月弱口令攻击态势发现，RDP弱口令和MySQL弱口令攻击在本月的攻击态势整体无较大波动。MSSQL在本月有一次上涨。

文章插图

图12. 2020年7月弱口令攻击态势图
参照2020年7月弱口令攻击态势图，发现与本月MSSQL投毒拦截态势图有一定出入。这一情况可能是由于MSSQL的峰值攻击可能存在测试性攻击，并非实战攻击，也有可能攻击者拿下服务器后并未立刻进行投毒操作，而是留作“库存” 。

文章插图

图13. MSSQL投毒拦截态势图
勒索病毒关键词该数据来自lesuobingdu.360.cn的搜索统计。（不包括WannCry、AllCry、TeslaCrypt、Satan、Kraken、Jsworm、X3m、WannaRen以及GandCrab几个家族）
l Devos：属于phobos勒索病毒家族，由于被加密文件后缀会被修改为devos而成为关键词。该勒索病毒主要通过暴力破解远程桌面密码，拿到密码后手动投毒传播。
l Eking：同devos
l c4h: 属于GlobeImposter勒索病毒家族。由于被加密文件后缀会被修改为c4h而成为关键词。该勒索病毒主要通过暴力破解远程桌面密码，拿到密码后手动投毒传播。
l beijing:属于FileCoder.bj勒索病毒家族。由于被加密文件后缀会被修改为FileCoder.bj而成为关键词。该勒索病毒主要通过暴力破解远程桌面密码，拿到密码后手动投毒传播。
l Pgp: 属于Crysis勒索病毒家族。由于被加密文件后缀会被修改为pgp而成为关键词。该勒索病毒主要通过暴力破解远程桌面密码，拿到密码后手动投毒传播。
l Roger:同pgp 。
l globeimposter-alpha865qqz:同c4h 。
l dewar:同devos 。
l c1h：同c4h 。
l readinstructions: 属于MedusaLocker勒索病毒家族。由于被加密文件后缀会被修改为readinstructions而成为关键词。该勒索病毒主要通过暴力破解远程桌面密码，拿到密码后手动投毒传播。

文章插图

图14. 2020年7月关键词搜索TOP10
解密大师从解密大师本月解密数据看，本月解密量最大的是Panther，其次是Crysis 。使用解密大师解密文件的用户数量最高的仍是Stop家族的中招设备，其次则是Crysis家族的中招设备。

文章插图

图15. 2020年7月解密大师解密情况
总结针对服务器的勒索病毒攻击依然是当下勒索病毒的一个主要方向，企业需要加强自身的信息安全管理能力——尤其是弱口令、漏洞、文件共享和远程桌面的管理，以应对勒索病毒的威胁，在此我们给各位管理员一些建议：
发现中勒索病毒后的正确处理流程：
1.发现中毒机器应立即关闭其网络和该计算机。关闭网络能阻止勒索病毒在内网横向传播，关闭计算机能及时阻止勒索病毒继续加密文件。
2.联系安全厂商，对内部网络进行排查处理。
3.公司内部所有机器口令均应更换，你无法确定黑客掌握了内部多少机器的口令。
后续安全防护建议：
1. 多台机器，不要使用相同的账号和口令
2. 登录口令要有足够的长度和复杂性，并定期更换登录口令
3. 重要资料的共享文件夹应设置访问权限控制，并进行定期备份
4. 定期检测系统和软件中的安全漏洞，及时打上补丁。
5. 定期到服务器检查是否存在异常。查看范围包括：
(1) 是否有新增账户
(2) Guest是否被启用
(3) Windows系统日志是否存在异常
(4) 杀毒软件是否存在异常拦截情况
6. 安装安全防护软件，并确保其正常运行。
7. 从正规渠道下载安装软件。
8. 对不熟悉的软件，如果已经被杀毒软件拦截查杀，不要添加信任继续运行。
此外，无论是企业受害者还是个人受害者，都不建议支付赎金。支付赎金不仅变相鼓励了勒索攻击行为，而且解密的过程还可能会带来新的安全风险。