360安全卫士
360杀毒
360文档卫士
360安全浏览器
360极速浏览器
360安全云盘
360随身WiFi
360搜索
系统急救箱
重装大师
勒索病毒救助
急救盘
高危漏洞免疫
360压缩
驱动大师
鲁大师
360换机助手
360清理大师Win10
360游戏大厅
360软件管家
360手机卫士
360防骚扰大师
360加固保
360贷款神器
360手机浏览器
360安全云盘
360免费WiFi
安全客
手机助手
安全换机
360帮帮
清理大师
省电王
360商城
360天气
360锁屏
手机专家
快剪辑
360影视
360娱乐
快资讯
你财富
360借条
360互助
信贷管家
360摄像机云台AI版
360摄像机小水滴AI版
360摄像机云台变焦版
360可视门铃
360摄像机云台1080p
家庭防火墙V5S增强版
家庭防火墙5Pro
家庭防火墙5SV2
家庭防火墙路由器5C
360儿童手表S1
360儿童手表8X
360儿童手表P1
360儿童手表SE5
360智能健康手表
行车记录仪M310
行车记录仪K600
行车记录仪G380
360行车记录仪G600
儿童安全座椅
360扫地机器人X90
360扫地机器人T90
360扫地机器人S7
360扫地机器人S6
360扫地机器人S5
360安全卫士
360杀毒
360文档卫士
360安全浏览器
360极速浏览器
360随身WiFi
360搜索
系统急救箱
重装大师
急救盘
勒索病毒救助
360压缩
驱动大师
鲁大师
360游戏大厅
360软件管家
360手机卫士
360防骚扰大师
手机急救箱
360加固保
360贷款神器
360免费WiFi
安全客
手机助手
一键root
安全换机
360帮帮
信用卫士
清理大师
省电王
360商城
流量卫士
360天气
360锁屏
手机专家
快剪辑
360影视
360娱乐
快资讯
你财富
360借条
360手机N7
360手机N6
Pro
360手机vizza
360手机N5S
360儿童手表6C
360儿童手表6W
360儿童手表SE2代
360手表SE2Plus
360老人手表
360摄像机大众版
360安全路由器P3
360安全路由器P2
360儿童机器人
外设产品
影音娱乐
平板电脑
二手手机
二代 美猴王版
二代
美猴王领航版
标准升级版
后视镜版
车载电器2020年12月勒索病毒疫情分析
- 2021-01-11 14:53:24
勒索病毒传播至今,360互联网安全中心已累积接收到上万勒索病毒感染求助。勒索病毒的蔓延,给企业和个人都带来了严重的安全威胁。360安全电脑针对勒索病毒进行了全方位的监控与防御。本月新增Zeoticus、LoL、BlueEagle、RansomToad、Mijnal等勒索病毒家族。
本月360解密大师新增解密支持:
· CryptoJoker家族(修改后缀为ncory,devos)
· Nibiru家族(修改后缀为nibiru)
感染数据分析
分析本月勒索病毒家族占比:phobos家族占比18.35%居首位;其次是占比11.71%的CryptoJoker家族;Makop家族以占比11.39%位居第三。CryptJoker家族的感染量持续上涨,Makop勒索病毒家族沉寂一段时间后在本月又开始活跃。
图1. 2020年12月勒索病毒家族占比
从被感染系统分布看,本月位居前三的系统是:Windows 10、Windows 7和Windows Server2008。
图2. 2020年12月被感染系统占比
2020年12月被感染系统中桌面系统和服务器系统占比显示,受攻击的主要系统仍是桌面PC系统。
图3. 2020年12月被感染系统类型占比
勒索病毒疫情分析
CryptoJoker
360安全大脑监测数据显示,在360解密大师推出对该家族的解密支持后,该勒索病毒家族的传播量不仅未下降,反而有上升趋势。该家族是由Wannaren演变而来的一个新家族。而在本月,该家族又出现三个新变种:
· 变种一:仅修改文件后缀为devos,不加密文件。
· 变种二:加密文件,但文件内容包含两部分:原始文件内容+被加密的原始内容+加密key相关数据
· 变种三:加密文件并跳过中文系统(使用GB2312的系统)。
在以往,360安全大脑监测到的勒索病毒会有避免加密例如俄语、乌克兰语、白俄罗斯语等斯拉夫语系的系统,此次是第一次出现加密文件时检测中文系统,决定是否加密的勒索病毒。
图4. CrytoJoker加密跳过中文系统
GlobeImposter
GlobeImposter勒索病毒又被称作"十二生肖"或"十二主神"勒索病毒,该家族勒索病毒自出现以来在国内未曾停止过传播。本月末360安全大脑监控到GlobeImposter尝试通过对已获取到数据库口令的机器下发勒索病毒。猜测可能是本月远程桌面感染的设备量在下降,该团伙想通过更多渠道感染设备。根据当前形势分析,该家族在2021年升攻击量可能会进一步提升。
图5. 360沙箱云捕获GlobeImposter勒索病毒
DoppelPaymer
在本月,位于墨西哥的富士康工厂遭到了"DoppelPaymer"勒索软件的攻击,并被勒索病毒在数据泄漏网站上挂出数据进行出售。据悉,窃取的文件包括常规的业务文档和报告,其中并不包含任何财务信息或者员工的个人信息。网络安全行业证实,富士康在其位于墨西哥华雷斯城的富士康CTBG MX设施遭受了攻击。在对工厂设备进行加密之后,系统中被置入了一个指向DoppelPaymer Tor付款站点的链接,要求支付1804多个比特币——约合人民币2.3亿元。作为此次攻击的一部分,不法分子声称已加密了约1200台服务器,窃取了100 GB的未加密文件,并删除了20~30 TB的备份。
图6. 数据泄露站点
黑客信息披露
以下是本月搜集到的黑客优先信息:
表格1. 黑客邮箱
系统安全防护数据分析
通过将2020年12月与2020年11月份的数据进行对比发现,本月各个先听占比变化均不大,位居前三的系统仍是Windows 7、Windows 8和Windows 10。
图7. 2020年12月被弱口令攻击系统占比
通过观察2020年12月弱口令攻击态势发现,RDP弱口令以及MySql弱口令攻击均无较大的波动。Mssql弱口令攻击在本月中旬有一次上升。
图9. 2020年12月弱口令态势图
勒索病毒关键词
以下是本月上榜活跃勒索病毒关键词统计,数据来自360勒索病毒搜索引擎。
· devos:该后缀有三种情况,均因被加密文件后缀会被修改为devos而成为关键词。
· 属于phobos勒索病毒家族,该家族的主要传播方式为:通过暴力破解远程桌面口令成功后手动投毒。
· 属于Devos勒索病毒家族,目前尚未可知其传播渠道。
· 属于Cryptojoker勒索病毒家,通过"匿隐" 进行传播。
· eking:属于phobos勒索病毒家族,由于被加密文件后缀会被修改为devos而成为关键词。该家族主要的传播方式为:通过暴力破解远程桌面口令成功后手动投毒。
· fair:属于Makop勒索病毒家族,由于被加密文件后缀会被修改fair而成为关键词。该家族主要的传播方式为:通过暴力破解远程桌面口令成功后手动投毒。
· makop:该后缀有两种情况, 均因被加密文件后缀会被修改为makop而成为关键词:
· 属于Makop勒索病毒家族,该家族主要的传播方式为:通过暴力破解远程桌面口令成功后手动投毒。
· 属于Cryptojoker勒索病毒家,通过"匿隐" 进行传播。
· eight:同eking。
· genesis:属于BeijingCrypt勒索病毒家族,由于被加密文件后缀会被修改genesis而成为关键词。该家族主要的传播方式为:通过暴力破解远程桌面口令成功后手动投毒。
· lockbit:属于Lockbit勒索病毒家族,由于被加密文件后缀会被修改lockbit而成为关键词。该家族主要的传播方式为:通过暴力破解远程桌面口令成功后手动投毒。
· Readinstructions:属于MedusaLocker勒索病毒家族,由于被加密文件后缀会被修改为Readinstructions而成为关键词。该家族主要的传播方式为:通过暴力破解远程桌面口令成功后手动投毒。
· Help: 该后缀有两种情况, 均因被加密文件后缀会被修改为help而成为关键词:
· 属于Crysis勒索病毒家族
· 属于VoidCrypt勒索病毒家族。
两个家族的传播均通过暴力破解远程桌面口令成功后手动投毒。
· CC3H:属于GlobeImposter勒索病毒家族,由于被加密文件后缀会被修改为CC3H而成为关键词。该家族主要的传播方式为:通过暴力破解远程桌面口令成功后手动投毒。
图10. 2020年12月关键词搜索TOP10
解密大师
从解密大师本月解密数据看,解密量最大的是CryptoJoker,其次是GandCrab。使用解密大师解密文件的用户数量最高的是被Crysis家族加密的设备,其次是被Stop家族加密的设备。
图11. 2020年12月解密大师解密情况
京公网安备 11000002000006号