用心将技术和服务遍布全中国
一切都是为了价值无法衡量的数据!



2020年8月,勒索病毒疫情传播情况分析报告

2020-09-08 14:39:02 编辑:91数据恢复专家 来源:本站原创

Cz191数据恢复

  勒索病毒传播至今,91数据恢复已累计收到上万勒索病毒感染求助。勒索病毒的蔓延,给企业和个人都带来了严重的安全威胁。91数据恢复对勒索病毒进行了全方位的监控与防御。本月新增WastedLocker、Zbw、FonixCrypter、TapPif、SunCrypt等勒索病毒家族。Cz191数据恢复

  感染数据分析Cz191数据恢复

  分析本月勒索病毒家族占比:phobos家族占比22%居首位;其次是占比13.6%的Crysis;GlobeImposter家族以占比12%位居第三。本月新出现勒索并未有大量传播态势。上个月新出现的BeijingCrypt本月占比虽仍位居第六,但在本月的传播呈现下降态势。Cz191数据恢复

Cz191数据恢复

  图1. 2020年8月勒索病毒家族占比Cz191数据恢复

  从被感染系统占比看:本月位居前三的系统是:Windows 7、Windows10和Windows 2012。和上个月相同,本次统计的系统占比数据在原有的反勒索服务数据上新增了交流群反馈数据。之后报告默认为两个数据来源,不再单独标注。Cz191数据恢复

Cz191数据恢复

  图2. 2020年8月被感染系统占比Cz191数据恢复

  2020年8月被感染系统中桌面系统和服务器系统占比显示,受攻击的主要系统仍是个人桌面系统。Cz191数据恢复

Cz191数据恢复

  图3. 2020年8月被感染系统占比Cz191数据恢复

  勒索病毒疫情分析Cz191数据恢复

  Pojie勒索病毒家族Cz191数据恢复

  这款名为Pojie的勒索病毒,最早在2020年7月份利用"协助脱壳"、"有偿修改代码"等诱骗用户下载并植入勒索病毒进行传播。在本月,该勒索病毒传播者利用酷Q机器人停止支持这一事件,将勒索病毒伪装成本地版酷Q进行传播。用户一旦运行,文件将被加密,同时后缀将会被修改为itunes.Cz191数据恢复

Cz191数据恢复

  图4. 被Pojie勒索病毒加密的文件Cz191数据恢复

  360解密大师在捕获到该勒索病毒后便成功破解该勒索病毒,并提供解密支持。受害者可使用解密大师对文件进行解密。Cz191数据恢复

Cz191数据恢复

  图5. 解密大师解密被Pojie加密的文件Cz191数据恢复

  WastedLocker勒索病毒家族Cz191数据恢复

  WastedLocker勒索病毒最早是在2020年4月份开始出现,该勒索病毒主要将具有高价值的企业作为攻击目标。7月底该勒索病毒由于成功攻击Garmin公司,导致该公司关闭两天生产线而引起广泛关注。该事件一直持续到8月初才告一段落,但是WastedLocker的传播仍在继续。Cz191数据恢复

  据悉该勒索病毒背后是由俄罗斯的EvilCorp网络犯罪组织制作并传播。不过在众多针对的企业的勒索病毒中,WastedLocker似乎是少有的不公布受害者数据进行二次威胁的勒索病毒。该犯罪组织在收取赎金时,一般在50万美元到数千万美元之间。勒索病毒运行后会修改文件后缀为garminwasted,并为每个文件生成一个勒索提示信息。Cz191数据恢复

Cz191数据恢复

  图5. 被WastedLocker加密的文件Cz191数据恢复

  Stop勒索病毒家族Cz191数据恢复

  Stop勒索病毒是一个长期活跃的勒索病毒家族,在本月,"歪果仁研究协会"由于该勒索病毒影响而导致将近8个月的视频素材全部被加密。该勒索病毒传播至今,主要传播渠道一直是通过伪装成激活工具或者破解软件诱导用户下载,其中由于运行"Windows激活工具"而中招的最多,此次"歪果仁研究协会"最早也是被该家族攻击。Cz191数据恢复

Cz191数据恢复

  图6. "歪果仁研究协会"被勒索Cz191数据恢复

  通过对该事件的跟踪,发现"歪果仁研究协会"在后续的处理过程中,由于处理不当导致其文件不仅被Stop勒索病毒加密,还被Crysis、Lockbit以及BigLock勒索病毒加密,从收到的被加密文件看,其文件被加密次数从8次到12次不等,还有可能被更多次加密。针对此类事件需要再次提醒用户,若中招请参考本文中总结中的推荐处理流程进行处理。避免再次受到伤害。Cz191数据恢复

Cz191数据恢复

  图7. "歪果仁协"会被就加密文件Cz191数据恢复

  黑客信息披露Cz191数据恢复

  以下是本月搜集到的黑客邮箱信息:Cz191数据恢复

qa458@ya.ru abc@countermail.com encryptboys@tutanota.com
d7516@ya.ru de_cryption@tuta.io FileFixer@ProtonMail.com
zd588@ya.ru telegram_@spacedatax LaoXinWon@protonmail.com
ncov@cock.li Decoding@zimbabwe.su unl0ckerpkx@tutanota.com
week1@tuta.io {colin_farel@aol.com scarry38@horsefucker.org
tcprx@cock.li datalost@foxmail.com inc_evilsi@protonmail.ch
ucos2@elude.in naqohiky@firemail.cc decoding_service@aol.com
ucos2@elude.im miclejaps@msgden.net decoderma@protonmail.com
zacapa@cock.li mylifeisfear@cock.li VoidFiles@protonmail.com
OneWay@cock.li sleepme134@gmail.com SoporteVoid@tutanota.com
dzec1@mail.com Trojan.Generic@ML.92 Hichkasam@protonmail.com
zacapa@tuta.io SupportVoid@elude.in protohelp@protonmail.com
Mayth24@aol.xom makbigfast@india.com ambrosiaa@protonmail.com
beijing@aol.com jack-daniels22@bk.ru getscoin2@protonmail.com
info@decrypt.ws RihabYaman@india.com AdamBrown89@tutamail.com
zuzya@india.com inter7a@tutanota.com AdamBrown89@criptext.com
Jackondra@Ya.Ru Jackondra@Bigmir.Net freelockermail@gmail.com
jes_cir@list.ru avalona.toga@aol.com jj.greemsy@mailfence.com
Mayth24@aol.com ambrosiaa@bigmir.net greemsy.jj@protonmail.ch
Mayth24@tuta.io protomolecule@gmx.us help.me24@protonmail.com
H911X@yahoo.com File-Help1@Yandex.ru notgoodnews@tutanota.com
decrypt@files.mn 0x69x@protonmail.com geneve010@protonmail.com
mrromber@cock.li Backdata@zimbabwe.su geneve020@protonmail.com
safronov@cock.li 9869420@tutanota.com rsaencrypt@protonmail.ch
JustBTC@elude.in FridaFarko@yahoo.com fast_helpassia777@aol.com
ghostmax@cock.li Hubble77@tutanota.com worcservice@protonmail.ch
evandos@email.cz creampie@ctemplar.com stevenxx134@gmail.com.exe
data97@india.com fastwindGlobe@mail.ee madeinussr@protonmail.com
xitreu@india.com qhrghghk@tutanota.com Steven77xx@protonmail.com
HarmaENC@Cock.li mrromber@tutanota.com Pentagon11@protonmail.com
akzhq808@cock.li stevenxx134@gmail.com LizardBkup@protonmail.com
sales@onserve.ca protomolecule@gmx.com mortalis_certamen@aol.com
decrypt20@vpn.tg support@bitmessage.ch mortalis_certamen@zoho.eu
helpme24@tuta.io paymantsystem@cock.li ctb-decrypt@bitmessage.ch
xmmh@tutamail.com johncastle@msgsafe.io decryptallfiles@india.com
Help244@Yandex.ru decrypt20@firemail.cc omegawatch@protonmail.com
zuzyamail@aol.com enabledecrypt@aol.com zacapa2020@protonmail.com
scott.clark@bk.ru Zagrec@protonmail.com newhelper24@protonmail.ch
votrefile@tuta.io anticrypt2020@aol.com Lianaytman@protonmail.com
norahghnq@gmx.com res_reserve@india.com decrypt@fasthelpassia.com
zyrkal@airmail.cc decryption@zimbabwe.su FridaFarko@protonmail.com
newhelper@cock.li time2relax@firemail.cc helpdiamond@protonmail.com
Crypt@zimbabwe.su stevenjoker@msgden.net decoderma@tutanota.com.exe
xmrlocker@goat.si china_jm@protonmail.ch coronavirus19@tutanota.com
Logan8833@aol.com decoderma@tutanota.com DECRPToffice@gmail.com.exe
cryptlive@aol.com VoidFiles@tutanota.com frogo_my_frend@freemail.hu
res_sup@india.com DECRPToffice@gmail.com encrypted2017@tutanota.com
steven77xx@mail.ru natali_bond90@inbox.ru encryptfile@protonmail.com
hosdecoder@aol.com contatomaktub@email.tg nefartanulo@protonmail.com
Elmershawn@aol.com bitlander@armormail.ne getthefiles@protonmail.com
happydaayz@aol.com darkmask@mailfence.com mr.crypteur@protonmail.com
milleni5000@qq.com gnidhyg@protonmail.com aam_sysadmin@protonmail.com
keyinfo24@mail.com Mayth24@protonmail.com emergencychina@tutanota.com
infokey24@mail.com JustBTC@ProtonMail.com decrypterfile@mailfence.com
BobGreen85@aol.com Malakot@protonmail.com BrillianceBK@protonmail.com
xatixxatix@mail.fr getthefiles@airmail.cc clark.rotband@mailfence.com
Greenarrow@cock.li doltafukno@sina.com.cn Murdochjoumo@protonmail.com
myfiles@msgsafe.io res_sup@computer4u.com fastwindGlobe@protonmail.com
myfiles@airmail.cc tsai.shen@mailfence.com missdecryptor@protonmail.com
raboly@firemail.cc BobGreen85@criptext.com decrypterfile@protonmail.com
ranbarron88@qq.com pianist6@protonmail.com FushenKingdee@protonmail.com
squadhack@email.tg ftsbk24h@protonmail.com DharmaParrack@protonmail.com
geri_glenn@aol.com qhrghghk@protonmail.com Jason897.help@protonmail.com
FridaFarko@aol.com infantbernarr@yahoo.com Ricardogurtress@tutanota.com
sealocker@daum.net helling.ramon@yahoo.com MasterFile001@protonmail.com
r4ns0m@tutanota.com xtredboy@protonmail.com itunes_decrypt@protonmail.com
openpgp@foxmail.com scarry5@horsefucker.org cashdashsentme@protonmail.com
helpbackup@email.tg logiteam@protonmail.com JohnCastle1000@protonmail.com
yourbackup@email.tg colderman@mailfence.com mccreight.ellery@tutanota.com
ventormi@airmail.cc USDATAdecrypt@gmail.com ragnarok_master@protonmail.com
colin_farel@aol.com djangounchained@cock.li djang0unchain3d@protonmail.com
mecybaki@firemail.c support-1@bitmessage.ch Cobra_Locker2.0@protonmail.com
black.mirror@qq.com yakomoko@protonmail.com chinadecrypt@fasthelpassia.com
DECRPT@tutanota.com supermetasploit@cock.li wyattpettigrew8922555@mail.com
strongman@india.com supermetasploit@aol.com chec1kyourf1les@protonmail.com
k.matroskin@aol.com recoverydata@qbmail.biz emergency911service@outlook.com
denis_help@inbox.ru BobGreen85@tutanota.com hacker_decryption@protonmail.ch
File-Help@India.Com teamdecrypt@disroot.org decrypterfile@mailfence.com.exe
qirapoo@firemail.cc MyFiles1@ProtonMail.com decoding_service@protonmail.com
AdamBrown89@aol.com anonymous@academail.net guaranteedsupport@protonmail.com
encryptfile@cock.li savefile365@nuke.africa Encryptedxtredboy@protonmail.com
brelox777@gmail.com xmrlocker@protonmail.ch officialintuitsoftware@gmail.com
bufalo@boximail.com txdot911@protonmail.com SilentDeathDecryptor@protonmail.com

  表1. 黑客邮箱Cz191数据恢复

  系统安全防护数据分析Cz191数据恢复

  通过将2020年8月与7月的数据进行对比发现,本月各个系统占比变化均不大,位居前三的系统仍是Windows 7、Windows 10和Windows 8。Cz191数据恢复

Cz191数据恢复

  图8. 2020年8月被弱口令攻击系统占比图Cz191数据恢复

  以下是对2020年8月被攻击系统所属IP采样制作的地域分布图,与之前几个月采集到的数据进行对比,地区排名和占比变化都不大。数字经济发达地区仍是攻击的主要对象。Cz191数据恢复

Cz191数据恢复

  图9. 2020年8月弱口令攻击区域图Cz191数据恢复

  通过观察2020年8月弱口令攻击态势发现,RDP弱口令和MySQL弱口令攻击在本月的攻击态势整体无较大波动。MSSQL在本月有一次上涨。Cz191数据恢复

Cz191数据恢复

  图10. 2020年8月弱口令攻击态势图Cz191数据恢复

  MSSQL投毒拦截态势和以往几个月一样有一定的波动,但并无较大幅度的上涨或者下跌。Cz191数据恢复

Cz191数据恢复

  图11. 2020年MSSQL投毒拦截态势图Cz191数据恢复

  勒索病毒关键词Cz191数据恢复

  该数据来自lesuobingdu91huifu.com的搜索统计。(不包括WannCry、AllCry、TeslaCrypt、Satan、Kraken、Jsworm、X3m、WannaRen以及GandCrab几个家族)Cz191数据恢复

  · devos:属于phobos勒索病毒家族,由于被加密文件后缀会被修改为devos而成为关键词。该勒索病毒主要通过暴力破解远程桌面密码,拿到密码后手动投毒传播。Cz191数据恢复

  · eking:同devos。Cz191数据恢复

  · beijing: 属于BeijingCrypt勒索病毒家族,由于被加密文件后缀会被修改为beijing而成为关键词。该勒索病毒主要通过暴力破解远程桌面密码,拿到密码后手动投毒传播。Cz191数据恢复

  · boop:属于Stop勒索病毒家族,由于被加密文件后缀会被修改为boop而成为关键词。该勒索病毒主要通过伪装成激活工具或者破解软件诱导用户下载进行传播。Cz191数据恢复

  · C1H:属于GlobeImposter勒索病毒家族,由于被加密文件后缀会被修改为C1H而成为关键词。该勒索病毒主要通过暴力破解远程桌面密码,拿到密码后手动投毒传播。Cz191数据恢复

  · C4H:同C1H。Cz191数据恢复

  · Readinstructions:属于MedusaLocker勒索病毒家族,由于被加密文件后缀会被修改为Readinstruction而成为关键词。该勒索病毒主要通过暴力破解远程桌面密码,拿到密码后手动投毒传播。Cz191数据恢复

  · pgp: 属于Crysis勒索病毒家族。由于被加密文件后缀会被修改为pgp而成为关键词。该勒索病毒主要通过暴力破解远程桌面密码,拿到密码后手动投毒传播。Cz191数据恢复

  · roger:同pgp。Cz191数据恢复

  · dewar:同devos。Cz191数据恢复

Cz191数据恢复

  图12. 2020年8月关键词TOP10Cz191数据恢复

  解密大师Cz191数据恢复

  从解密大师本月解密数据看,本月解密量最大的是GandCrab,其次是Stop。使用解密大师解密文件的用户数量最高的仍是Stop家族的中招设备,其次则是Crysis家族的中招设备。Cz191数据恢复

Cz191数据恢复

  图13. 2020年解密大师解密情况图Cz191数据恢复

  总结Cz191数据恢复

  针对服务器的勒索病毒攻击依然是当下勒索病毒的一个主要方向,企业需要加强自身的信息安全管理能力——尤其是弱口令、漏洞、文件共享和远程桌面的管理,以应对勒索病毒的威胁,在此我们给各位管理员一些建议:Cz191数据恢复

  发现中勒索病毒后的正确处理流程:1.发现中毒机器应立即关闭其网络和该计算机。关闭网络能阻止勒索病毒在内网横向传播,关闭计算机能及时阻止勒索病毒继续加密文件。2.联系安全厂商,对内部网络进行排查处理。3.公司内部所有机器口令均应更换,你无法确定黑客掌握了内部多少机器的口令。Cz191数据恢复

  后续安全防护建议:Cz191数据恢复

  1. 多台机器,不要使用相同的账号和口令Cz191数据恢复

  2. 登录口令要有足够的长度和复杂性,并定期更换登录口令Cz191数据恢复

  3. 重要资料的共享文件夹应设置访问权限控制,并进行定期备份Cz191数据恢复

  4. 定期检测系统和软件中的安全漏洞,及时打上补丁。Cz191数据恢复

  5. 定期到服务器检查是否存在异常。查看范围包括:Cz191数据恢复

  (1) 是否有新增账户Cz191数据恢复

  (2) Guest是否被启用Cz191数据恢复

  (3) Windows系统日志是否存在异常Cz191数据恢复

  (4) 杀毒软件是否存在异常拦截情况Cz191数据恢复

  6. 安装安全防护软件,并确保其正常运行。Cz191数据恢复

  7. 从正规渠道下载安装软件。Cz191数据恢复

  8. 对不熟悉的软件,如果已经被杀毒软件拦截查杀,不要添加信任继续运行。Cz191数据恢复

  此外,无论是企业受害者还是个人受害者,都不建议支付赎金。支付赎金不仅变相鼓励了勒索攻击行为,而且解密的过程还可能会带来新的安全风险。Cz191数据恢复

本站文章均为91数据恢复专业数据团队根据公司业务案例,数据恢复工作中整理发表,部分内容摘自权威资料,书籍,或网络原创文章,如有版权纠纷或者违规问题,请即刻联系我们删除,我们欢迎您分享,引用和转载,我们谢绝直接复制和抄袭,感谢!

联络方式:

客服热线:400-1050-918

技术顾问:17620159934

邮箱:91huifu@91huifu.com

微信公众号
售前工程师1
售前工程师2