用心将技术和服务遍布全中国
一切都是为了价值无法衡量的数据！

我们坚信
无论您在哪里
我们都能为您提供
最优质、及时、可靠的数据恢复服务！

如需恢复数据，请您致电:
客服：400-1050-918
技术：133-188-44580 166-6622-5144

2020年8月，勒索病毒疫情传播情况分析报告

2021-09-08 14:39:02 64399 编辑：91数据恢复专家来源：本站原创

　　勒索病毒传播至今，91数据恢复已累计收到上万勒索病毒感染求助。勒索病毒的蔓延，给企业和个人都带来了严重的安全威胁。91数据恢复对勒索病毒进行了全方位的监控与防御。本月新增WastedLocker、Zbw、FonixCrypter、TapPif、SunCrypt等勒索病毒家族。

　　感染数据分析

　　分析本月勒索病毒家族占比：phobos家族占比22%居首位;其次是占比13.6%的Crysis;GlobeImposter家族以占比12%位居第三。本月新出现勒索并未有大量传播态势。上个月新出现的BeijingCrypt本月占比虽仍位居第六，但在本月的传播呈现下降态势。

　　图1. 2020年8月勒索病毒家族占比

　　从被感染系统占比看：本月位居前三的系统是：Windows 7、Windows10和Windows 2012。和上个月相同，本次统计的系统占比数据在原有的反勒索服务数据上新增了交流群反馈数据。之后报告默认为两个数据来源，不再单独标注。

　　图2. 2020年8月被感染系统占比

　　2020年8月被感染系统中桌面系统和服务器系统占比显示，受攻击的主要系统仍是个人桌面系统。

　　图3. 2020年8月被感染系统占比

　　勒索病毒疫情分析

　　Pojie勒索病毒家族

　　这款名为Pojie的勒索病毒，最早在2020年7月份利用"协助脱壳"、"有偿修改代码"等诱骗用户下载并植入勒索病毒进行传播。在本月，该勒索病毒传播者利用酷Q机器人停止支持这一事件，将勒索病毒伪装成本地版酷Q进行传播。用户一旦运行，文件将被加密，同时后缀将会被修改为itunes.

　　图4. 被Pojie勒索病毒加密的文件

　　360解密大师在捕获到该勒索病毒后便成功破解该勒索病毒，并提供解密支持。受害者可使用解密大师对文件进行解密。

　　图5. 解密大师解密被Pojie加密的文件

　　WastedLocker勒索病毒家族

　　WastedLocker勒索病毒最早是在2020年4月份开始出现，该勒索病毒主要将具有高价值的企业作为攻击目标。7月底该勒索病毒由于成功攻击Garmin公司,导致该公司关闭两天生产线而引起广泛关注。该事件一直持续到8月初才告一段落，但是WastedLocker的传播仍在继续。

　　据悉该勒索病毒背后是由俄罗斯的EvilCorp网络犯罪组织制作并传播。不过在众多针对的企业的勒索病毒中，WastedLocker似乎是少有的不公布受害者数据进行二次威胁的勒索病毒。该犯罪组织在收取赎金时，一般在50万美元到数千万美元之间。勒索病毒运行后会修改文件后缀为garminwasted，并为每个文件生成一个勒索提示信息。

　　图5. 被WastedLocker加密的文件

　　Stop勒索病毒家族

　　Stop勒索病毒是一个长期活跃的勒索病毒家族，在本月，"歪果仁研究协会"由于该勒索病毒影响而导致将近8个月的视频素材全部被加密。该勒索病毒传播至今，主要传播渠道一直是通过伪装成激活工具或者破解软件诱导用户下载，其中由于运行"Windows激活工具"而中招的最多，此次"歪果仁研究协会"最早也是被该家族攻击。

　　图6. "歪果仁研究协会"被勒索

　　通过对该事件的跟踪，发现"歪果仁研究协会"在后续的处理过程中，由于处理不当导致其文件不仅被Stop勒索病毒加密，还被Crysis、Lockbit以及BigLock勒索病毒加密，从收到的被加密文件看，其文件被加密次数从8次到12次不等，还有可能被更多次加密。针对此类事件需要再次提醒用户，若中招请参考本文中总结中的推荐处理流程进行处理。避免再次受到伤害。

　　图7. "歪果仁协"会被就加密文件

　　黑客信息披露

　　以下是本月搜集到的黑客邮箱信息：

qa458@ya.ru	abc@countermail.com	encryptboys@tutanota.com
d7516@ya.ru	de_cryption@tuta.io	FileFixer@ProtonMail.com
zd588@ya.ru	telegram_@spacedatax	LaoXinWon@protonmail.com
ncov@cock.li	Decoding@zimbabwe.su	unl0ckerpkx@tutanota.com
week1@tuta.io	{colin_farel@aol.com	scarry38@horsefucker.org
tcprx@cock.li	datalost@foxmail.com	inc_evilsi@protonmail.ch
ucos2@elude.in	naqohiky@firemail.cc	decoding_service@aol.com
ucos2@elude.im	miclejaps@msgden.net	decoderma@protonmail.com
zacapa@cock.li	mylifeisfear@cock.li	VoidFiles@protonmail.com
OneWay@cock.li	sleepme134@gmail.com	SoporteVoid@tutanota.com
dzec1@mail.com	Trojan.Generic@ML.92	Hichkasam@protonmail.com
zacapa@tuta.io	SupportVoid@elude.in	protohelp@protonmail.com
Mayth24@aol.xom	makbigfast@india.com	ambrosiaa@protonmail.com
beijing@aol.com	jack-daniels22@bk.ru	getscoin2@protonmail.com
info@decrypt.ws	RihabYaman@india.com	AdamBrown89@tutamail.com
zuzya@india.com	inter7a@tutanota.com	AdamBrown89@criptext.com
Jackondra@Ya.Ru	Jackondra@Bigmir.Net	freelockermail@gmail.com
jes_cir@list.ru	avalona.toga@aol.com	jj.greemsy@mailfence.com
Mayth24@aol.com	ambrosiaa@bigmir.net	greemsy.jj@protonmail.ch
Mayth24@tuta.io	protomolecule@gmx.us	help.me24@protonmail.com
H911X@yahoo.com	File-Help1@Yandex.ru	notgoodnews@tutanota.com
decrypt@files.mn	0x69x@protonmail.com	geneve010@protonmail.com
mrromber@cock.li	Backdata@zimbabwe.su	geneve020@protonmail.com
safronov@cock.li	9869420@tutanota.com	rsaencrypt@protonmail.ch
JustBTC@elude.in	FridaFarko@yahoo.com	fast_helpassia777@aol.com
ghostmax@cock.li	Hubble77@tutanota.com	worcservice@protonmail.ch
evandos@email.cz	creampie@ctemplar.com	stevenxx134@gmail.com.exe
data97@india.com	fastwindGlobe@mail.ee	madeinussr@protonmail.com
xitreu@india.com	qhrghghk@tutanota.com	Steven77xx@protonmail.com
HarmaENC@Cock.li	mrromber@tutanota.com	Pentagon11@protonmail.com
akzhq808@cock.li	stevenxx134@gmail.com	LizardBkup@protonmail.com
sales@onserve.ca	protomolecule@gmx.com	mortalis_certamen@aol.com
decrypt20@vpn.tg	support@bitmessage.ch	mortalis_certamen@zoho.eu
helpme24@tuta.io	paymantsystem@cock.li	ctb-decrypt@bitmessage.ch
xmmh@tutamail.com	johncastle@msgsafe.io	decryptallfiles@india.com
Help244@Yandex.ru	decrypt20@firemail.cc	omegawatch@protonmail.com
zuzyamail@aol.com	enabledecrypt@aol.com	zacapa2020@protonmail.com
scott.clark@bk.ru	Zagrec@protonmail.com	newhelper24@protonmail.ch
votrefile@tuta.io	anticrypt2020@aol.com	Lianaytman@protonmail.com
norahghnq@gmx.com	res_reserve@india.com	decrypt@fasthelpassia.com
zyrkal@airmail.cc	decryption@zimbabwe.su	FridaFarko@protonmail.com
newhelper@cock.li	time2relax@firemail.cc	helpdiamond@protonmail.com
Crypt@zimbabwe.su	stevenjoker@msgden.net	decoderma@tutanota.com.exe
xmrlocker@goat.si	china_jm@protonmail.ch	coronavirus19@tutanota.com
Logan8833@aol.com	decoderma@tutanota.com	DECRPToffice@gmail.com.exe
cryptlive@aol.com	VoidFiles@tutanota.com	frogo_my_frend@freemail.hu
res_sup@india.com	DECRPToffice@gmail.com	encrypted2017@tutanota.com
steven77xx@mail.ru	natali_bond90@inbox.ru	encryptfile@protonmail.com
hosdecoder@aol.com	contatomaktub@email.tg	nefartanulo@protonmail.com
Elmershawn@aol.com	bitlander@armormail.ne	getthefiles@protonmail.com
happydaayz@aol.com	darkmask@mailfence.com	mr.crypteur@protonmail.com
milleni5000@qq.com	gnidhyg@protonmail.com	aam_sysadmin@protonmail.com
keyinfo24@mail.com	Mayth24@protonmail.com	emergencychina@tutanota.com
infokey24@mail.com	JustBTC@ProtonMail.com	decrypterfile@mailfence.com
BobGreen85@aol.com	Malakot@protonmail.com	BrillianceBK@protonmail.com
xatixxatix@mail.fr	getthefiles@airmail.cc	clark.rotband@mailfence.com
Greenarrow@cock.li	doltafukno@sina.com.cn	Murdochjoumo@protonmail.com
myfiles@msgsafe.io	res_sup@computer4u.com	fastwindGlobe@protonmail.com
myfiles@airmail.cc	tsai.shen@mailfence.com	missdecryptor@protonmail.com
raboly@firemail.cc	BobGreen85@criptext.com	decrypterfile@protonmail.com
ranbarron88@qq.com	pianist6@protonmail.com	FushenKingdee@protonmail.com
squadhack@email.tg	ftsbk24h@protonmail.com	DharmaParrack@protonmail.com
geri_glenn@aol.com	qhrghghk@protonmail.com	Jason897.help@protonmail.com
FridaFarko@aol.com	infantbernarr@yahoo.com	Ricardogurtress@tutanota.com
sealocker@daum.net	helling.ramon@yahoo.com	MasterFile001@protonmail.com
r4ns0m@tutanota.com	xtredboy@protonmail.com	itunes_decrypt@protonmail.com
openpgp@foxmail.com	scarry5@horsefucker.org	cashdashsentme@protonmail.com
helpbackup@email.tg	logiteam@protonmail.com	JohnCastle1000@protonmail.com
yourbackup@email.tg	colderman@mailfence.com	mccreight.ellery@tutanota.com
ventormi@airmail.cc	USDATAdecrypt@gmail.com	ragnarok_master@protonmail.com
colin_farel@aol.com	djangounchained@cock.li	djang0unchain3d@protonmail.com
mecybaki@firemail.c	support-1@bitmessage.ch	Cobra_Locker2.0@protonmail.com
black.mirror@qq.com	yakomoko@protonmail.com	chinadecrypt@fasthelpassia.com
DECRPT@tutanota.com	supermetasploit@cock.li	wyattpettigrew8922555@mail.com
strongman@india.com	supermetasploit@aol.com	chec1kyourf1les@protonmail.com
k.matroskin@aol.com	recoverydata@qbmail.biz	emergency911service@outlook.com
denis_help@inbox.ru	BobGreen85@tutanota.com	hacker_decryption@protonmail.ch
File-Help@India.Com	teamdecrypt@disroot.org	decrypterfile@mailfence.com.exe
qirapoo@firemail.cc	MyFiles1@ProtonMail.com	decoding_service@protonmail.com
AdamBrown89@aol.com	anonymous@academail.net	guaranteedsupport@protonmail.com
encryptfile@cock.li	savefile365@nuke.africa	Encryptedxtredboy@protonmail.com
brelox777@gmail.com	xmrlocker@protonmail.ch	officialintuitsoftware@gmail.com
bufalo@boximail.com	txdot911@protonmail.com	SilentDeathDecryptor@protonmail.com

　　表1. 黑客邮箱

　　系统安全防护数据分析

　　通过将2020年8月与7月的数据进行对比发现，本月各个系统占比变化均不大，位居前三的系统仍是Windows 7、Windows 10和Windows 8。

　　图8. 2020年8月被弱口令攻击系统占比图

　　以下是对2020年8月被攻击系统所属IP采样制作的地域分布图，与之前几个月采集到的数据进行对比，地区排名和占比变化都不大。数字经济发达地区仍是攻击的主要对象。

　　图9. 2020年8月弱口令攻击区域图

　　通过观察2020年8月弱口令攻击态势发现，RDP弱口令和MySQL弱口令攻击在本月的攻击态势整体无较大波动。MSSQL在本月有一次上涨。

　　图10. 2020年8月弱口令攻击态势图

　　MSSQL投毒拦截态势和以往几个月一样有一定的波动，但并无较大幅度的上涨或者下跌。

　　图11. 2020年MSSQL投毒拦截态势图

　　勒索病毒关键词

　　该数据来自lesuobingdu91huifu.com的搜索统计。(不包括WannCry、AllCry、TeslaCrypt、Satan、Kraken、Jsworm、X3m、WannaRen以及GandCrab几个家族)

　　· devos：属于phobos勒索病毒家族，由于被加密文件后缀会被修改为devos而成为关键词。该勒索病毒主要通过暴力破解远程桌面密码，拿到密码后手动投毒传播。

　　· eking：同devos。

　　· beijing: 属于BeijingCrypt勒索病毒家族，由于被加密文件后缀会被修改为beijing而成为关键词。该勒索病毒主要通过暴力破解远程桌面密码，拿到密码后手动投毒传播。

　　· boop:属于Stop勒索病毒家族，由于被加密文件后缀会被修改为boop而成为关键词。该勒索病毒主要通过伪装成激活工具或者破解软件诱导用户下载进行传播。

　　· C1H：属于GlobeImposter勒索病毒家族，由于被加密文件后缀会被修改为C1H而成为关键词。该勒索病毒主要通过暴力破解远程桌面密码，拿到密码后手动投毒传播。

　　· C4H:同C1H。

　　· Readinstructions：属于MedusaLocker勒索病毒家族，由于被加密文件后缀会被修改为Readinstruction而成为关键词。该勒索病毒主要通过暴力破解远程桌面密码，拿到密码后手动投毒传播。

　　· pgp: 属于Crysis勒索病毒家族。由于被加密文件后缀会被修改为pgp而成为关键词。该勒索病毒主要通过暴力破解远程桌面密码，拿到密码后手动投毒传播。

　　· roger:同pgp。

　　· dewar:同devos。

　　图12. 2020年8月关键词TOP10

　　解密大师

　　从解密大师本月解密数据看，本月解密量最大的是GandCrab，其次是Stop。使用解密大师解密文件的用户数量最高的仍是Stop家族的中招设备，其次则是Crysis家族的中招设备。

　　图13. 2020年解密大师解密情况图

　　总结

　　针对服务器的勒索病毒攻击依然是当下勒索病毒的一个主要方向，企业需要加强自身的信息安全管理能力——尤其是弱口令、漏洞、文件共享和远程桌面的管理，以应对勒索病毒的威胁，在此我们给各位管理员一些建议：

　　发现中勒索病毒后的正确处理流程：1.发现中毒机器应立即关闭其网络和该计算机。关闭网络能阻止勒索病毒在内网横向传播，关闭计算机能及时阻止勒索病毒继续加密文件。2.联系安全厂商，对内部网络进行排查处理。3.公司内部所有机器口令均应更换，你无法确定黑客掌握了内部多少机器的口令。

　　后续安全防护建议：

　　1. 多台机器，不要使用相同的账号和口令

　　2. 登录口令要有足够的长度和复杂性，并定期更换登录口令

　　3. 重要资料的共享文件夹应设置访问权限控制，并进行定期备份

　　4. 定期检测系统和软件中的安全漏洞，及时打上补丁。

　　5. 定期到服务器检查是否存在异常。查看范围包括：

　　(1) 是否有新增账户

　　(2) Guest是否被启用

　　(3) Windows系统日志是否存在异常

　　(4) 杀毒软件是否存在异常拦截情况

　　6. 安装安全防护软件，并确保其正常运行。

　　7. 从正规渠道下载安装软件。

　　8. 对不熟悉的软件，如果已经被杀毒软件拦截查杀，不要添加信任继续运行。

　　此外，无论是企业受害者还是个人受害者，都不建议支付赎金。支付赎金不仅变相鼓励了勒索攻击行为，而且解密的过程还可能会带来新的安全风险。

本站文章均为91数据恢复专业数据团队根据公司业务案例，数据恢复工作中整理发表，部分内容摘自权威资料，书籍，或网络原创文章，如有版权纠纷或者违规问题，请即刻联系我们删除，我们欢迎您分享，引用和转载，我们谢绝直接复制和抄袭，感谢！

返回首页上一篇：回顾2019：勒索病毒开始肆虐的年度危机下一篇：8月勒索病毒报告出炉：“传统三恶家族”强势依旧，“病毒后起之秀”发力不足

联络方式：

客服热线：400-1050-918

技术顾问：133-188-44580 166-6622-5144

邮箱：91huifu@91huifu.com

微信公众号

售前工程师1

售前工程师2

我们的业务: 勒索病毒数据恢复; 勒索病毒数据解密; 数据库修复; 中毒数据库解密; 企业安全防护

我们的案例: Phobos家族; GlobeImposter家族; Mallox家族; Makop家族; lockbit家族

我们的服务流程: 免费咨询/数据诊断分析; 评估报价/数据恢复方案; 确认下单/签订合同; 开始数据恢复专业施工; 数据验收/安全防御方案

我们的原创资讯: 勒索病毒数据恢复; 勒索病毒数据解密; 数据库修复; 中毒数据库解密; 企业安全知识

关于我们: 关于我们; 服务承诺; 常见问答; 招贤礼才; 联系我们

关注公众号

91数据恢复是一家专注于勒索病毒数据恢复、勒索病毒数据修复、数据库修复、数据库解密恢复、企业安全防护的专业数据处理服务商，公司在数据恢复方面目前已拥有多项专利技术，多项专业软件著作权，技术专业实力与创新性位列行业前茅。目前，公司已与多家一线数据厂商建立数据恢复技术研究的深度合作，在全国设立多个数据恢复研发中心，使公司长期具备行业一流的数据恢复技术及地位。

粤公网安备 44030502006563号

服务热线
- 服务热线 400-1050-918
- 技术顾问 133-188-44580 166-6622-5144
添加微信,免费咨询

用心将技术和服务遍布全中国 一切都是为了价值无法衡量的数据！

2020年8月，勒索病毒疫情传播情况分析报告

联络方式：

用心将技术和服务遍布全中国
一切都是为了价值无法衡量的数据！