2019上半年勒索病毒家族概览

栏目: 编程工具 · 发布时间: 5年前

内容简介:截至2019年6月,勒索病毒的活跃度依旧高居不下,相对于刚进入大众视野时的“蠕虫式”爆发,如今的勒索病毒攻击活动越发具有目标性、隐蔽性,攻击者通常会破坏入侵过程留下的证据,使得溯源排查难以进行;勒索变种也趋于“无特征化”,如使用随机后缀、勒索信息文件无明显特征等,难以分辨其家族。高发勒索家族从勒索病毒家族来看,国内高发的勒索病毒家族主要有GlobeImposter、GandCrab、CrySiS、CroptON、Attention等:

截至2019年6月,勒索病毒的活跃度依旧高居不下,相对于刚进入大众视野时的“蠕虫式”爆发,如今的勒索病毒攻击活动越发具有目标性、隐蔽性,攻击者通常会破坏入侵过程留下的证据,使得溯源排查难以进行;勒索变种也趋于“无特征化”,如使用随机后缀、勒索信息文件无明显特征等,难以分辨其家族。

高发勒索家族

从勒索病毒家族来看,国内高发的勒索病毒家族主要有GlobeImposter、GandCrab、CrySiS、CroptON、Attention等:

2019上半年勒索病毒家族概览

受害行业分布

从勒索病毒攻击目标来看,企业、科研教育成为勒索病毒的主要目标行业,总占比达到52%;在企业受害用户中,文件服务器、财务服务器等存储重要数据文件的服务器通常是攻击者的首要目标:

2019上半年勒索病毒家族概览

受灾区域分布

从勒索病毒受灾区域来看,广东省地区受感染情况最为严重,其次是浙江省和湖南省:

2019上半年勒索病毒家族概览

攻击方式占比

从勒索病毒攻击方式来看,RDP暴力破解仍然是使用最为广泛的攻击方式,因此,将服务器3389端口映射到公网并使用简单密码,是非常容易受到勒索病毒入侵的,并且内网如果使用了相同的弱密码,可能导致多台终端遭到入侵;其次,社会工程也成为攻击者获取密码的一种方式,使用公司邮箱注册挖矿账号、注册不良网站账号等行为可能会带来密码泄露的风险:

2019上半年勒索病毒家族概览

2019上半年勒索病毒发展走向:

2019上半年勒索病毒家族概览

CrySiS勒索病毒jack变种

传播途径:社会工程、RDP远程爆破等方式手动投放

勒索特征:.jack

详细分析:https://mp.weixin.qq.com/s/aoR2eFtRi9K2rUNJQMX3Hg

2019上半年勒索病毒家族概览

Attention勒索病毒

传播途径:社会工程、RDP远程爆破等方式手动投放

勒索特征:大写的随机[10-12]个英文字母

详细分析:https://mp.weixin.qq.com/s/yU3jfTbl9CRp2BJEsGTSFw

2019上半年勒索病毒家族概览

Phobos勒索病毒

传播途径:RDP暴力破解+人工投放

勒索特征:[原文件名]+id[随机字符串]+[邮箱地址].phobos

详细分析:https://mp.weixin.qq.com/s/qe4MdwK6HAMHERF2xGo_EQ

2019上半年勒索病毒家族概览

2019上半年勒索病毒家族概览

Seon勒索病毒

传播途径:漏洞利用 工具 包Bizarro Sundown(GreenFlash)

勒索特征:.FIXT

详细分析:https://mp.weixin.qq.com/s/t_L9ARGiiCusImPvhB6ifA

2019上半年勒索病毒家族概览

2019上半年勒索病毒家族概览

CryptON

传播途径:RDP暴力破解+人工投放

勒索特征:id-[数字]_[[email protected]]_[[email protected]].x3m

详细分析:https://mp.weixin.qq.com/s/h4c0n1gV-ghp5CKTo83HZA

2019上半年勒索病毒家族概览

2019上半年勒索病毒家族概览

GandCrab v5.2

传播途径:钓鱼邮件、RDP暴力破解

勒索特征:随机后缀

详细分析:https://mp.weixin.qq.com/s/M93V2oWuwjdtOxI9-Vz6SQ

2019上半年勒索病毒家族概览

相关变种:GandCrab“蓝屏”变种

详细分析:https://mp.weixin.qq.com/s/0-5xweSvuGpDhHdNAMO6qg

2019上半年勒索病毒家族概览

X_Mister勒索病毒

传播途径:RDP暴力破解+人工投放

勒索特征:[原文件名]+[.Mr-X666]

详细分析:https://mp.weixin.qq.com/s/UOL7HwgS-nNjxLltAroNZA

2019上半年勒索病毒家族概览

Planetary勒索病毒

传播途径:RDP暴力破解、垃圾邮件

勒索特征:.pluto、.mecury、.Neptune、.yum、.mira后缀

详细分析:https://mp.weixin.qq.com/s/hoD1gqTC5IPjZhDT4o9Wdw

2019上半年勒索病毒家族概览

Golden Axe勒索病毒

传播途径:未知

勒索特征:五位随机字符后缀

详细分析:https://mp.weixin.qq.com/s/QaHJ1S-4zgH5IaUprekgHw

2019上半年勒索病毒家族概览

2019上半年勒索病毒家族概览

Tater勒索病毒

传播途径:RDP暴力破解+人工投放

勒索特征:“.tater”后缀

详细分析:https://mp.weixin.qq.com/s/fMTkQHX6icjyFnZV4B5VXw

2019上半年勒索病毒家族概览

LockerGoga勒索病毒

传播途径:定向攻击

勒索特征:”.locked”后缀

详细分析:https://mp.weixin.qq.com/s/Izl9dGKObok2Wlu_qh32_w

2019上半年勒索病毒家族概览

Paradise勒索病毒

传播途径:RDP暴力破解+人工投放

勒索特征:[原文件名]_[随机字符串]_{[email protected]}.p3rf0rm4

详细分析:https://mp.weixin.qq.com/s/O4uMtDdFWVmAh2VEP3n7Kg

2019上半年勒索病毒家族概览

2019上半年勒索病毒家族概览

GlobeImposter4.0变种

传播途径:社会工程、RDP暴力破解、恶意程序捆绑等

勒索特征:“.auchentoshan”后缀

详细分析:https://mp.weixin.qq.com/s/fmeZZiRmkfYi-K1H0RAKTg

2019上半年勒索病毒家族概览

JCry勒索病毒

传播途径:网页篡改

勒索特征:”.cry”后缀

详细分析:https://mp.weixin.qq.com/s/OnaWth1_Q5HtH8vEGQFnBA

2019上半年勒索病毒家族概览

2019上半年勒索病毒家族概览

CrazyCrypt2.1勒索病毒

传播途径:未知

勒索特征:“原文件名 + id.主机id.[[email protected]].crazy”

详细分析:https://mp.weixin.qq.com/s/ndf_F6xiNOvTw1LgYoP0kg

2019上半年勒索病毒家族概览

Gorgon(蛇发女妖)勒索病毒

传播途径:代理

勒索特征:.[[email protected]]后缀

详细分析:https://mp.weixin.qq.com/s/AMMD0Hm3IFNuKXvlpoY5nQ

2019上半年勒索病毒家族概览

2019上半年勒索病毒家族概览

Clop勒索病毒

传播途径:冒用有效的数字签名

勒索特征:”.Clop“后缀

详细分析:https://mp.weixin.qq.com/s/xQ8ycFhjuSAnbSzUHHYsqQ

2019上半年勒索病毒家族概览

Ryuk勒索病毒

传播途径:垃圾邮件、漏洞利用工具包

勒索特征:”.RYK”后缀

详细分析:https://mp.weixin.qq.com/s/5WlAyZvyfoiEmv4JQSTaVg

2019上半年勒索病毒家族概览

2019年6月,赚取了超过20亿美元赎金的GandCrab勒索软件团队宣布将在一个月内关闭其RaaS(勒索软件即服务)业务,然而,GandCrab的落幕并不代表勒索病毒时代的终结,只有加强安全防护意识,才能避免不必要的损失。

针对勒索病毒肆虐,严重影响用户业务安全问题,深信服已有完整的解决方案,主要从系统脆弱性和事件响应高效性两个方向进行重点突破。众所周知,企业系统脆弱性是企业被勒索病毒入侵的根因,也就是说,正是因为企业内部存在漏洞、弱密码、高危端口暴露等诸多问题,才给了黑客可乘之机;而勒索病毒不同于其它病毒,其主要危害是短时间内威胁企业核心数据资产,所以当勒索病毒发生的时候,必须进行争分夺秒的事件响应,高效和专业才能将勒索病毒的危害迅速降到最低。

系统脆弱性方面

勒索病毒入侵行为包括,弱密码爆破、端口扫描、钓鱼邮件以及采用无法被检测到的手段进行勒索(如0day),或者对没有实施监控措施的系统发起攻击,对于防御方来说都是无法看到的。特别是在漏洞公开到漏洞补丁发布的这个时间差内进行勒索,针对没有被企业集中管理和打补丁的系统进行勒索,并对安全设备和日志审计设备发起攻击,阻止这些设备进行记录或者抹去这些设备上的恶意活动记录,这样防御者就无法看到整体的勒索事件。

事件响应高效性

多数企业没有完善的响应流程,导致响应时决策和动作都很缓慢,当发生勒索病毒等重大安全事故时往往手足无措,没有可参考的流程。所以,在平时就需要进行应急响应的演练,需要流水线式的流程,明确的决策权和责任线。企业实践响应流程没有把勒索IoC反馈给监测和检测流程,使得防御者误以为态势已经被遏制住了。响应过程没有有效的对勒索真正利用的漏洞进行修补,这样黑客后续还能再从那个空子钻进来。蓄意攻击者利用应急响应流程,作为他们攻击计划的一部分,例如配合DDoS声东击西的进行勒索。

深信服安全团队提醒大家:

1、及时给电脑打补丁,修复漏洞。

2、对重要的数据文件定期进行非本地备份。

3、不要点击来源不明的邮件附件,不从不明网站下载软件。

4、尽量关闭不必要的文件共享权限。

5、更改账户密码,设置强密码,避免使用统一的密码,因为统一的密码会导致一台被攻破,多台遭殃。

6、如果业务上无需使用RDP的,建议关闭RDP。当出现此类事件时,推荐使用深信服防火墙,或者终端检测响应平台(EDR)的微隔离功能对3389等端口进行封堵,防止扩散!


以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

程序员2010精华本

程序员2010精华本

程序员杂志社 / 电子工业 / 2011-1 / 49.00元

《程序员(2010精华本)》主要内容:《程序员》创刊10年来,每年末编辑部精心打造的“合订本”已经形成一个品牌,得到广大读者的认可和喜爱。今年,《程序员》杂志内容再次进行了优化整合,除了每期推出的一个大型专题策划,各版块也纷纷以专题、策划的形式,将每月的重点进行了整合,让内容非常具有凝聚力,如专题篇、人物篇、实践篇等。另外杂志的版式、色彩方面也有了很大的飞跃,给读者带来耳目一新的阅读体验。一起来看看 《程序员2010精华本》 这本书的介绍吧!

JSON 在线解析
JSON 在线解析

在线 JSON 格式化工具

HEX HSV 转换工具
HEX HSV 转换工具

HEX HSV 互换工具

HSV CMYK 转换工具
HSV CMYK 转换工具

HSV CMYK互换工具