欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

2018年12月勒索病毒疫情分析

来源:本站整理 作者:佚名 时间:2019-01-04 TAG: 我要投稿

近年来勒索病毒的快速兴起,给企业和个人带来了严重的威胁,360互联网安全中心针对勒索病毒进行了多方位的监控与防御。从本月数据来看,针对个人电脑进行传播的勒索病毒有所下降,针对服务器的勒索病毒又一次上涨。勒索病毒正在威胁广大网民的上网安全。
感染数据分析
通过对今年勒索病毒的感染数据进行分析统计,12月的感染量相对于11月的感染量有小幅度的下降。造成11月和12月感染趋势有所波动的原因主要有以下三个方面:
11月20日到11月27日通过U盘蠕虫传播的GandCrab勒索病毒持续上涨,并达到一个高峰期。虽然目前传播GandCrab勒索病毒的U盘蠕虫查杀量依然很高,但整体的最终感染量下降。
11月30日到12月2日这段时间UNNAMED1989 (网称”微信支付勒索病毒”)勒索病毒大规模传播,虽然杀毒软件均能有效查杀该病毒,但仍有不少用户中招。最后以加密方式被破解、作者被抓,此事件才告一段落。
对11月和12月勒索病毒的感染数据进行分析,在12月GlobeImposter家族和Crysis家族传播量有所上涨。

图1. 2018年反馈数据量统计
对360互联网安全中心监控的数据进行分析,在本月出现一次感染反馈快速下降是因为UNNAMED1989勒索病毒事件的出现并被快速解决。在12月5日左右出现一次小幅度的感染量上涨,是因为Satan家族在那个时间进行了一次更新,同时在这个时间节点前后,GlobeImposter家族又开始活跃起来。

图2. 12月勒索病毒反馈量趋势
对12月勒索病毒家族占比进行分析发现:本月GandCrab勒索病毒仍居首位,其主要传播渠道有两个——其一,通过爆破获取到远程桌面密码,手动投毒;其二,通过U盘蠕虫进行传播。

图3. 12月份勒索病毒反馈分布
从被感染系统占比分析,占比最高的依然是Windows7系统。相较于11月份数据来看Windows Server 2008系统的占比有所上升。

图4. 12月被感染系统统计
通过对11月和12月被感染系统进行分析,发现在12月个人电脑占比有所下降,服务器占比回升。

图5. 11月和12月被感染电脑类型对比图
勒索病毒最新情报
GandCrab相关情报
通过对360互联网安全中心的数据分析发现,GandCrab家族通过U盘蠕虫进行传播有一个周期性,每逢周末,传播趋势就会下降。

图6. GandCrab通过U盘蠕虫传播趋势
GandCrab通过漏洞进行传播在12月初达到一个顶峰,之后一下呈下降趋势。

图7. GandCrab漏洞传播趋势
Satan相关情报
Satan在12月2日更新了使用的密钥(后缀为lucky的版本),12月6日360解密大师就针对此次更新发布了相应的解密功能。该勒索病毒作者在12月8日再次更新勒索病毒版本,但是和往常不一样的是,此后虽然有过多次的版本更新,但并未发现进一步扩散的迹象(仅针对已被感染的机器进行病毒版本更新),故此总体的传播趋势没有上涨。

图8. Satan漏洞传播趋势
该勒索病毒作者自12月8日后更新的版本主要是对其加密算法进行更新,但可能由于代码编写的不规范,更新后的病毒在某些版本的Windows系统中无法正常运行。

图9. Satan更新后程序运行报错

图10. Satan更新前后代码比对
X3M勒索病毒相关情报
该勒索病毒家族的定名比较混乱,也常被称作CryptON、Nemesis、Cry36等。我们称其为X3M勒索病毒是因为其加密文件后添加的后缀使用过x3m(该后缀还被Globe勒索病毒家族使用过)。该勒索病毒从2017年开始传播,之前国内传播量极少,但在本月开始该勒索病毒在国内的传播量开始上涨。目前在国内的传播主要还是通过弱口令爆破获取用户机器远程桌面密码,手动投毒。目前该勒索病毒暂无技术破解方法。

图11. X3M勒索病毒提示信息
敲诈勒索邮件
在本月,不少用户反馈自己收到了勒索邮件(如图12)。该邮件声称通过路由器漏洞将恶意代码植入到用户机器上,并声称监控了你的一切隐私信息,以此威胁用户,如果不付款就公开你的这些“个人喜好”。

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载