近年来勒索病毒的快速兴起,给企业和个人带来了严重的威胁,360互联网安全中心针对勒索病毒进行了多方位的监控与防御。从本月数据来看,针对个人电脑进行传播的勒索病毒有所下降,针对服务器的勒索病毒又一次上涨。勒索病毒正在威胁广大网民的上网安全。

感染数据分析

通过对今年勒索病毒的感染数据进行分析统计,12月的感染量相对于11月的感染量有小幅度的下降。造成11月和12月感染趋势有所波动的原因主要有以下三个方面:

11月20日到11月27日通过U盘蠕虫传播的GandCrab勒索病毒持续上涨,并达到一个高峰期。虽然目前传播GandCrab勒索病毒的U盘蠕虫查杀量依然很高,但整体的最终感染量下降。
11月30日到12月2日这段时间UNNAMED1989 (网称”微信支付勒索病毒”)勒索病毒大规模传播,虽然杀毒软件均能有效查杀该病毒,但仍有不少用户中招。最后以加密方式被破解、作者被抓,此事件才告一段落。
对11月和12月勒索病毒的感染数据进行分析,在12月GlobeImposter家族和Crysis家族传播量有所上涨。

图1. 2018年反馈数据量统计

对360互联网安全中心监控的数据进行分析,在本月出现一次感染反馈快速下降是因为UNNAMED1989勒索病毒事件的出现并被快速解决。在12月5日左右出现一次小幅度的感染量上涨,是因为Satan家族在那个时间进行了一次更新,同时在这个时间节点前后,GlobeImposter家族又开始活跃起来。

图2. 12月勒索病毒反馈量趋势

对12月勒索病毒家族占比进行分析发现:本月GandCrab勒索病毒仍居首位,其主要传播渠道有两个——其一,通过爆破获取到远程桌面密码,手动投毒;其二,通过U盘蠕虫进行传播。

图3. 12月份勒索病毒反馈分布

从被感染系统占比分析,占比最高的依然是Windows7系统。相较于11月份数据来看Windows Server 2008系统的占比有所上升。

图4. 12月被感染系统统计

通过对11月和12月被感染系统进行分析,发现在12月个人电脑占比有所下降,服务器占比回升。

图5. 11月和12月被感染电脑类型对比图

勒索病毒最新情报

GandCrab相关情报

通过对360互联网安全中心的数据分析发现,GandCrab家族通过U盘蠕虫进行传播有一个周期性,每逢周末,传播趋势就会下降。

图6. GandCrab通过U盘蠕虫传播趋势

GandCrab通过漏洞进行传播在12月初达到一个顶峰,之后一下呈下降趋势。

图7. GandCrab漏洞传播趋势

Satan相关情报

Satan在12月2日更新了使用的密钥(后缀为lucky的版本),12月6日360解密大师就针对此次更新发布了相应的解密功能。该勒索病毒作者在12月8日再次更新勒索病毒版本,但是和往常不一样的是,此后虽然有过多次的版本更新,但并未发现进一步扩散的迹象(仅针对已被感染的机器进行病毒版本更新),故此总体的传播趋势没有上涨。

图8. Satan漏洞传播趋势

该勒索病毒作者自12月8日后更新的版本主要是对其加密算法进行更新,但可能由于代码编写的不规范,更新后的病毒在某些版本的Windows系统中无法正常运行。

图9. Satan更新后程序运行报错

图10. Satan更新前后代码比对

X3M勒索病毒相关情报

该勒索病毒家族的定名比较混乱,也常被称作CryptON、Nemesis、Cry36等。我们称其为X3M勒索病毒是因为其加密文件后添加的后缀使用过x3m(该后缀还被Globe勒索病毒家族使用过)。该勒索病毒从2017年开始传播,之前国内传播量极少,但在本月开始该勒索病毒在国内的传播量开始上涨。目前在国内的传播主要还是通过弱口令爆破获取用户机器远程桌面密码,手动投毒。目前该勒索病毒暂无技术破解方法。

图11. X3M勒索病毒提示信息

敲诈勒索邮件

在本月,不少用户反馈自己收到了勒索邮件(如图12)。该邮件声称通过路由器漏洞将恶意代码植入到用户机器上,并声称监控了你的一切隐私信息,以此威胁用户,如果不付款就公开你的这些“个人喜好”。

图12. 勒索邮件内容

在这里建议用户——不要付款!此类邮件均为黑客通过僵尸网络以垃圾邮件的形式进行发布,属于诈骗邮件。目前尚未发现任何人真如邮件内容所说的被监控隐私数据。

 

黑客信息

以下是12月以来黑客在使用的勒索病毒联系邮箱:

nmare@cock.li

Benjamin_Jack2811@aol1.com

colin_farel@aol3.com

payransom@qq.com

decryptdata@qq.com

email-lybot@rape.lol_mrscratch

Admin@decryption.biz

fastsupport@airmail2.cc

waltipanvi1983@aol.com

stopencrypt@qq.com

hellstaff@india1.com

johnsmith3210@india.com

fileslocker@pm2.me

travolta_john@aol1.com

tttttlocked@protonmail.com

decryptprof@qq.com

colin_farel@aol1.com

condneparrio1976@aol.com

unlock@cock.li

claymore@airmail.cc

eight@india.com

colin_farel@aol2.com

Fruttella1@outlook.com.

1btcpayment@protonmail.com

anticrypt@countermail.com

online24files@airmail2.cc

nmare@protonmail.com

fairman@cock.li

dreamunricha1981@aol.com

candy@firemail.cc

returnfiles@airmail.cc

AndDora@india.com

HelperBTC@cock.li

syndicateXXX@aol.com

文章原文链接:https://www.anquanke.com/post/id/169150