江苏11选5

勒索病毒的蔓(man)延,給(gei)企業和個人都帶(dai)來了sou)現(xian)氐陌踩 病60安全大腦針對勒索病毒進(jin)行(xing)了全方位的監控(kong)與防(fang)御。本(ben)月新(xin)增SpartCrypt、BRCrypt、Montserrtat以及Zeppelin四個較流行(xing)勒索病毒家族。

360解密(mi)大師在(zai)2019年12月新(xin)增了對MZRevenge和TRSomware家族的解密(mi)。

江苏11选5

分析本(ben)月勒索病毒家族佔比︰GlobeImposter家族佔17.06%,居首位;其次wen)欽急6.11%的phobos家族;Crysis家族以佔比15.64位居第三。與11月份(fen)的數據相(xiang)比,Stop家族的佔比變化最為(wei)明顯,從11月份(fen)的15.18%下降到本(ben)月的5.21%。

而從被(bei)感染系di)痴急瓤矗罕ben)月居前三的系di)橙允shi)Windows 7、Windows 10和Windows Server 2008。其中(zhong)本(ben)月Windows 7 佔比上漲明顯。從11月的 28.94%上升到本(ben)月的41.14%。

12月被(bei)感染系di)持zhong)桌面(mian)系di)澈頭wu)器系di)痴急認允shi),本(ben)月主要受攻擊的系di)橙暈wei)桌面(mian)系di)場S1月份(fen)的統(tong)計ping)xing)比較,桌面(mian)系di)痴急卻8%上升到79%。主要浮動來自Windows 7 系di)痴急鵲納仙/span>

此(ci)外(wai),我們還關注了360論壇che)睦賬韃《景蹇樵zai)12月的用戶反饋動態(https://bbs.360.cn/forum.php?mod=forumdisplay&fid=7592):

本(ben)月論壇反饋總計76個案(an)例,共涉及21個勒索病毒家族,其中(zhong)已支持解密(mi)家族共有3個(Nemesis、Petya、Crysis-old)。反饋家族TOP3依(yi)次為(wei)︰GlobeImposter、phobos、Crysis和Sodinokibi(並列第三)。反饋中(zhong)xing)xin)增的家族/變種包括︰buran、SpartCrypt、Montserrat三個家族。

江苏11选5

江苏11选5

Maze勒索病毒又被(bei)稱作(zuo)“迷宮勒索病毒”bei)頡hacha勒索病毒”,最早于2019年6月lue)詮誄魷xian)傳播(bo)。該mei)賬韃《頸ben)月被(bei)曝出,對不支付贖(shu)金(jin)的受害者(zhe),威脅公(gong)布涉密(mi)數據,迫使(shi)用戶支付贖(shu)金(jin)以yuan) 交窶li)目的。目ke)耙馴bei)其公(gong)布數據的受害者(zhe)有︰Southwrie(120GB)、DV-GROUP(7GB)、Fratelli Beretta(3GB)、加拿me)蟊O展gong)司(1.5GB)、彭(peng)薩(sa)科(ke)拉(la)市(2GB)等受害團體。

360安全大腦檢測到該病毒在(zai)6月份(fen)初入國內時(shi)主要通過網頁(ye)掛馬(ma)進(jin)行(xing)傳播(bo),而目ke)骯詵蠢〉母腥景an)例來看,其還會通過遠程桌面(mian)爆破投毒進(jin)行(xing)傳播(bo)。該病毒向一hua)閌芎φzhe)會索要價值2400美(mei)元(yuan)的比特(te)幣(bi) (針對定向攻擊的情(qing)況,贖(shu)金(jin)要數十(shi)萬甚至上百(bai)萬美(mei)元(yuan)) 。

江苏11选5

360安全大腦檢測到一款新(xin)型勒索病毒——MZRevenge,該mei)賬韃《臼shi)用作(zuo)者(zhe)自行(xing)修(xiu)改過的對稱加密(mi)算法,每個文件的加密(mi)密(mi)鑰相(xiang)同(tong)。之後使(shi)用硬編(bian)碼在(zai)病毒中(zhong)的AES256對稱加密(mi)算法密(mi)鑰對加密(mi)文件的密(mi)鑰進(jin)行(xing)加密(mi)。整個加密(mi)流程中(zhong)並未使(shi)用非對稱加密(mi)算法,這就導(dao)致使(shi)用硬編(bian)碼在(zai)病毒中(zhong)的密(mi)碼就可以yuan)永賬饜畔? shi)文件中(zhong)取得全局文件加密(mi)密(mi)鑰進(jin)行(xing)數據恢復(fu)。

??? 而MZRevenge勒索病毒的中(zhong)招用戶,可使(shi)用360解密(mi)大師解密(mi)對被(bei)加密(mi)的文件進(jin)行(xing)解密(mi)。

江苏11选5

??? Cl0p(也稱Clop)勒索病毒是(shi)CryptoMix勒索病毒家族的一個變種,該變種于2019年2月份(fen)開始出現(xian)。本(ben)次在(zai)國內傳播(bo)的是(shi)其最新(xin)變種,該變種相(xiang)比之前版本(ben)進(jin)行(xing)了多(duo)項(xiang)優化,比re)緇嵊畔燃用mi)2019年的文件,改用RC4算法提升加密(mi)速度,使(shi)用自定義算法來產生(sheng)隨機數等,而且在(zai)結束進(jin)程方面(mian),結束的進(jin)程列表量高達663個。更為(wei)重要的是(shi),該mei)賬韃《敬 bo)者(zhe)會針對特(te)定企業定向攻擊滲(shen)透,每個被(bei)攻擊企業被(bei)植入的病毒都是(shi)定制化的,從在(zai)受害者(zhe)機器上留下的勒索提示(shi)信息也可以看出,勒索信息中(zhong)不hua)ㄓ沒d信息(攻擊者(zhe)清楚每一家被(bei)他(ta)們攻擊的企業)。在(zai)贖(shu)金(jin)方面(mian),該mei)賬韃《疽﹤劬zai)百(bai)萬美(mei)元(yuan)之上,對企業的影響(xiang)巨大。

江苏11选5

Buran勒索病毒早期主要通過投遞垃圾郵件進(jin)行(xing)傳播(bo),而目ke)凹觳獾礁美(mei)賬韃《居殖魷xian)了新(xin)的變種。此(ci)次變種所采用的攻擊方式主要通過暴力(li)破ping)庠凍套爛mian)登錄口令後手動投毒,同(tong)時(shi)還會利(li)用已攻陷的機器作(zuo)為(wei)跳(tiao)板攻擊內網其他(ta)機器,導(dao)致內網機器批(pi)量被(bei)加密(mi)。該mei)賬韃《靜喚jin)會清空RDP連接記錄,系di)橙ri)志記錄,還會禁(jin)用事件記錄,從而隱藏攻擊來源(yuan)。

該mei)賬韃《灸殼(ke)壩辛礁霰渲鄭 莢zai)活躍中(zhong)︰變種1,修(xiu)改文件後綴(zhui)he)xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx];變種2,修(xiu)改文件後綴(zhui)he) xx-xxx-xxx。並留下勒索提示(shi)信息,讓用戶主動聯系黑客留下的郵箱咨(zi)詢解密(mi)相(xiang)關情(qing)況。

黑客信息披露(lu)

? ?

以下是(shi)本(ben)月搜(sou)集到的黑客郵箱信息︰

dresden@protonmail.com

decryptfiles@qq.com

RobSmithMba@protonmail.com

omg@onlinehelp.host

decryptfiles@countermail.com

zoye1596@protonmail.com

zeppelin_helper@tuta.io

decrypt@files.com

volscatisbi1974@protonmail.com

zeppelin_decrypt@xmpp.jp

decodeyourfiles@cock.li

notopen@countermail.com

murzik@jabber.mipt.ru

deccrypasia@yahoo.com

zandra_simone1995@protonmail.com

moncler@tutamail.com

deathransom@airmail.cc

noferasna1982@aol.com

notopen@cock.li

deadmin@420blaze.it

yoursalvations@protonmail.ch

noallpossible@cock.li

david-angel@sohu.com

cryptographythebest@gmail.com

youhaveonechance@cock.li

datarestore@iran.ir

newrecoveryrobot@pm.me

youcanwrite24h@airmail.cc

datarest0re@aol.com

neverdies@tutanota.com

you.help5@protonmail.com

cyborgyarraq@protonmail.ch

neo1312@protonmail.com

yeahdesync@airmail.cc

cyberdyne@foxmail.com

zeppelindecrypt@420blaze.it

yardimail2@aol.com

Cryptonium@cock.li

mr.obama21@protonmail.com

yardimail1@aol.com

nmare@cock.li

ContactReception@protonmail.com

winnipyh123@sj.ms

crypt@ctemplar.com

montserrat501@protonmail.com

WilliGarcia@protonmail.com

createhelp@protonmail.com

montserrat501@airmail.cc

nyton@cock.li

cosmecollings@aol.com

moneymaker2@india.com

volcano666@tutanota.de

morf56@meta.ua

zanzarah2019@tutanota.com

volcano666@cock.li

pain@cock.lu

merosadecryption@gmail.com

jones0helper@cock.li

collyhuwkmac@tutanota.com

MerlinWebster@aol.com

loplup@tutanota.com

cockroach@rape.lol

support@anonymous-service.cc

mailnitrom@airmail.cc

cockroach@cock.lu

mailnitrom@tutanota.com

unlock@royalmail.su

chitoz@protonmail.com

mailnitrom@protonmail.ch

unlock@graylegion.su

china.hepler@aol.com

Unlockme501@protonmail.ch

unblock@badfail.info

china.helpen@ao1.com

luciferenc@tutanota.com

tryopen@cock.li

burkbertie@musicradle.com

lordcracker@protonmail.com

foxbit@tutanota.com

locust@cock.li

unpedavol1972@protonmail.com

thunderhelp@airmail.cc

buratino@firemail.cc

buratin@torbox3uiot6wchz.onion

theonlyoption@qq.com

loplup@cock.li

buricoume1976@protonmail.com

theone@safetyjabber.com

Buddy@criptext.com

kippbrundell@magte.ch

tealjanos@aol.com

BTC@decoding.biz

kingsleygovan@krnas.com

sydney.fish@aol.com

btc2018@qq.com

keysfordecryption@jabb3r.org

sverdlink@aol.com

bron_lynn@aol.com

keysfordecryption@airmail.cc

supportrest1@cock.li

Blackmax@tutanota.com

kermy.stapleton@vuzup.com

supportdecrypt@firemail.cc

bitlocker@foxmail.com

kensgilbomet@protonmail.com

itsnotajoke@firemail.cc

BigBobRoss@protonmail.com

karrie.murphey@aol.com

manyfiles@aol.com

BigBobRoss@computer4u.com

jones0helper@countermail.com

support98@cock.li

Big8obRoss@protonmail.com

unumschooler1972@protonmail.com

support7164@firemail.cc

bexonvelia@aol.com

joker8881@protonmail.com

support4568@mail.fr

jjcryptor@cock2.li

suiren2852@protonmail.com

support.mbox@pm.me

back_filein@protonmail.com

bapuverge1985@protonmail.com

superuser111@0nl1ne.at

back_data@protonmail.com

jason.ving@tutanota.com

jodygomersall@aol.com

jackpot@jabber.cd

James_Langton_2019@protonmail.com

suiren2852@cock.li

backmyfiless@tutanota.com

backupmyfiles@protonmail.com

strang.shani@aol.com

backdata.company@aol.com

backcompanyfiles@protonmail.com

stocklock@airmail.cc

jackbtc@mail.ua

jabber-winnipyh123@sj.ms

stillmann.mnu@aol.com

asus2145@cock.li

jabber-theone@safetyjabber.com

stelskill@cock.li

asdbtc@aol.com

jabber-hellobuddy@sj.ms

stanley001@cock.li

asdasd333@default.rs

support@robsmithmba.com

sqlbackup2019@pm.me

hyena@rape.lol

isafeyourdata@protonmail.com

SoupMactavish@cock.li

apoyo2019@protonmail.com

ingalls.jan@inqwari.com

Skynet228@cock.li

apoyo2019@aol.com

info@bigbobross.website

hyena@cock.lu

angry_war@protonmail.ch

ImranZakhaev@protonmail.com

imdecrypt@aol.com

anamciveen@aol.com

sherminator.help@tutanota.com

seed@firemail.cc

altecpro@cock.li

iamheretohelpy0u@protonmail.com

SafeGman@tutanota.com

altec433@cock.li

ArcticBearSOS@protonmail.com

safegman@protonmail.com

altec1167@cock.li

Skynet1488@protonmail.com

SafeGman@firemail.cc

alleen.cowthwaite@aol.com

human_mystery@aol.com

rsa2048@cock.li

aliradada@tutanota.com

howdecript@tutanota.com

Fata54@cock.li

aliradada@protonmail.com

recoverydbservice@protonmail.com

file1m@yandex.com

aksdkja0sdp@ctemplar.com

recoverydata52@protonmail.com

restoringbackup@airmail.cc

Agent.DMR@protonmail.com

detwavuka1973@protonmail.com

restorehelp@qq.com

Agent.DMR@aol.com

heronpiston@xmpp.jp

reroman4@gmail.com

admincrypt@protonmail.com

heronpiston@ctemplar.com

requests2@memeware.net

admin@spacedatas.com

helpyou@countermail.com

recoveryhelp@airmail.cc

admin@sectex.net

helpservis@horsefucker.org

hinkle.s@aol.com

admin@secet.net.bot

helprestore@firemail.cc

recoverydata54@cock.li

admin@secet.bot

helpdesk_mz@aol.com

horsesert@xmpp.jp

admin@sctex.net

recovery94@protonmail.com

hellobuddy@sj.ms

admin@datastex.club

healermed@protonmail.ch

recoverdata@cock.lu

5ss5c@mail.ru

harmahelp73@gmx.de

GodSaveYou@tuta.io

4josefina@keemail.me

Hamlampampom@cock.li

file1@techie.com

gnus@nigge.rs

grusha2281@protonmail.com

Rans0me@protonmail.com

1btc@qbmail.biz

ReadME-Unlockme501@protonmail.ch

protected@firemail.cc

everbe@airmail.cc

GodSaveMe@tutamail.com

prndssdnrp@mail.fr

estelldstva@aol.com

1btcpayment@protonmail.com

prndssdnrp@foxmail.com

geerban@email.tg

elisa_abbott1983@protonmail.com

prnassdnrp@maill.fr

gaudrea@aol.com

getdecoding@protonmail.com

Philip.BTC@protonmail.com

embrace@airmail.cc

getbackdata@qq.com

pc.master@aol.com

gnus@cock.li

esliperre1971@protonmail.com

file1@protonmail.com

elamsanjit@airmail.cc

eninteste1987@protonmail.com

file1n@yandex.com

duncnock@gerdye.com

Galgalgalhalk@tutanota.com

deliverymax@tutanota.com

dresdent@protonmail4.com

truesoft77@protonmail.com

file1@keemail.me

dresden@protonmail.com

fox606@protonmail.com

decservice@mail.ru

dontworry@tuta.io

firstmaillog@protonmail.com

decryptors@xmpp.is

dontworry@hitler.rocks

dharma99@protonmail.com

decryptmasters@firemail.cc

dontworry@cock.li

decyourdata@protonmail.com

howdecript@cock.li

donshmon@cock.li

panda.in.prada@tutanota.com

divinebackup@tuta.io

evillocker@cock.li

panda.in.prada@outlook.com

divine@cock.lu

evillock@cock.li

returnmaster@aaathats3as.com

fhmjfjf@default.rs

everest@airmail.cc

rdpconnect@protonmail.com

表格1. 黑客郵箱

?

江苏11选5

通過對2019年11月和12月的數據進(jin)行(xing)對比發現(xian),在(zai)被(bei)攻擊系di)痴急確矯mian),Windows 7遭受到的遠程桌面(mian)弱口令攻擊從11月份(fen)的63.18%上升到本(ben)月的76.22%,上漲了13.04%,這也造成本(ben)月被(bei)攻擊桌面(mian)系di)車(che)惱急扔薪廈饗隕仙/span>

以下是(shi)對2019年12月被(bei)攻擊系di)乘P采樣制作(zuo)的地域分布圖,與之前幾個月采集到的數據進(jin)行(xing)對比,地區(qu)排(pai)名和佔比變化都不大。數字經(jing)濟發達地區(qu)仍是(shi)被(bei)攻擊的主要對象。

通過對2019年12月弱口令攻擊趨(qu)勢分析發現(xian),MSSQL弱口令攻擊在(zai)12月整體呈現(xian)下降趨(qu)勢。這和360安全大腦監測到的,利(li)用MSSQL攻擊渠道投毒的機器量的整體趨(qu)勢相(xiang)符。

江苏11选5

該數據來自lesuobingdu.360.cn的搜(sou)索統(tong)計。(不hua)annCry、AllCry、TeslaCrypt、Satan、Kraken、Jsworm、X3m以及GandCrab幾個查詢量被(bei)大幅干擾的家族)

? l? pig865qqz屬于GlobeImposter家族,由(you)于被(bei)加密(mi)文件後綴(zhui)會被(bei)修(xiu)改為(wei)pig865qqz而成為(wei)關鍵詞。該mei)賬韃《炯易逯饕  ├li)破ping)庠凍套爛mian)密(mi)碼,成功後手動投毒傳播(bo)。

? l? wecanhelp︰屬于Nemesis勒索病毒家族,該mei)賬韃《窘諭 ├li)破ping)庠凍套爛mian)進(jin)行(xing)傳播(bo)。該mei)賬韃《淨嵩zai)系di)持zhong)生(sheng)成一個temp000000.txt文檔,該文檔包含解密(mi)文件用的密(mi)鑰。一hua)愣薊岊bei)黑客直接you)境簦  shi)中(zhong)招用戶可以嘗(chang)試以下鏈接中(zhong)的方式找(zhao)回temp000000.txt的內容︰https://bbs.360.cn/thread-15782020-03-29.html

? l? rooster865qqz︰同(tong)pig865qqz。

? l? bitlocker@foxmail.com屬于Crysis勒索病毒家族,由(you)于文件被(bei)加密(mi)後會被(bei)加入admin@sectex.net而成為(wei)關鍵詞。該mei)賬韃《炯易逯饕  ├li)破ping)庠凍套爛mian)密(mi)碼,成功後手動投毒傳播(bo)。

? l? Readinstructions屬于MedusaLocker家族,由(you)于被(bei)加密(mi)文件後綴(zhui)會被(bei)修(xiu)改為(wei)Readtheinstructions而成為(wei)關鍵詞。該mei)賬韃《炯易逯饕  ├li)破ping)庠凍套爛mian)密(mi)碼,成功後手動投毒傳播(bo)。

? l? Harma︰同(tong)admin@sectex.net。不同(tong)點(dian)在(zai)于是(shi)文件後綴(zhui)被(bei)修(xiu)改為(wei)harma

? l? Hendrix︰同(tong)Readinstructions。

? l? Wiki︰同(tong)harma。

? l? Sodinokibi︰Sodinokibi為(wei)病毒家族名,由(you)于該mei)賬韃《淨嶠 bei)加密(mi)文件後綴(zhui)修(xiu)改成隨機後綴(zhui),因此(ci)大部分用戶用被(bei)加密(mi)文件後綴(zhui)會命中(zhong)Sodinokibi。該mei)賬韃《敬 bo)渠道較多(duo),目ke)叭栽zai)被(bei)使(shi)用的主要有兩個渠道,第一是(shi)投遞垃圾郵箱,第二是(shi)遠程桌面(mian)暴力(li)破ping)狻/span>

? l? china.helper@aol.com︰屬于GlobeImposter家族,該郵箱是(shi)黑客留在(zai)勒索提示(shi)信息中(zhong),用于和黑客進(jin)行(xing)交談使(shi)用。

江苏11选5

??? 從解密(mi)大師本(ben)月的解密(mi)統(tong)計數據看,本(ben)月解密(mi)量最大的仍是(shi)GandCrab,其次wen)imChinInSev。其中(zhong)使(shi)用解密(mi)大師解密(mi)文件的用戶數量最高的仍是(shi)Stop家族的中(zhong)招設備,其次則是(shi)Crysis家族的中(zhong)招設備。

江苏11选5

針對服務(wu)器的勒索病毒攻擊依(yi)然是(shi)當下勒索病毒的一個主要方向,企業需要加強(qiang)自身的信息安全管理能力(li)——尤其是(shi)弱口令、漏洞、文件共享和遠程桌面(mian)的管理,以應對勒索病毒的威脅,在(zai)此(ci)我們給(gei)各位管理員bi)恍┘jian)議︰

1.????? 多(duo)台機器,不要使(shi)用相(xiang)同(tong)的賬號和口令

2.????? 登錄口令要有足(zu)夠的長度和復(fu)雜性,並定期更換登錄口令

3.????? 重要資料的共享文件夾應設置訪問(wen)權限(xian)控(kong)制,並進(jin)行(xing)定期備份(fen)

4.????? 定期檢測系di)澈腿砑zhong)的安全漏洞,及時(shi)打上補丁。

5.????? 定期到jiao)wu)器檢查是(shi)否存(cun)在(zai)異常。查看範圍包括︰

a)????? 是(shi)否有xing)xin)增賬戶

b)???? Guest是(shi)否被(bei)啟用

c)????? Windows系di)橙ri)志是(shi)否存(cun)在(zai)異常

d)???? 殺毒軟件是(shi)否存(cun)在(zai)異常攔截情(qing)況

?

而對于本(ben)月又重新(xin)崛起的這對個人電腦發起攻擊的勒索病毒,建(jian)議廣大用戶︰

1.??? 安裝安全防(fang)護(hu)軟件,並確保其正常運行(xing)。

2.??? 從正規(gui)渠道下lue)匕滄叭砑/span>

3.??? 對不熟悉的軟件,如果(guo)已經(jing)被(bei)殺毒軟件攔截查殺,不要添(tian)加信任(ren)繼續運行(xing)。

此(ci)外(wai),無論是(shi)企業受害者(zhe)還是(shi)個人受害者(zhe),都不建(jian)議支付贖(shu)金(jin)。支付贖(shu)金(jin)不僅(jin)變相(xiang)鼓勵了勒索攻擊行(xing)為(wei),而且解密(mi)的過程還可能會帶(dai)來新(xin)的安全風險。

常見的勒索病毒,很多(duo)只加密(mi)文件頭部數據,對于某些類型的文件(如數據庫(ku)文件),可以嘗(chang)試通過數據修(xiu)復(fu)手段來挽(wan)回部分損失。如果(guo)不得不支付贖(shu)金(jin)的話(hua),可以嘗(chang)試和黑客協商來降低(di)贖(shu)金(jin)價格,同(tong)時(shi)在(zai)協商過程中(zhong)要避免暴露(lu)自己真實身份(fen)信息和緊急程度,以免黑客漫(man)天要價。


360安全衛士

江苏11选5

用戶
反饋
返(fan)回
頂部
江苏11选5 | 下一页