勒索病毒传播至今,360反勒索服务已累计接收到上万勒索病毒感染求助。随着新型勒索病毒的快速蔓延,企业数据泄露风险不断上升,数百万甚至上亿赎金的勒索案件不断出现。勒索病毒给企业和个人带来的影响范围越来越广,危害性也越来越大。360安全大脑针对勒索病毒进行了全方位的监控与防御,为需要帮助的用户提供360反勒索服务。
2021年4月,全球新增活跃勒索病:QLocker、WhiteBlackGroup、Jormungand、Cring、Wintenzz、GEHENNALocker、RIP_Imao、Runsomware、Nocry、CryBaby等。其中QLocker是本月新增针对QNAS设备进行攻击的勒索病毒,仅在短短五天的传播时间内便获得了26万美元的赎金。
感染数据分析
针对本月勒索病毒受害者所中勒索病毒家族进行统计,phobos家族占比18.50%居首位;其次是占比15.03%的GlobeImposter;Buran家族以11.45%位居第三。
QLocker虽未进入本月勒索病毒家族TOP10,但该勒索病毒家族利用7zip加密QNAS网络存储设备中的文件也给用户带来了不小的影响。
对本月受害者所使用的操作系统进行统计,位居前三是:Windows 10、Windows Server 2008以及Windows Server 2012。
2021年4月被感染的系统中桌面系统和服务器系统占比显示,受攻击的系统仍主要是桌面系统,比重与上月相比变化不大。
勒索病毒疫情分析
YourData疑似针对国内用户进行攻击
360安全大脑监控到一款名为YourData的勒索病毒正瞄准国内企业以及个人,从目前的监控来看该家族仍主要使用常见的暴力破解远程桌面口令成功后手动投毒。而该病毒在本月又出现了一个新的变种,在加密文件后会将后续修改为.kingdee。
该家族又被称作Hakbit、Thanos家族,最早出现于2019年11月。但在2021年1月中旬之前,该家族在国内实际发生的勒索案例并不多。此次在国内传播的变种主要特征为其联系邮箱为yourdata@RecoveryGroup.at,后缀更新过多次,但其接受谈判信息的邮箱一直未曾更改,且这几个变种只在国内出现过。怀疑该变种仅针对中国地区进行攻击。
华盛顿警方遭勒索病毒攻击,警方线人信息存在泄露风险
盛顿警方遭遇Babuk勒索病毒攻击,被窃取250GB数据。从目前公开的截图看,被窃取数据包括调查报告、警官纪律文件、当地团伙文件以及其他行政文件。该勒索病毒家族要求华盛顿警方在3天内和他们取得联系,超过时间将公布警方线人信息。同时该团伙还称他们还将继续攻击美国的州机构,并自称比FBI的CSA(网络盾牌联盟)更早发现0day,还将采取更大规模的攻击。
QLocker大规模传播,短短五天时间盈利26万美元
近日QNAP(威联通)的网络存储设备再次成为勒索病毒攻击对象,受害者设备上的文件均被使用7zip加密。QLocker勒索病毒首次发现于4月19日,而近日该家族开始大量传播,每天约有数百个QNAP设备被其感染。短短五天时间, QLokcer家族收到的赎金便高达26万美元。其单个设备赎金为500美元左右,粗略计算已有525个受害者中招。
此次事件黑客利用了最新修复的CVE-2020-36195(多媒体控制台和媒体流加载项SQL注入漏洞)。使用QNAP设备的用户应立即更新多媒体控制台、媒体流加载项和混合备份同步应用程序到最新版本,避免遭遇该勒索病毒攻击。
该勒索早期解密程序存在的BUG曾被国外安全研究员发现,并协助过50名受害者成功恢复文件,但目前黑客已修补该BUG。
因广达电脑遭遇勒索病毒攻击,导致其合作商苹果被勒索
全球第二大笔记型电脑研发涉及制造公司广达电脑遭遇Sodinokibi(REvil)勒索病毒攻击,被索要5000万美元作为赎金。攻击者还表示若支付日期超过4月27日,将需支付1亿美元赎金。此次攻击事件被窃取大量客户数据,目前尚不明确到底有多少客户数据被窃取,但其客户包括了苹果、戴尔、惠普 、亚马逊、思科、富士通、联想、LG等大型公司,目前苹果的部分设计图纸已被该团伙公布到暗网中。
在和广达电脑谈判时,广达电脑表示他们不关心客户和员工数据,允许黑客公布和出售所有数据。目前Sodinokibi(REvil)正尝试与苹果谈判,想尝试通过威胁苹果——称若其不购回被窃取数据,便将在春季发布会之前将苹果最新产品设计数据在暗网公布。
黑客信息披露
以下是本月搜集到的黑客邮箱信息:
表格1.黑客邮箱
当前,通过双重勒索模式获利的勒索病毒家族越来越多,勒索病毒所带来的数据泄露的风险也越来越大。以下是本月通过数据泄露获利的勒索病毒家族占比,该数据仅为未能第一时间缴纳赎金或拒缴纳赎金部分(因为第一时间联系并支付赎金的企业或个人不会在暗网中公布,因此无这部分数据)。
以下是本月被双重勒索病毒家族攻击的企业或个人。若未发现被数据存在泄露风险的企业或个人也请第一时间自查,做好数据已被泄露准备,采取补救措施。
CNE | PSU Technology | Cosmetica Laboratories |
Aldes | FOODLAND.COM | Matratzen Concord GmbH |
IPSEN | PLDevelopments | BEE LINE LOGISTICS, INC |
ALIZON | PB Swiss Tools | Quality Packaging, Inc. |
Vincle | Ford Meter Box | National Public Seating |
NewsRx | DT Engineering | MITCHAM INDUSTRIES INC |
ISOLVED | PROSOLARTEC.de | Município de Constância |
bdhouse | Kens Foods Inc. | BTU International, Inc. |
FNBNWFL | Gijima Holdings | Animal Behavior College |
DirickX | Comfort Keepers | Premi Beauty Industries |
OLOMOUC | TRAVELSTORE.COM | Marietton Développement |
AlohaABA | moba-automation | StoneGate Senior Living |
MSPharma | Hames Homes LLC | Plimpton and Hills Corp |
Capmatic | Houston Rockets | Readie Construction Ltd |
Apperton | apmmguntown.com | Hensley Beverage Company |
Bertucci | Call Assist Ltd | Bauder Roofing Solutions |
SpecPage | Absolute Dental | OAK VALLEY COMMUNITY BANK |
jpscu.com | Tata Steel GROUP | DeVincenzi Metal Products |
Gamma Spa | Vivida Assistans | JST Global, Acme-Hardesty |
DURHAM.CA | HOYA Corporation | CERINNOV, UNIPESSOAL, LDA |
EMO Trans | Zambon Group SpA | Cambridge Weight Plan Ltd |
Gorzynski | Lozano Smith LLP | Heartland Automotive, LLC |
CAVENDERS | The Village Vets | Città di Caselle Torinese |
Saddlemen | SOUTHERN ASPHALT | Illinois Attorney General |
Flaghouse | Braman Motorcars | Department of Agriculture |
Filtertek | Zambon Group SpA | OpTech Staffing Solutions |
HW Fisher | Cuddy & Feder LLP | Newcomb Secondary College |
HumanWare | B.W. Wilson Paper | Mairie de Marolles-en-Brie |
Nobiskrug | Pavages Maska Inc | Mevion Medical Systems Inc |
vgcargo.de | Harris Federation | MUNICIPIO DE QUATRO BARRAS |
paslin.com | Federal land inc. | Hardy Buoys Smoked Fish Inc |
Seven Seas | BOUTINEXPRESS.COM | American Signal Corporation |
SIUMED.EDU | kirwanspellacy.com | Protectim Security Services |
boulos.com | Nachi America Inc. | Kaleidoscope Charter School |
PNGC Power | Tristate Midstream | Edifice General Contractors |
aspire inc | Briggs Corporation | Iron Orbit Inc. and Clients |
mipharm.it | NEO DERM GROUP LTD | Active Business & Technology |
dwmrlaw.com | Pierre Fabre Group | Honeywell International Inc. |
Infolog Spa | RHA Health Service | Centro Hospitalar de Setúbal |
ginospa.com | Phone House España | Colorado River Indian Tribes |
PVR Cinemas | MURPHYBATTISTA.COM | Precision Terminal Logistics |
Lime Energy | Union High School | COMUNE DI VILLAFRANCA D'ASTI |
Matco-Norca | Harold Marcus Ltd. | Broward County Public Schools |
Habia Cable | Varner & Brandt LLP | VAUGHN CONCRETE PRODUCTS , INC |
ReklamStore | Rosco Manufactoring | NorthWest , Insuranse Services |
Komatsu Ltd | Greatwide Truckload | Presque Isle Police Department |
Kajima corp | C. Watkins Plumbing | ADUANAS Y SERVICIOS FORNESA SL |
Dade City FL | DIGroupArchitecture | McCurley Integrity Dealerships |
Curbell Inc. | Brown Strauss Steel | Campbell Sales and Service, Inc |
Khalili Center | Complete Automation | Innovative Office Solutions LLC |
Grupo Prilux | All Star Automotive | Bertucci's Oven Pizza and Pasta |
Cathar Games | Elite Software , Inc | Valley Transportation Authority |
Oré Peinture | Abu Issa Holding LLC | UPL (United Phosphorus Limited) |
Fonds Finanz | spiritlakecasino.com | Siemens Gamesa Renewable Energy |
Mankato Ford | Klenda Austerman LLC | Loma Systems - A Division of ITW |
Pocket Money | Fultz Maddox Dickens | Diversified Plastics Corporation |
omnidecor.net | Universal Group Inc. | Newbridge Securities Corporation |
Southwest KIA | Partit Nazzjonalista | [NASDAQ: DXYN] thedixiegroup.com |
Comune di Rho | Quanta Computer INC. | HealthCare Global Enterprises Ltd |
Comune di Rho | CREST Hotel & Suites | Metropolitan Police Department DC |
Carpenter Co. | Citizens Of Humanity | C.E.E. Schisler Packaging Solutions |
Pezutto Group | www.schnepsmedia.com | Intensive Care On-Line Network , Inc. |
Cairn Capital | Eduro Healthcare, LLC | Maestri Murrell Commercial Real Estate |
Interfel Corp | Thomas Concrete Group | Indonesia Infrastructure Guarantee Fund |
govnet of fiji | Options Greathire Ltd | Rogers Engineering & Manufacturing Co., Inc. |
Condor Ferries | Titanium Industries Inc | EMC, Electric Motor and Contracting Co., Inc |
CJ Selecta S/A | von Drehle Corporation | CONSORZIO INNOVAZIONE ENERGETICA RINNOVABILE |
supabets.co.za | ASBIS CZ, spol. s r.o. | Maharashtra Industrial Development Corporation |
Baker & Taylor | Ajuntament de Castelló | UNIONE DEI COLLI DIVINI NEL CUORE DEL MONFERRATO |
表格2.存在数据泄露风险公司
系统安全防护数据分析
通过将2021年3月与4月的数据进行对比,本月各个系统占比变化均不大,位居前三的系统仍是Windows 7、Windows 8和Windows 10。
以下是对2021年4月被攻击系统所属地域采样制作的分部图,与之前几个月采集到的数据进行对比,地区排名和占比变化均不大。数字经济发达地区仍是攻击的主要对象。
通过观察2021年4月弱口令攻击态势发现,RDP和MYSQL弱口令攻击整体无较大波动。MSSQL在本月大幅度下降。这可能和紫狐病毒存在一定关联。紫狐是一款通过会通过MSSQL弱口令爆破攻击进行传播的病毒,该家族的想通过感染更多机器来推广用户安装不需要的软件盈利。 在本月中旬该家族利用MSSQL传播的量大幅度下降。
以下是本月监控的紫狐病毒的活动趋势图,和MSSQL的攻击趋势大体符合。
勒索病毒关键词
以下是本月上榜活跃勒索病毒关键词统计,数据来自360勒索病毒搜索引擎。
devos: 该后缀有三种情况,均因被加密文件后缀会被修改为devos而成为关键词。本月活跃的是phobos勒索病毒家族,该家族的主要传播方式为:通过暴力破解远程桌面口令成功后手动投毒。
eking: 属于phobos勒索病毒家族,由于被加密文件后缀会被修改为eking而成为关键词。该家族主要的传播方式为:通过暴力破解远程桌面口令成功后手动投毒。
Lockbit: 属于Lockbit勒索病毒家族,由于被加密文件后缀会被修改为lockbit而成为关键词。该家族主要的传播方式为:通过暴力破解远程桌面口令成功后手动投毒。
Makop: 该后缀有两种情况, 均因被加密文件后缀会被修改为makop而成为关键词:
属于Makop勒索病毒家族,该家族主要的传播方式为:通过暴力破解远程桌面口令成功后手动投毒。
属于Cryptojoker勒索病毒家,通过“匿隐” 进行传播。
Dragon:属于Dragon勒索病毒家族,由于被加密文件后缀会被修改为dragon而成为关键词。该家族主要的传播方式为:通过暴力破解远程桌面口令成功后手动投毒。
solaso: 属于Cryptojoker勒索病毒家,由于被加密文件后缀会被修改为solaso而成为关键词,该家族的传播方式为:通过“匿隐” 僵尸网络进行传播。
Buran: 属于Buran勒索病毒家族,该家族主要的传播方式为:通过暴力破解远程桌面口令成功后手动投毒。
globeimposter-alpha666qqz:属于GlobeImposter勒索病毒家族,由于加密文件后后缀会被修改为globeimposter-alpha666qqz而成为关键词。该家族主要的传播方式为:通过暴力破解远程桌面口令成功后手动投毒。
globeimposter-alpha865qqz:同globeimposter-alpha666qqz。
globeimposter: 同globeimposter-alpha666qqz。
解密大师
从解密大师本月解密数据看,解密量最大的是GandCrab,其次是WannaRen。使用解密大师解密文件的用户数量最高的是被Crysis家族加密的设备,其次是被Stop家族加密的设备。
安全防护建议
面对严峻的勒索病毒威胁态势,360安全大脑分别为个人用户和企业用户给出有针对性的安全建议。希望能够帮助尽可能多的用户全方位的保护计算机安全,免受勒索病毒感染。
针对个人用户的安全建议
对于普通用户,360安全大脑给出以下建议,以帮助用户免遭勒索病毒攻击。
养成良好的安全习惯
电脑应当安装具有高级威胁防护能力和主动防御功能的安全软件,不随意退出安全软件或关闭防护功能,对安全软件提示的各类风险行为不要轻易采取放行操作。
可使用安全软件的漏洞修复功能,第一时间为操作系统和浏览器,常用软件打好补丁,以免病毒利用漏洞入侵电脑。
尽量使用安全浏览器,减少遭遇挂马攻击、钓鱼网站的风险。
重要文档、数据应经常做备份,一旦文件损坏或丢失,也可以及时找回。
电脑设置的口令要足够复杂,包括数字、大小写字母、符号且长度至少应该有8位,不使用弱口令,以防攻击者破解。
减少危险的上网操作
不要浏览来路不明的色情、赌博等不良信息网站,此类网站经常被用于发起挂马、钓鱼攻击。
不要轻易打开陌生人发来的邮件附件或邮件正文中的网址链接。也不要轻易打开扩展名为js 、vbs、wsf、bat、cmd、ps1等脚本文件和exe、scr、com等可执行程序,对于陌生人发来的压缩文件包,更应提高警惕,先使用安全软件进行检查后再打开。
电脑连接移动存储设备(如U盘、移动硬盘等),应首先使用安全软件检测其安全性。
对于安全性不确定的文件,可以选择在安全软件的沙箱功能中打开运行,从而避免木马对实际系统的破坏。
采取及时的补救措施
安装360安全卫士并开启反勒索服务,一旦电脑被勒索软件感染,可以通过360反勒索服务寻求帮助,以尽可能的减小自身损失。
针对企业用户的安全建议
企业安全规划建议
对企业信息系统的保护,是一项系统化工程,在企业信息化建设初期就应该加以考虑,建设过程中严格落实,防御勒索病毒也并非难事。对企业网络的安全建设,我们给出下面几方面的建议。
安全规划
网络架构,业务、数据、服务分离,不同部门与区域之间通过VLAN和子网分离,减少因为单点沦陷造成大范围的网络受到攻击。
内外网隔离,合理设置DMZ区域,对外提供服务的设备要做严格管控。减少企业被外部攻击的暴露面。
安全设备部署,在企业终端和网络关键节点部署安全设备,并日常排查设备告警情况。
权限控制,包括业务流程权限与人员账户权限都应该做好控制,如控制共享网络权限,原则上以最小权限提供服务。降低因为单个账户沦陷而造成更大范围影响。
数据备份保护,对关键数据和业务系统做备份,如离线备份,异地备份,云备份等,避免因为数据丢失、被加密等造成业务停摆,甚至被迫向攻击者妥协。
安全管理
账户口令管理,严格执行账户口令安全管理,重点排查弱口令问题,口令长期不更新问题,账户口令共用问题,内置、默认账户问题。
补丁与漏洞扫描,了解企业数字资产情况,将补丁管理作为日常安全维护项目,关注补丁发布情况,及时更新系统、应用系统、硬件产品安全补丁。定期执行漏洞扫描,发现设备中存在的安全问题。
权限管控,定期检查账户情况,尤其是新增账户。排查账户权限,及时停用非必要权限,对新增账户应有足够警惕,做好登记管理。
内网强化,进行内网主机加固,定期排查未正确进行安全设置,未正确安装安全软件设备,关闭设备中的非必要服务,提升内网设备安全性。
人员管理
人员培训,对员工进行安全教育,培养员工安全意识,如识别钓鱼邮件、钓鱼页面等。
行为规范,制定工作行为规范,指导员工如何正常处理数据,发布信息,做好个人安全保障。如避免员工将公司网络部署,服务器设置发布到互联网之中。
发现遭受勒索病毒攻击后的处理流程
发现中毒机器应立即关闭其网络和该计算机。关闭网络能阻止勒索病毒在内网横向传播,关闭计算机能及时阻止勒索病毒继续加密文件。
联系安全厂商,对内部网络进行排查处理。
公司内部所有机器口令均应更换,你无法确定黑客掌握了内部多少机器的口令。
遭受勒索病毒攻击后的防护措施
联系安全厂商,对内部网络进行排查处理。
登录口令要有足够的长度和复杂性,并定期更换登录口令
重要资料的共享文件夹应设置访问权限控制,并进行定期备份
定期检测系统和软件中的安全漏洞,及时打上补丁。
是否有新增账户
Guest是否被启用
Windows系统日志是否存在异常
杀毒软件是否存在异常拦截情况
登录口令要有足够的长度和复杂性,并定期更换登录口令
重要资料的共享文件夹应设置访问权限控制,并进行定期备份
定期检测系统和软件中的安全漏洞,及时打上补丁。
不建议支付赎金
最后——无论是个人用户还是企业用户,都不建议支付赎金!
支付赎金不仅变相鼓励了勒索攻击行为,而且解密的过程还可能会带来新的安全风险。可以尝试通过备份、数据恢复、数据修复等手段挽回部分损失。比如:部分勒索病毒只加密文件头部数据,对于某些类型的文件(如数据库文件),可以尝试通过数据修复手段来修复被加密文件。如果不得不支付赎金的话,可以尝试和黑客协商来降低赎金价格,同时在协商过程中要避免暴露自己真实身份信息和紧急程度,以免黑客漫天要价。若对方窃取了重要数据并以此为要挟进行勒索,则应立即采取补救措施——修补安全漏洞并调整相关业务,尽可能将数据泄露造成的损失降到最低。
