2018年9月国内勒索病毒疫情分析

2018-10-10 19:46:35

前言

勒索病毒给企业和个人数据安全带来了严重的威胁，360互联网安全中心针对勒索病毒进行了多方位的监控及防御。弱口令攻击在9月份整体有下降趋势；勒索病毒的反馈情况 9月份仍然在上涨。以GandCrab家族为代表的一类勒索病毒，开始大规模转向以漏洞方式进行传播。

感染数据分析

通过对今年勒索病毒的感染数据进行统计发现，虽然整体有所下降，但是从8月到9月被感染用户开始有上升趋势。9月份反馈量相对8月份增长主要原因是9月底GandCrab勒索病毒的一次集中爆发。

图1. 2018年反馈数量统计

根据360防护数据中心监控的数据，GandCrab在9月28当天达到了最高峰，该家族通过Tomcat，Apache，SQL等软件漏洞进行传播，利用powershell做加载工具执行木马，加密文件。

图2. 9月份勒索病毒感染趋势

从9月份的整体反馈数据看，通过对开启远程桌面协议(RDP)的服务器进行攻击来传播的方式仍然是黑客们的首选。其中Crysis家族的勒索病毒相对于8月份有明显的增长。通过我们分析发现，大量用户在遭到勒索病毒攻击之前就已经被黑客拿下，而黑客会首先发掘这些机器的其它价值，包括窃取数据、挖矿、做为跳板攻击内网机器等，最后在失去这些价值之后，才会选择投毒。

图3. 9月份勒索病毒分布

针对被感染系统进行分析，Windows7系统感染量仍是占比最大。

图4. 9月份被感染系统统计

但是通过对8月被感染系统和9月被感染系统进行对比，9月份被攻击的服务器系统从22%上升到24%。服务器被攻击的占比越来越大，其主要原因是服务器长时间运行期间，如果没有出现明显问题，管理员很少会去检查服务器状态。导致服务器受到攻击后，往往不会被第一时间发现，同时又没有及时修复漏洞或定期更改密码，导致最终文件被加密。此外，9月份GandCrab新增加了Tomcat、Apache、Jboss、WebLogic多用于服务器的软件的漏洞利用，这也是服务器系统占比增加的一个原因。

图5. 8、9月份被感染系统对比图

勒索病毒最新情报

感染量最大的两个勒索病毒家族仍是Crysis家族和GlobeImposter家族。其中Crysis家族新增后缀BRRR、BTC、BGTX、MONRO、BKP，但实际出现最多的依然是较早前已经出现的COMBO和BIP。GlobeImposter家族在9月份新增的后缀中，几个动物名+4444的后缀传播量最大，猜测后期可能会集齐十二生肖。

表1. Crysis,GlobeImposter量大家族后缀

GandCrab在9月份非常活跃，传播上增加了多种漏洞传播方式。病毒程序方面，做了多次更新，堪称9月份的"版本王"。其最新版本的勒索病毒对文件后缀不再是固定后缀，而是随机命名，并将后缀写入到注册表Softwarekeys_datadata中。同时新增了对win10提权漏洞(CVE-2018-0896)的利用。通过我们的监控数据分析， 9月中旬开始出现上涨趋势，并在9月28号达到最高峰，在我们收到的反馈中，9月28号被感染的用户数量也是最多的一天。

图6. 9月GandCrab传播趋势图

另外，我们还发现有黑客使用Fallout Exploit漏洞利用工具来传播GandCrab勒索病毒。同时在近期，该工具还被发现用来传播Kraken勒索病毒。Kraken是国外较为流行的一款勒索病毒，近期国内也出现了部分受害者。由此可以看出，勒索病毒传播者的信息交换与经验交流也是非常密切的。该勒索病毒将配置信息全部编写在了资源文件中，配置文件包含以下内容(仅部分)：

· 勒索病毒版本

· 加密文件公钥

· 黑客的联系邮箱

· 用户需要支付的比特币价格

· 加密后的文件后缀

· 会被加密的文件的后缀

· 跳过的文件夹

· 不被加密的文件

· 需要被停止的服务

图7. KraKen勒索病毒资源文件

Matrix勒索病毒是一款之前在国外传播勒索病毒，最近我们收到的此类勒索病毒的反馈也开始增加。该勒索病毒早期通过漏洞利用工具进行分发，在我们接到的求助中，用户机器是被黑客通过远程桌面登录到系统中后手动投毒导致服务器文件被加密。该勒索病毒采用AES-128结合RSA-2048的算法对文件进行加密，目前还无法进行技术解密。