• <noframes id="zc7ly"></noframes>
  • <nav id="zc7ly"><xmp id="zc7ly"><nav id="zc7ly"></nav>
  • <tbody id="zc7ly"></tbody>
  • <tbody id="zc7ly"></tbody>
  • 用心將技術和服務遍布全中國
    一切都是為了價值無法衡量的數據!



    2020年8月,勒索病毒疫情傳播情況分析報告

    2021-09-08 14:39:02 64399 編輯:91數據恢復專家 來源:本站原創

    UhA91數據恢復-數據恢復專家

      勒索病毒傳播至今,91數據恢復已累計收到上萬勒索病毒感染求助。勒索病毒的蔓延,給企業和個人都帶來了嚴重的安全威脅。91數據恢復對勒索病毒進行了全方位的監控與防御。本月新增WastedLocker、Zbw、FonixCrypter、TapPif、SunCrypt等勒索病毒家族。UhA91數據恢復-數據恢復專家

      感染數據分析UhA91數據恢復-數據恢復專家

      分析本月勒索病毒家族占比:phobos家族占比22%居首位;其次是占比13.6%的Crysis;GlobeImposter家族以占比12%位居第三。本月新出現勒索并未有大量傳播態勢。上個月新出現的BeijingCrypt本月占比雖仍位居第六,但在本月的傳播呈現下降態勢。UhA91數據恢復-數據恢復專家

    UhA91數據恢復-數據恢復專家

      圖1. 2020年8月勒索病毒家族占比UhA91數據恢復-數據恢復專家

      從被感染系統占比看:本月位居前三的系統是:Windows 7、Windows10和Windows 2012。和上個月相同,本次統計的系統占比數據在原有的反勒索服務數據上新增了交流群反饋數據。之后報告默認為兩個數據來源,不再單獨標注。UhA91數據恢復-數據恢復專家

    UhA91數據恢復-數據恢復專家

      圖2. 2020年8月被感染系統占比UhA91數據恢復-數據恢復專家

      2020年8月被感染系統中桌面系統和服務器系統占比顯示,受攻擊的主要系統仍是個人桌面系統。UhA91數據恢復-數據恢復專家

    UhA91數據恢復-數據恢復專家

      圖3. 2020年8月被感染系統占比UhA91數據恢復-數據恢復專家

      勒索病毒疫情分析UhA91數據恢復-數據恢復專家

      Pojie勒索病毒家族UhA91數據恢復-數據恢復專家

      這款名為Pojie的勒索病毒,最早在2020年7月份利用"協助脫殼"、"有償修改代碼"等誘騙用戶下載并植入勒索病毒進行傳播。在本月,該勒索病毒傳播者利用酷Q機器人停止支持這一事件,將勒索病毒偽裝成本地版酷Q進行傳播。用戶一旦運行,文件將被加密,同時后綴將會被修改為itunes.UhA91數據恢復-數據恢復專家

    UhA91數據恢復-數據恢復專家

      圖4. 被Pojie勒索病毒加密的文件UhA91數據恢復-數據恢復專家

      360解密大師在捕獲到該勒索病毒后便成功破解該勒索病毒,并提供解密支持。受害者可使用解密大師對文件進行解密。UhA91數據恢復-數據恢復專家

    UhA91數據恢復-數據恢復專家

      圖5. 解密大師解密被Pojie加密的文件UhA91數據恢復-數據恢復專家

      WastedLocker勒索病毒家族UhA91數據恢復-數據恢復專家

      WastedLocker勒索病毒最早是在2020年4月份開始出現,該勒索病毒主要將具有高價值的企業作為攻擊目標。7月底該勒索病毒由于成功攻擊Garmin公司,導致該公司關閉兩天生產線而引起廣泛關注。該事件一直持續到8月初才告一段落,但是WastedLocker的傳播仍在繼續。UhA91數據恢復-數據恢復專家

      據悉該勒索病毒背后是由俄羅斯的EvilCorp網絡犯罪組織制作并傳播。不過在眾多針對的企業的勒索病毒中,WastedLocker似乎是少有的不公布受害者數據進行二次威脅的勒索病毒。該犯罪組織在收取贖金時,一般在50萬美元到數千萬美元之間。勒索病毒運行后會修改文件后綴為garminwasted,并為每個文件生成一個勒索提示信息。UhA91數據恢復-數據恢復專家

    UhA91數據恢復-數據恢復專家

      圖5. 被WastedLocker加密的文件UhA91數據恢復-數據恢復專家

      Stop勒索病毒家族UhA91數據恢復-數據恢復專家

      Stop勒索病毒是一個長期活躍的勒索病毒家族,在本月,"歪果仁研究協會"由于該勒索病毒影響而導致將近8個月的視頻素材全部被加密。該勒索病毒傳播至今,主要傳播渠道一直是通過偽裝成激活工具或者破解軟件誘導用戶下載,其中由于運行"Windows激活工具"而中招的最多,此次"歪果仁研究協會"最早也是被該家族攻擊。UhA91數據恢復-數據恢復專家

    UhA91數據恢復-數據恢復專家

      圖6. "歪果仁研究協會"被勒索UhA91數據恢復-數據恢復專家

      通過對該事件的跟蹤,發現"歪果仁研究協會"在后續的處理過程中,由于處理不當導致其文件不僅被Stop勒索病毒加密,還被Crysis、Lockbit以及BigLock勒索病毒加密,從收到的被加密文件看,其文件被加密次數從8次到12次不等,還有可能被更多次加密。針對此類事件需要再次提醒用戶,若中招請參考本文中總結中的推薦處理流程進行處理。避免再次受到傷害。UhA91數據恢復-數據恢復專家

    UhA91數據恢復-數據恢復專家

      圖7. "歪果仁協"會被就加密文件UhA91數據恢復-數據恢復專家

      黑客信息披露UhA91數據恢復-數據恢復專家

      以下是本月搜集到的黑客郵箱信息:UhA91數據恢復-數據恢復專家

    qa458@ya.ru abc@countermail.com encryptboys@tutanota.com
    d7516@ya.ru de_cryption@tuta.io FileFixer@ProtonMail.com
    zd588@ya.ru telegram_@spacedatax LaoXinWon@protonmail.com
    ncov@cock.li Decoding@zimbabwe.su unl0ckerpkx@tutanota.com
    week1@tuta.io {colin_farel@aol.com scarry38@horsefucker.org
    tcprx@cock.li datalost@foxmail.com inc_evilsi@protonmail.ch
    ucos2@elude.in naqohiky@firemail.cc decoding_service@aol.com
    ucos2@elude.im miclejaps@msgden.net decoderma@protonmail.com
    zacapa@cock.li mylifeisfear@cock.li VoidFiles@protonmail.com
    OneWay@cock.li sleepme134@gmail.com SoporteVoid@tutanota.com
    dzec1@mail.com Trojan.Generic@ML.92 Hichkasam@protonmail.com
    zacapa@tuta.io SupportVoid@elude.in protohelp@protonmail.com
    Mayth24@aol.xom makbigfast@india.com ambrosiaa@protonmail.com
    beijing@aol.com jack-daniels22@bk.ru getscoin2@protonmail.com
    info@decrypt.ws RihabYaman@india.com AdamBrown89@tutamail.com
    zuzya@india.com inter7a@tutanota.com AdamBrown89@criptext.com
    Jackondra@Ya.Ru Jackondra@Bigmir.Net freelockermail@gmail.com
    jes_cir@list.ru avalona.toga@aol.com jj.greemsy@mailfence.com
    Mayth24@aol.com ambrosiaa@bigmir.net greemsy.jj@protonmail.ch
    Mayth24@tuta.io protomolecule@gmx.us help.me24@protonmail.com
    H911X@yahoo.com File-Help1@Yandex.ru notgoodnews@tutanota.com
    decrypt@files.mn 0x69x@protonmail.com geneve010@protonmail.com
    mrromber@cock.li Backdata@zimbabwe.su geneve020@protonmail.com
    safronov@cock.li 9869420@tutanota.com rsaencrypt@protonmail.ch
    JustBTC@elude.in FridaFarko@yahoo.com fast_helpassia777@aol.com
    ghostmax@cock.li Hubble77@tutanota.com worcservice@protonmail.ch
    evandos@email.cz creampie@ctemplar.com stevenxx134@gmail.com.exe
    data97@india.com fastwindGlobe@mail.ee madeinussr@protonmail.com
    xitreu@india.com qhrghghk@tutanota.com Steven77xx@protonmail.com
    HarmaENC@Cock.li mrromber@tutanota.com Pentagon11@protonmail.com
    akzhq808@cock.li stevenxx134@gmail.com LizardBkup@protonmail.com
    sales@onserve.ca protomolecule@gmx.com mortalis_certamen@aol.com
    decrypt20@vpn.tg support@bitmessage.ch mortalis_certamen@zoho.eu
    helpme24@tuta.io paymantsystem@cock.li ctb-decrypt@bitmessage.ch
    xmmh@tutamail.com johncastle@msgsafe.io decryptallfiles@india.com
    Help244@Yandex.ru decrypt20@firemail.cc omegawatch@protonmail.com
    zuzyamail@aol.com enabledecrypt@aol.com zacapa2020@protonmail.com
    scott.clark@bk.ru Zagrec@protonmail.com newhelper24@protonmail.ch
    votrefile@tuta.io anticrypt2020@aol.com Lianaytman@protonmail.com
    norahghnq@gmx.com res_reserve@india.com decrypt@fasthelpassia.com
    zyrkal@airmail.cc decryption@zimbabwe.su FridaFarko@protonmail.com
    newhelper@cock.li time2relax@firemail.cc helpdiamond@protonmail.com
    Crypt@zimbabwe.su stevenjoker@msgden.net decoderma@tutanota.com.exe
    xmrlocker@goat.si china_jm@protonmail.ch coronavirus19@tutanota.com
    Logan8833@aol.com decoderma@tutanota.com DECRPToffice@gmail.com.exe
    cryptlive@aol.com VoidFiles@tutanota.com frogo_my_frend@freemail.hu
    res_sup@india.com DECRPToffice@gmail.com encrypted2017@tutanota.com
    steven77xx@mail.ru natali_bond90@inbox.ru encryptfile@protonmail.com
    hosdecoder@aol.com contatomaktub@email.tg nefartanulo@protonmail.com
    Elmershawn@aol.com bitlander@armormail.ne getthefiles@protonmail.com
    happydaayz@aol.com darkmask@mailfence.com mr.crypteur@protonmail.com
    milleni5000@qq.com gnidhyg@protonmail.com aam_sysadmin@protonmail.com
    keyinfo24@mail.com Mayth24@protonmail.com emergencychina@tutanota.com
    infokey24@mail.com JustBTC@ProtonMail.com decrypterfile@mailfence.com
    BobGreen85@aol.com Malakot@protonmail.com BrillianceBK@protonmail.com
    xatixxatix@mail.fr getthefiles@airmail.cc clark.rotband@mailfence.com
    Greenarrow@cock.li doltafukno@sina.com.cn Murdochjoumo@protonmail.com
    myfiles@msgsafe.io res_sup@computer4u.com fastwindGlobe@protonmail.com
    myfiles@airmail.cc tsai.shen@mailfence.com missdecryptor@protonmail.com
    raboly@firemail.cc BobGreen85@criptext.com decrypterfile@protonmail.com
    ranbarron88@qq.com pianist6@protonmail.com FushenKingdee@protonmail.com
    squadhack@email.tg ftsbk24h@protonmail.com DharmaParrack@protonmail.com
    geri_glenn@aol.com qhrghghk@protonmail.com Jason897.help@protonmail.com
    FridaFarko@aol.com infantbernarr@yahoo.com Ricardogurtress@tutanota.com
    sealocker@daum.net helling.ramon@yahoo.com MasterFile001@protonmail.com
    r4ns0m@tutanota.com xtredboy@protonmail.com itunes_decrypt@protonmail.com
    openpgp@foxmail.com scarry5@horsefucker.org cashdashsentme@protonmail.com
    helpbackup@email.tg logiteam@protonmail.com JohnCastle1000@protonmail.com
    yourbackup@email.tg colderman@mailfence.com mccreight.ellery@tutanota.com
    ventormi@airmail.cc USDATAdecrypt@gmail.com ragnarok_master@protonmail.com
    colin_farel@aol.com djangounchained@cock.li djang0unchain3d@protonmail.com
    mecybaki@firemail.c support-1@bitmessage.ch Cobra_Locker2.0@protonmail.com
    black.mirror@qq.com yakomoko@protonmail.com chinadecrypt@fasthelpassia.com
    DECRPT@tutanota.com supermetasploit@cock.li wyattpettigrew8922555@mail.com
    strongman@india.com supermetasploit@aol.com chec1kyourf1les@protonmail.com
    k.matroskin@aol.com recoverydata@qbmail.biz emergency911service@outlook.com
    denis_help@inbox.ru BobGreen85@tutanota.com hacker_decryption@protonmail.ch
    File-Help@India.Com teamdecrypt@disroot.org decrypterfile@mailfence.com.exe
    qirapoo@firemail.cc MyFiles1@ProtonMail.com decoding_service@protonmail.com
    AdamBrown89@aol.com anonymous@academail.net guaranteedsupport@protonmail.com
    encryptfile@cock.li savefile365@nuke.africa Encryptedxtredboy@protonmail.com
    brelox777@gmail.com xmrlocker@protonmail.ch officialintuitsoftware@gmail.com
    bufalo@boximail.com txdot911@protonmail.com SilentDeathDecryptor@protonmail.com

      表1. 黑客郵箱UhA91數據恢復-數據恢復專家

      系統安全防護數據分析UhA91數據恢復-數據恢復專家

      通過將2020年8月與7月的數據進行對比發現,本月各個系統占比變化均不大,位居前三的系統仍是Windows 7、Windows 10和Windows 8。UhA91數據恢復-數據恢復專家

    UhA91數據恢復-數據恢復專家

      圖8. 2020年8月被弱口令攻擊系統占比圖UhA91數據恢復-數據恢復專家

      以下是對2020年8月被攻擊系統所屬IP采樣制作的地域分布圖,與之前幾個月采集到的數據進行對比,地區排名和占比變化都不大。數字經濟發達地區仍是攻擊的主要對象。UhA91數據恢復-數據恢復專家

    UhA91數據恢復-數據恢復專家

      圖9. 2020年8月弱口令攻擊區域圖UhA91數據恢復-數據恢復專家

      通過觀察2020年8月弱口令攻擊態勢發現,RDP弱口令和MySQL弱口令攻擊在本月的攻擊態勢整體無較大波動。MSSQL在本月有一次上漲。UhA91數據恢復-數據恢復專家

    UhA91數據恢復-數據恢復專家

      圖10. 2020年8月弱口令攻擊態勢圖UhA91數據恢復-數據恢復專家

      MSSQL投毒攔截態勢和以往幾個月一樣有一定的波動,但并無較大幅度的上漲或者下跌。UhA91數據恢復-數據恢復專家

    UhA91數據恢復-數據恢復專家

      圖11. 2020年MSSQL投毒攔截態勢圖UhA91數據恢復-數據恢復專家

      勒索病毒關鍵詞UhA91數據恢復-數據恢復專家

      該數據來自lesuobingdu91huifu.com的搜索統計。(不包括WannCry、AllCry、TeslaCrypt、Satan、Kraken、Jsworm、X3m、WannaRen以及GandCrab幾個家族)UhA91數據恢復-數據恢復專家

      · devos:屬于phobos勒索病毒家族,由于被加密文件后綴會被修改為devos而成為關鍵詞。該勒索病毒主要通過暴力破解遠程桌面密碼,拿到密碼后手動投毒傳播。UhA91數據恢復-數據恢復專家

      · eking:同devos。UhA91數據恢復-數據恢復專家

      · beijing: 屬于BeijingCrypt勒索病毒家族,由于被加密文件后綴會被修改為beijing而成為關鍵詞。該勒索病毒主要通過暴力破解遠程桌面密碼,拿到密碼后手動投毒傳播。UhA91數據恢復-數據恢復專家

      · boop:屬于Stop勒索病毒家族,由于被加密文件后綴會被修改為boop而成為關鍵詞。該勒索病毒主要通過偽裝成激活工具或者破解軟件誘導用戶下載進行傳播。UhA91數據恢復-數據恢復專家

      · C1H:屬于GlobeImposter勒索病毒家族,由于被加密文件后綴會被修改為C1H而成為關鍵詞。該勒索病毒主要通過暴力破解遠程桌面密碼,拿到密碼后手動投毒傳播。UhA91數據恢復-數據恢復專家

      · C4H:同C1H。UhA91數據恢復-數據恢復專家

      · Readinstructions:屬于MedusaLocker勒索病毒家族,由于被加密文件后綴會被修改為Readinstruction而成為關鍵詞。該勒索病毒主要通過暴力破解遠程桌面密碼,拿到密碼后手動投毒傳播。UhA91數據恢復-數據恢復專家

      · pgp: 屬于Crysis勒索病毒家族。由于被加密文件后綴會被修改為pgp而成為關鍵詞。該勒索病毒主要通過暴力破解遠程桌面密碼,拿到密碼后手動投毒傳播。UhA91數據恢復-數據恢復專家

      · roger:同pgp。UhA91數據恢復-數據恢復專家

      · dewar:同devos。UhA91數據恢復-數據恢復專家

    UhA91數據恢復-數據恢復專家

      圖12. 2020年8月關鍵詞TOP10UhA91數據恢復-數據恢復專家

      解密大師UhA91數據恢復-數據恢復專家

      從解密大師本月解密數據看,本月解密量最大的是GandCrab,其次是Stop。使用解密大師解密文件的用戶數量最高的仍是Stop家族的中招設備,其次則是Crysis家族的中招設備。UhA91數據恢復-數據恢復專家

    UhA91數據恢復-數據恢復專家

      圖13. 2020年解密大師解密情況圖UhA91數據恢復-數據恢復專家

      總結UhA91數據恢復-數據恢復專家

      針對服務器的勒索病毒攻擊依然是當下勒索病毒的一個主要方向,企業需要加強自身的信息安全管理能力——尤其是弱口令、漏洞、文件共享和遠程桌面的管理,以應對勒索病毒的威脅,在此我們給各位管理員一些建議:UhA91數據恢復-數據恢復專家

      發現中勒索病毒后的正確處理流程:1.發現中毒機器應立即關閉其網絡和該計算機。關閉網絡能阻止勒索病毒在內網橫向傳播,關閉計算機能及時阻止勒索病毒繼續加密文件。2.聯系安全廠商,對內部網絡進行排查處理。3.公司內部所有機器口令均應更換,你無法確定黑客掌握了內部多少機器的口令。UhA91數據恢復-數據恢復專家

      后續安全防護建議:UhA91數據恢復-數據恢復專家

      1. 多臺機器,不要使用相同的賬號和口令UhA91數據恢復-數據恢復專家

      2. 登錄口令要有足夠的長度和復雜性,并定期更換登錄口令UhA91數據恢復-數據恢復專家

      3. 重要資料的共享文件夾應設置訪問權限控制,并進行定期備份UhA91數據恢復-數據恢復專家

      4. 定期檢測系統和軟件中的安全漏洞,及時打上補丁。UhA91數據恢復-數據恢復專家

      5. 定期到服務器檢查是否存在異常。查看范圍包括:UhA91數據恢復-數據恢復專家

      (1) 是否有新增賬戶UhA91數據恢復-數據恢復專家

      (2) Guest是否被啟用UhA91數據恢復-數據恢復專家

      (3) Windows系統日志是否存在異常UhA91數據恢復-數據恢復專家

      (4) 殺毒軟件是否存在異常攔截情況UhA91數據恢復-數據恢復專家

      6. 安裝安全防護軟件,并確保其正常運行。UhA91數據恢復-數據恢復專家

      7. 從正規渠道下載安裝軟件。UhA91數據恢復-數據恢復專家

      8. 對不熟悉的軟件,如果已經被殺毒軟件攔截查殺,不要添加信任繼續運行。UhA91數據恢復-數據恢復專家

      此外,無論是企業受害者還是個人受害者,都不建議支付贖金。支付贖金不僅變相鼓勵了勒索攻擊行為,而且解密的過程還可能會帶來新的安全風險。UhA91數據恢復-數據恢復專家

    本站文章均為91數據恢復專業數據團隊根據公司業務案例,數據恢復工作中整理發表,部分內容摘自權威資料,書籍,或網絡原創文章,如有版權糾紛或者違規問題,請即刻聯系我們刪除,我們歡迎您分享,引用和轉載,我們謝絕直接復制和抄襲,感謝!

    聯絡方式:

    客服熱線:400-1050-918

    技術顧問:17620159934

    郵箱:91huifu@91huifu.com

    微信公眾號
    售前工程師1
    售前工程師2
    蜜桃无码AV一区二区视频_不卡人妻无码AV中文系列_色AV综合AV无码AV网站_影院