+86-150-0075-7458 | 08:00 - 22:00(北京时间 )
中文

备份现代化

挣脱传统备份的束缚

2020 年首席信息官云数据管理计划

斯福赛特:2020年勒索病毒疫情分析

勒索病毒传播至今,斯福赛特已累计接受到上万勒索病毒感染求助。勒索病毒的蔓延,给企业和个人都带来了严重的安全威胁。斯福赛特针对勒索病毒进行了全方位的监控与防御。新增Avaddons、Lolkek、Corab、panther、pojie等勒索病毒家族。
斯福赛特在2020年新增对Cobra(后缀为cobra)、FileCry(后缀为filecry)、YourFilesEncrypted (后缀为flybox),Sodinokibi(版本较多,目前只支持其中一个版本)的解密支持。
感染数据分析
分析本月勒索病毒家族占比:GlobeImposter家族占比23.62%居首位;其次是占比21.79%的phobos;Crysis家族以占比15.37%位居第三。Avaddon勒索病毒于4日开始传播,很快便已经进入了本年的勒索病毒家族Top 10榜单中。
                                                       

图1. 2020年勒索病毒家族占比

而从被感染系统占比看:本月位居前三的系统是Windows 7、Windows 10和Windows Server 2012。其中被感染系统中Windows Server 2012是首次占比超过Windows Server 2008,但本月并未出现2012系统的重大安全事件,此次2012系统占比的增加有较大的偶然性。
                                                       

图2. 2020年被感染系统占比图

  2020年被感染系统中桌面系统和服务器系统占比显示,受攻击的主要系统仍是个人桌面系统。与2020年的统计进行比较,个人桌面感染占比上升4.68%,这和本月新出现的勒索病毒家族Avaddon有一定关系。
                                                       

图3. 2020年被感染系统类型占比图

勒索病毒疫情分析
Avaddon勒索病毒家族
斯福赛特监测到一款新型勒索病毒——Avaddon开始在国内传播。监测到的数据显示,该勒索病毒从4日已经开始进行传播,最早开始传播时修改文件后缀为advn,而后续出现的变种则采用了与Sodinokibi相同的文件加密模式,被加密文件被改为随机后缀。
从斯福赛特监控发现,该勒索病毒利用Phorpiex僵尸网络进行传播。而Phorpiex具备蠕虫特性,迄今为止已经感染超过一百万台计算机。而其主要传播渠道有:
1.     可移动存储介质
2.     垃圾邮件
3.     爆破用户凭证
4.     漏洞利用工具包
5.     恶意程序安装等
和众多勒索病毒一样,Avaddon也采用RaaS模式,并在3号的时候在暗网开始公开售卖。而就在一天后的4号,就已经出现野外传播。
                                                       

图4. Avaddon作者发帖截图

 
Crysis勒索病毒家族
Crysis勒索病毒家族从2016年出现至今已有近4年的传播历史,无论是传播手段还是在核心功能的代码实现都鲜有改动。但近日,斯福赛特监测到该家族也出现了一款新的变种。
通过代码分析发现,该版变种最大的改动是集成了多个工具便于投毒者了解当前系统中存在的杀毒软件、加密时的CPU占用率等信息,同时还可以将未挂载的设备挂载到本地以求尽可能多的加密文件。

                                                       

图5. Crysis变种截图

YourFilesEncryped勒索病毒家族
近期斯福赛特还监测到YourFilesEncrypted勒索病毒家族出现的V3.3版本。该勒索病毒伪装成注册机进行传播,用户在中毒后文件后缀被修改为FlyBox。并向受害者索要0.1个比特币。
根据经验判断,对于通过破解软件、激活工具这类型进行传播的勒索病毒家族,索要的金额往往不会太高。因为这类型的受害者大多为普通个人用户,不会像企业用户一样有可能为了文档数据支付天文数字的赎金。
在控到该勒索病毒的第一时间,360解密大师便对其进行了分析,并成功对其进行了解密支持。
                                                       

图6. 解密大师解密被YourFileEncrypted加密的文件

黑客信息披露
以下是2020年搜集到的黑客邮箱信息:
tors@tuta.io
moncler@tutamail.com
VoidFiles@protonmail.com
fonix@tuta.io
admin@stelsdatas.com
mrromber121@tutanota.com
kekin@cock.li
ruthlessencry@qq.com
manyfiles@protonmail.com
r3ad4@aol.com
china.he1per@ao1.com
xxcte2664@protonmail.com
day_0@aol.com
origami7@firemail.cc
tyrkinovusr@tutanota.com
jerjis@tuta.io
newrecoverybot@pm.me
pristonklav@tutanota.com
ucos2@elude.in
xilttbg@tutanota.com
helpservise@mail2tor.com
The777@tuta.io
torsed@protonmail.ch
helpservise@ctemplar.com
hitsbtc@tuta.io
mawienkiu@yandex.com
Lucky7267@protonmail.com
cavefat@tuta.io
coronalocker@cock.li
JamesBaker78@criptext.com
Mail@qbmail.biz
it125@protonmail.com
restoremanager@airmail.cc
vip1488@tuta.io
gluttony_002@aol.com
wecanhelp2@protonmail.com
dharm727@gmx.de
lxhlp@protonmail.com
johnsonwhate@tutanota.com
petya20@tuta.io
unlock@graylegion.su
decrypter02@cumallover.me
Red@gytmail.com
sory@countermail.com
EdsonEpsok@protonmail.com
harma277@gmx.de
recovery2020@cock.li
Pentagon11@protonmail.com
WTF2000@cock.li
begins@colocasia.org
gangflsbang@protonmail.ch
Delar69@cock.li
neo2222@tutanota.com
writehere@onlinehelp.host
H911X@yahoo.com
hellomyfriend@tuta.io
trevor@thwonderfulday.com
decphob@tuta.io
wang_team1111@aol.com
charlesetta.embody@aol.com
decrypt@files.mn
MerlinWebster@aol.com
proservicez@protonmail.com
tommycash@qq.com
wang_team2222@aol.com
mewellwisher@protonmail.ch
payransom@qq.com
bentleysali@india.com
bitcoinpayment@foxmail.com
repairdb@mail.fr
samurai@aolonline.top
write_me_soon@tutanota.com
savebase@aol.com
Jeremyhilton@mail.com
RestoreFile@protonmail.com
cov-id19@tuta.io
gomer@horsefucker.org
harrynarson@protonmail.com
61258@ECLIPSO.CH
piterpen02@keemail.me
jamesbrockner@tutanota.com
squahack@email.tg
dec_helper@dremno.com
mrimrssmith@protonmail.com
clubnika@elude.in
booomx@protonmail.com
jofkznve148172@outlook.com
A654763764@qq.com
Blackmax@tutanota.com
servicemanager@yahooweb.co
doctor666@mail.fr
missdecryptor@cock.li
imperial755@protonmail.com
doctor666@cock.li
Wang_team1111@aol.com
jimmtheworm@dicksinmyan.us
epairdb@seznam.cz
qqcore@protonmail.com
Bit_decrypt@protonmail.com
doctor777@mail.fr
pvphlp@protonmail.com
decrypt.files2017@gmail.co
tealjanos@aol.com
restorefiles69@cock.li
kabennalzly@protonmail.com
manyfiles@aol.com
skypaym@protonmail.com
dec_restore@protonmail.com
White@gytmail.com
dec_helper@outlook.com
sifre_cozucu@protonmail.com
keymaster@cock.li
Ssimpotashka@gmail.com
yourfile2020@protonmail.com
beijing520@aol.com
sorayaclarkyo@mail.com
tamesepo1980@protonmail.com
squadhack@email.tg
zorab28@protonmail.com
johnsonwhate@protonmail.com
hlpp@protonmail.ch
VitalyYermakov@cock.li
timothymandock@tutanota.com
wecanhelpu@tuta.io
paybtc24@protonmail.ch
langdiru1887@protonmail.com
gh0stcrypt@tuta.io
angelina.crypt@aol.com
Cobra_Locker@protonmail.com
RestoreFile@qq.com
hijackhorse@airmail.cc
helpdesk_makp@protonmail.ch
mr.hackpr0@aol.com
china_jm@protonmail.ch
computertricks2018@gmail.com
sqlbackup3@mail.fr
ripntfs@protonmail.com
fahydremu1981@protonmail.com
support911@cock.li
imperial@mailfence.com
Alfredhormund@protonmail.com
file.cry@gmail.com
uridzu@aaathats3as.com
HillaryGotsberg@tutanota.com
l1u1t1@secmail.pro
newrecoveryrobot@pm.me
systemdestroyer0108@gmail.com
unlock@gldenbay.su
Cleveraynazz@gmail.com
graff_de_malfet@protonmail.ch
admindevon@cock.li
VoidFiles@tutanota.com
mantiticvi1976@protonmail.com
Try2Cry@Indea.info
servicemanager@jabb.im
ChiaraChurcman@protonmail.com
beijing520@cock.li
wungasha@protonmail.ch
mrddnet_support@protonmail.ch
decrestore@cock.li
kalimenok@tutanota.com
decryptunknown@protonmail.com
coultard.c@aol.com
rkhairn@protonmail.com
Pameladuskhock@protonmail.com
openpgp@foxmail.com
bob@thwonderfulday.com
tamarabuildpop@protonmail.com
openpgp@foxmail.com
bil@thwonderfulday.com
russel_donelly@protonmail.com
decoding@qbmail.biz
tinxony@protonmail.com
nopainnogain666@protonmail.com
yourbackup@email.tg
eight20@protonmail.com
Vitaly.Yermakov@protonmail.com
ICQ@fartwetsquirrel
helptraf@protonmail.com
vitalyyermakov@privatemail.com
chinahelper@ao1.com
anticrypto@tutanota.com
imBoristheBlade@protonmail.com
voyagermail@ao1.com
wyvern@cryptmaster.info
JoanaBarnucci20@protonmail.com
jerjis@tutamail.com
logiteam@protonmail.com
GilbertoPortaless@tutanota.com
Recovery@qbmail.biz
RestorFile@tutanota.com
salesrestoresoftware@gmail.com
Brianhooper@cock.li
gomersimpson@keemail.me
Bryan_Stevenson1@protonmail.com
yourbuckup@email.tg
decryptor911@airmail.cc
hacker_decryption@protonmail.ch
writemesoon@cock.li
Saratsuo@protonmail.com
Benjamin_Franklin@derpymail.org
mrimrssmith@cock.li
genfiles@protonmail.com
Hacker47817628648971@airmail.cc
dupuisangus@aol.com
pandoraman@tutanota.com
RupertMariner1958@protonmail.com
mrromber121@cock.li
akzhq615@protonmail.com
guaranteedsupport@protonmail.com
how_decrypt@aol.com
recoryfile@tutanota.com
salesrestoresoftware@firemail.cc
bilbo@colocasia.org
UnluckyWare@mail2tor.com
filedecryption770@Protonmail.com
frodo@colocasia.org
JamesBaker78@criptex.com
Dineshschwartz1965@Protonmail.com
91645@PROTONMAIL.CH
AlanGreen88@criptext.com
servicemanager2020@protonmail.com
yourbackup@email.th
Cryoteons@protonmail.com
StephanForenzzo1985@protonMail.com
gluttony_001@aol.com
yogynicof@protonmail.com
UnluckyWare@torbox3uiot6wchz.onion
ftsbk@protonmail.com
decryptor666@420blaze.it
everythingwillbeokay1234@protonmail.com
dec_helper@excic.com
wang_tema666@aol.com
系统安全防护数据分析
通过将2020年与的数据进行对比发现,本月各个系统占比变化均不大,位居前三的系统仍是Windows 7、Windows 10和Windows 8。
                                                                          

图7. 2020年被弱口令攻击系统占比图

以下是对2020年被攻击系统所属IP采样制作的地域分布图,与之前几个月采集到的数据进行对比,地区排名和占比变化都不大。数字经济发达地区仍是攻击的主要对象。
                                                                          

图8. 2020年被弱口令攻击区域图

通过观察2020年弱口令攻击态势发现,RDP弱口令和MySQL弱口令攻击 在本月的攻击态势整体无较大波动。MSSQL在本月初有两次上涨。
                                                                          

图9. 2020年弱口令攻击态势图

参照2020年弱口令攻击态势图,发现与本月MSSQL投毒拦截态势图有一定出入。这一情况可能是由于MSSQL的峰值攻击可能存在测试性攻击,并非实战攻击,也有可能攻击者拿下服务器后并未立刻进行投毒操作,而是留作“库存”。
勒索病毒关键词
该数据来自lesuobingdu.360.cn的搜索统计。(不包括WannCry、AllCry、TeslaCrypt、Satan、Kraken、Jsworm、X3m、WannaRen以及GandCrab几个家族)
l  Devos: 属于phobos勒索病毒家族,由于被加密文件后缀会被修改为devos而成为关键词。该勒索病毒主要通过暴力破解远程桌面密码,拿到密码后手动投毒传播。
l  c1h: 属于GlobeImposter勒索病毒家族。由于被加密文件后缀会被修改为c4h而成为关键词。该勒索病毒主要通过暴力破解远程桌面密码,拿到密码后手动投毒传播。
l  globeimposter-alpha865qqz:同c1h。
l  c4h:同c1h。
l  eking:同devos。
l  roger:属于Crysis勒索病毒家族,由于被加密文件后缀会被修改为roger而成为关键词。该勒索病毒主要通过暴力破解远程桌面密码,拿到密码后手动投毒传播。
l  voyager:属于Hermes837勒索病毒家族,由于被加密文件后缀会被修改为voyager而成为关键词。该勒索病毒主要通过暴力破解远程桌面密码,拿到密码后手动投毒传播。
l  avdn:属于Avaddon勒索病毒家族,由于被加密文件后续会被修改为avdn而成为关键词。该勒索病毒主要通过僵尸网络进行传播。
l  dewar:同devos。
l  globeimposter:GlobeImposter勒索病毒家族。该勒索病毒主要通过暴力破解远程桌面密码,拿到密码后手动投毒传播。
                                                                          

图11. 2020年关键词搜索TOP10

解密大师
从解密大师本月解密数据看,本月解密量最大的是GandCrab,其次是WannaRen。使用解密大师解密文件的用户数量最高的仍是Stop家族的中招设备,其次则是Crysis家族的中招设备。
                                                                          

图12. 2020年解密大师解密情况

总结
     针对服务器的勒索病毒攻击依然是当下勒索病毒的一个主要方向,企业需要加强自身的信息安全管理能力——尤其是弱口令、漏洞、文件共享和远程桌面的管理,以应对勒索病毒的威胁,在此我们给各位管理员一些建议:
1.    多台机器,不要使用相同的账号和口令
2.    登录口令要有足够的长度和复杂性,并定期更换登录口令
3.    重要资料的共享文件夹应设置访问权限控制,并进行定期备份
4.    定期检测系统和软件中的安全漏洞,及时打上补丁。
5.    定期到服务器检查是否存在异常。查看范围包括:
(1)  是否有新增账户
(2)  Guest是否被启用
(3)  Windows系统日志是否存在异常
(4)  杀毒软件是否存在异常拦截情况
6.    安装安全防护软件,并确保其正常运行。
7.    从正规渠道下载安装软件。
8.    对不熟悉的软件,如果已经被杀毒软件拦截查杀,不要添加信任继续运行。

常见的勒索病毒,很多只加密文件头部数据,对于某些类型的文件(如数据库文件),可以尝试通过数据修复手段来挽回部分损失。如果不得不支付赎金的话,可以尝试通过我们和黑客协商来降低赎金价格,同时在协商过程中要避免太多人频繁的和黑客进行沟通,以免黑客漫天要价。

面向未来
 

即使环境不断演进,您也可始终获得无忧保护
跨任何数据和平台将备份扩展至云端。

通过自动化释放
资源和人力

复用数据
 

免费备份数据赋能新流程和现有流程。在沙盒环境 中即时还原虚拟机数据,以加快 应用程序部署

Safe-X 支持的现代备份

好用的强大解决方案。我们的单一平台可对所有数据进行一站式管理,
便于使用。

备份与恢复

借助 Safe-X Backup & Replication,您能够在任何情况下快速恢复,确保数据始终可用

Safe-X Backup & Replication

监控和分析

借助 Safe-X One,内置智能助力全面洞察整个环境并提供补救支持

Safe-X One

自动化和编排

通过 Safe-X Availability Orchestrator 实现智能恢复编排和数据复用自动化

Safe-X Availability Orchestrator

挣脱传统备份解决方案的束缚,满足 SLA 要求,同时降低成本,确保数据可用性

对备份进行了现代化改造的 Safe-X 客户可实现:

11%
开发人员
工作效率提高 11%
50%
数据备份
和保护成本降低 50%
55%
数据备份
和恢复团队效率提高 55%

了解更多信息的方式

阅读电子书
2020 年首席信息官
云数据管理计划

立即阅读

查看我们的行业嘉誉
Safe-X 云数据管理平台的
经济影响

立即下载

预约投资回报咨询​
联系我们,立即开始

了解更多信息