本月,美创安全实验室威胁平台监测到多起勒索病毒攻击事件,发现勒索病毒的活跃情况呈上升趋势,常年霸榜的Phobos、Globelmposter、Dharma三大勒索病毒家族为本月“主力”。如今,勒索家族越来越多的将目标对准企业、学校、政府组织等规模更大、利润更高的目标,勒索攻击愈演愈烈,勒索病毒已然成为全球最严峻的网络安全威胁之一。
1受害者所在地区分布美创安全实验室威胁平台显示,9月份国内遭受勒索病毒的攻击中,江苏、浙江、上海、广东、重庆最为严重,其它省份也有遭受到不同程度攻击,总体来看,经济发达地区仍是被攻击的主要对象。
2受害者所在城市分布美创安全实验室威胁平台显示,9月份中招者排名前八的地区中广州地区占比高达24%,其次是南京占16%,杭州占13%。
3勒索病毒影响行业分布美创安全实验室威胁平台显示,9月份国内受勒索病毒影响的行业排名前三的是传统行业、医疗行业、教育行业。
4勒索病毒家族分布下图是美创安全实验室对勒索病毒监测后所计算出的9月份勒索病毒家族流行度占比分布图,Phobos、Globeimposter、Dharma这三大勒索病毒家族的受害者占比最多。
5勒索病毒传播方式下图为勒索病毒传播的各种方式的占比情况。可以看出勒索病毒的主要攻击方式依然以远程桌面入侵为主,其次为通过海量的垃圾邮件传播,或利用网站挂马和高危漏洞等方式传播,整体攻击方式呈现多元化的特征。
02本月勒索病毒TOP榜1PhobosPhobos勒索软件家族从2年开始在全球流行,并持续更新以致出现了大量变种。该病毒主要通过RDP暴力破解和钓鱼邮件等方式扩散到企业与个人用户中,感染数量持续增长。该勒索病毒使用“RSA+AES”算法加密文件,并在加密后创建两种类型的勒索信,一种为txt格式,另一种为hta格式。
2GlobeimposterGlobelmposter勒索病毒首次出现在年5月,一直处于活跃阶段。该病毒最著名的是“十二主神”和“十二生肖”系列,其加密后的文件扩展名分别为“希腊十二主神+数字”和“十二生肖+数字”的形式。近日,Globelmposter又出了最新变种,加密后缀为“.CXH”系列。GlobeImposter病毒主要通过RDP远程桌面弱口令进行攻击,一旦密码过于简单,被攻击者暴力破解后,攻击者就会将勒索病毒植入,加密机器上的文件。近期国内多家企业、医院等机构中招。
3DharmaDharma的主要攻击方式有三种:①通过带有恶意文件的垃圾邮件进行传播;②攻击可正常下载的程序和安装包以传播勒索软件③对远程桌面协议(RDP)展开针对性攻击。Dharma勒索病毒运行后首先删除文件的卷影副本,以防止受害者通过这些备份还原其文件。接着,采用高强度的AES算法对存储在计算机上的所有文件进行加密。然后,勒索软件会放下简短的勒索便条,要求受害者联系电子邮件并支付高额的勒索费以恢复其加密文件。加密后,影响用户关键业务运行。
03本月大型勒索事件回顾1西安某企业遭到勒索软件攻击9月4日,某电工材料公司造勒索病毒攻击,感染了5台核心服务器。据了解,服务器中的文件已无法正常打开,并添加了“.beijing”后缀,通过该后缀可确定此次攻击的病毒为BeijingCrypt勒索病毒。该病毒一般通过垃圾邮件传播,打开此类文档或者危险链接可能会严重损坏系统。
在线点评:
1.BeijingCrypt勒索病毒近期在国内有所活跃,其特点为加密后的文件将添加.beijing扩展后缀。
2.BeijingCrypt勒索软件可以作为某些合法软件应用程序出现,例如,在弹出窗口中建议用户执行一些必要的软件更新,诱使用户手动下载和安装BeijingCrypt勒索病毒。
2Zeppelin勒索病毒袭击了某汽车配件公司9月9日,某汽车配件公司遭到Zeppelin勒索病毒攻击。该攻击导致企业内部多台服务器被感染,其中包含了4台数据库服务器。Zeppelin勒索病毒通过多种方式进行传播,一旦成功入侵服务器,便会释放病毒程序,加密服务器中的重要文件,并将由字母或数字组成的文件扩展名附加到每个被加密文件中,例如“.1F7-C0C-0BC”。
在线点评:
1.Zeppelin是一款基于Delphi的“恶意软件即服务”(RaaS),其前身为勒索软件Vega(VegaLocker),于2年初首次被发现。
2.Zeppelin勒索病毒采用AES-算法加密文件,然后使用受害者的公共RSA密钥对AES密钥进行加密,再使用随机生成的32字节RC4密钥进一步对其进行混淆。加密后,使得文件无法再打开。
3.美创安全实验室研究人员发现Zeppelin勒索病毒的最新变种中使用了窃密类木马程序,先盗取受害者数据,再使用病毒文件加密受害者的数据。
3广州某企业遭Phobos勒索病毒攻击9月14日,广州某企业遭到Phobos勒索病毒攻击。据了解,企业内多台服务器无法正常运行,服务器中的重要文件都被加密,并添加了.id[BAE35-].[Hubble77
tutanota.转载请注明:http://www.wangguoqiangq.com/sglbwh/7413.html
