2020年2月勒索病毒疫情分析

360解密大师在2020年2月增加了对“锁定”V2版本、黑客帝国和我的勒索病毒家族的解密支持

感染数据分析

勒索病毒家族本月比例:全球冒名顶替者家族占24.13%，排名第一；第二个是火卫一；，占23.78%。Crysis家族以10.66%的比例排名第三全球冒名顶替者和火卫一本月的份额都有所上升。其中，“全球冒名顶替者”从1月份的12.57%上升到本月的24.13%，而火卫一从1月份的16.85%上升到本月的23.78%

和被感染系统的比例显示，本月前三名的系统仍然是视窗10、视窗7和视窗2008然而，与以往不同的是，Windows 10系统的感染率首次大幅超过Windows 7，成为第一。这对于Windows 7在2020年停止服务非常重要。停止服务后，一些win7用户将升级并切换到win10。

2-020年2月受感染系统中桌面系统和服务器系统的比例表明，桌面系统仍然是主要的受攻击系统与2020年1月的统计相比，没有显著波动。

此外，我们还关注了2020年2月360论坛(https://bbs.360.cn/forum.php？mod =论坛显示& ampFID = 7592:

本月论坛共报道了77个案例，涉及21个家庭，其中4个家庭支持解密(Nemsis、Paradise、X3m、Crysis-old)

反馈家族前3名依次是全球冒名顶替者、火卫一和索迪诺基比反馈中添加的新系列/变体包括:GlobeImposter(修改后的文件后缀是tilcore、happychoose、happytwochoose、taagro)、phobos(修改后的文件后缀是dewar)。Devos)、Crysi(修改文件后缀ncov)、Stop(修改文件后缀nppp、rooe、bboo等)。)、Hermes837(修改文件后缀旅行者)、Makop(修改文件后缀Makop和shootlook)等。

勒索病毒流行病学分析

黑客攻击勒索病毒家族

最近，360安全脑检测到一种新的敲诈病毒-黑客攻击勒索病毒隐藏在分发软件中进行传播，并且特别要求用户在使用分发软件之前启动防病毒软件。然而，一旦用户相信，文件将被加密，用户将被要求支付0.13比特币或11门罗硬币后，反病毒软件启动和运行。

360 safe brain一被监控就分析勒索病毒，并成功地破解了勒索病毒成功的用户可以使用360解密主机来恢复加密文件

Makop勒索病毒家族

360安全脑监控，Makop勒索病毒本月开始在全国蔓延这种勒索病毒最早是由外国安全研究人员在2020年1月发现的，并通过垃圾邮件传播它首次出现在中国是在2020年2月根据该国许多受害者的日志分析，该国讹诈病毒的主要传播渠道是通过暴力破解远程桌面密码，并在获得密码后对其进行人工杀毒。到目前为止，勒索病毒有几个变种。例如，将文件后缀修改为makop和shootlook。

勒索病毒传播者不断更新与Makop相关的开发(版本更新、合作伙伴招募等)。)在论坛上。从作者发布的论坛信息可以看出，该病毒于2020年1月27日开始传播，制片方正在招募更多的合作伙伴，以在更大程度上传播该讹诈病毒。在未来，讹诈病毒的传播渠道可能会变得越来越多样化。

“锁定”勒索病毒家族

“锁定”勒索病毒于2020年1月首次被发现。在第一次传输被360安全大脑成功破解后，勒索病毒消失了一段时间，并开始再次传播。传播勒索病毒的作者加强了加密算法，并开始通过一些论坛广告传播它。以下是两个版本的具体更新:

。目前360解密大师已经能够完美地解密勒索病毒。成功的用户可以使用解密主机来解密锁定的文件在算法被连续破解两次后，勒索者关闭了传播勒索者病毒的网站。

黑客信息披露

以下是本月收集的黑客邮箱信息:

表格2。黑客邮箱

系统安全数据分析

通过比较2020年1月和2020年2月的数据，发现本月各系统的比例变化不大，前三名仍然是Windows 7、Windows 8和Windows 10

下方是2020年2月受攻击系统的IP采样制作的区域分布图。与前几个月收集的数据相比，地区排名和比例变化不大。数字经济发达的地区仍然是攻击的主要目标。

< BR >

通过2020年2月弱密码攻击趋势，发现本月MSSQL的弱密码攻击大幅增加。RDP和MYSQL弱密码攻击的攻击趋势本月整体波动不大

360安全大脑检测到本月受mssql攻击中毒的机器总体趋势有较大增长与mssql弱密码攻击趋势相对一致

勒索病毒关键词

此数据来自lesuobingdu.360.cn的搜索统计(不包括WannCry、AllCry、TeslaCrypt、撒旦、北海巨妖、Jsworm、X3m和GandCrab家族)

L MedusLocker:属于MedusLocker讹诈病毒家族，也称为“美杜莎”讹诈病毒。勒索病毒主要通过暴力破解远程桌面密码和获取密码后的人工中毒传播

l Devos:它属于火卫一勒索病毒家族。由于加密的文件会被修改成德文并成为关键词，勒索病毒主要使用暴力破解远程桌面密码，然后在获得密码后使用手动毒药进行传播。

1古巴:它属于古巴勒索病毒家族。由于加密文件的后缀将被修改为cuba，它成为关键词。勒索病毒主要通过垃圾邮件传播。

l Happychoose:它属于全球冒名顶替者勒索病毒家族。由于加密文件的后缀将被修改为happychoose，它成为关键字。勒索病毒主要通过爆破破解远程桌面密码，然后在获取密码后手动传输。

l Globe冒名顶替者-alpha 865 qqqz:happy choice

l dewar:happy devo

l GLobe冒名顶替者属于globe冒名顶替者家庭，拥有幸福的选择

l ncov:属于Crysis讹诈病毒家族，因文件加密后将被修改为ncov而成为关键字。勒索病毒家族主要通过暴力破解远程桌面密码，成功后再手工传播病毒。

l旅行者:属于Hermes837讹诈病毒家族，因文件加密后会被修改为旅行者而成为关键词。勒索病毒家族主要通过暴力破解远程桌面密码，成功后再手工传播病毒。

l read structures:与MedusaLocker相同

解密主机

从解密主机本月的解密数据来看，本月解密量最大的仍然是GandCrab，其次是“锁定”；其中，使用解密主机解密文件的用户数量仍然是Stop系列中最高的，其次是HackedSecret系列

摘要

对服务器的讹诈病毒攻击仍然是讹诈病毒的主要方向之一。企业需要加强其信息安全管理能力，特别是对弱密码、漏洞、文件共享和远程桌面的管理，以应对讹诈病毒的威胁。这里我们给管理员一些建议:

1。多台机器，不要使用相同的帐号和密码

2。登录密码应足够长且复杂，登录密码

3应定期更改。重要数据的共享文件夹应设置访问控制，并定期备份

4。应定期检测系统和软件中的安全漏洞，并及时进行修补。

5。定期检查服务器的异常情况检查的范围包括:

(1)是否有新账户

(2)是否启用客户

(3)在视窗系统日志

中是否有任何异常(4)防病毒软件

6中是否有任何异常。安装安全保护软件并确保其正常运行

7。从常规渠道下载安装软件

8。对于不熟悉的软件，如果被杀毒软件拦截并杀死，不要添加信任继续运行。

此外，不建议公司受害者或个人受害者支付赎金。支付赎金不仅助长了伪装的勒索攻击，而且在解密过程中也带来了新的安全风险。

是一种常见的勒索病毒。许多只加密文件的头数据。对于某些类型的文件(如数据库文件)，您可以尝试通过数据修复方法来恢复一些损失。如果你必须支付赎金，你可以尝试与黑客谈判，以降低赎金的价格，同时避免在谈判过程中暴露你的真实身份信息和紧迫性，从而避免黑客要价过高。由于解密服务公司大多通过联系黑客来购买解密文件的密钥，因此他们尽量避免咨询过多的第三方解密公司(咨询过多的第三方解密公司相当于多次咨询黑客，这可能会导致黑客价格上涨)。)

本文由 在线网速测试 整理编辑，转载请注明出处，原文链接：https://www.wangsu123.cn/news/565.html。