前言
針對服務器的勒索攻擊在很早之前就已出現,從17年開始這種情況愈演愈烈,並得到了廣泛關注。目前,服務器已成為勒索病毒攻擊的最主要目標,而此類入侵手段也成為各大公司在網絡安全方面面對的一個嚴峻挑戰。
疫情分析
根據今年1月份到6月份我們所收到的反饋數據來看, 4月是服務器勒索病毒的一個反饋高峰。
圖1.2018年勒索病毒反饋趨勢
從監控數據來看,RDP爆破是目前攻擊服務器的最主要手段,其攻擊具有一定的時間週期性,每兩週會有一個小高峰。
圖2. 6月份服務器勒索病毒感染趨勢
根據對被感染計算機操作系統版本的統計,我們發現Windows7系統佔比較高。原因主要還是由於win7系統的基數較大,一些企業內網中招之後,會造成大量機器共享文件夾下文件被加密的情況。
圖3.6月份感染系統佔比
勒索病毒變種統計
根據我們的數據分析,針對服務器進行投毒的勒索病毒中,Crysis家族和GlobeImposter兩個家族一共佔據了服務器勒索病毒總量的77%。而這兩個家族攻擊服務器的方式類似,主要通過對服務器RDP服務的遠程爆破進行。目前仍然有相當多的用戶對設置口令的重要性認識不足,經常會為了使用的便利性而設置一些強度較低的口令,給攻擊者留下了可乘之機。
本月出現的新勒索病毒中,Dbger是Satan家族的變種,該勒索病毒主要利用漏洞進行轉播,病毒對感染者聲稱超過三天不付贖金就不會再幫助用戶解密文件。我們曾模擬測試過中毒3天后聯繫黑客郵箱的情景,確認已無法聯繫到該黑客。
圖4.服務器勒索病毒家族分別佔比
變種方面Crysis家族在6月份共出現的變種一共4種,而GlobeImposter家族共出現5種變種。兩個家族還存在一個共性,即不同的變種會有不同的聯繫郵箱,這可能意味著不同變種背後也會有不同的團隊在傳播。
6月份出現新變種的還有RotorCrypt家族,該家族在國內的傳播量相對較小。該勒索病毒的早期版本和其他勒索病毒不同,該勒索病毒之前的版本不會留下任何的勒索提示信息,只是在被加密的文件名中加入聯繫郵箱。
圖5.被加密文件
而在最新的變種中,該勒索病毒會和其他家族一樣留下勒索提示信息,但不再修改文件名稱。
圖6.RotoCrypt新變種被加密文件
受攻擊原因分析
根據我們對攻擊方式的數據分析:第一大類為RDP爆破攻擊;其次則是由於文件共享的原因被加密,這類用戶一般本機並沒有感染病毒,而是局域網內其它機器染毒,造成這臺機器共享出去的文件被加密。
圖7.6月份各類攻擊方式佔比
根據360反勒索服務,收到申訴的反饋情況來看。6月份企業用戶被入侵的情況更多一些。此類案例中,經常出現同一家公司,多臺機器同時感染病毒導致文件被加密的情況。原因總結大致分為以下3種情況:
· 多臺機器使用相同口令
· 多臺機器使用不同口令但均為弱口令
· 多臺機器間文件互相共享
圖8.6月份被入侵電腦所屬實體佔比
攻擊者數據分析
攻擊者使用郵箱摘要(含用戶反饋部分):
IP數據
對6月份被感染機器上的windows日誌進行分析,攻擊來源佔比較高的有美國和俄羅斯。
圖9.攻擊來源IP地區佔比
防黑加固數據
從17年11月份開始,360安全衛士便推出了一款針對服務器進行防禦的安全產品-防黑加固,防黑加固目前已經能支持大部分主流windows操作系統。
圖10.防黑加固支持的windows系統
通過我們的防黑加固數據分析,針對服務器的RDP爆破、數據庫爆破從未停歇,目前每天約有7萬臺計算機受到爆破攻擊。
圖11.6月份防黑加固防護次數
值得一提的是在6月中旬,通過漏洞進行傳播的Satan家族的變種Dbger,6月19日曾達到高峰,單日受攻擊用戶量超過1000次.
圖12.6月份Satan家族傳播趨勢圖
總結
針對服務器的勒索病毒攻擊已經成為當下勒索病毒的一個主要方向,企業應該加強自身的信息安全管理能力,尤其是弱口令,漏洞,文件共享和遠程桌面的管理,在此我們給各位管理員一些建議:
· 多臺機器,不要使用相同的賬號和口令。
· 登錄口令一定要複雜,採用大小寫字母、數字、特殊符號混合的口令結構,且口令位數應足夠長,並定期更換登錄口令。
· 共享文件夾要設置訪問權限管理。如果因為其他需要不能設置訪問權限,則建議對該文件夾進行定期安全備份
· 定期檢測系統和軟件中的安全漏洞,及時打上補丁。
安全衛士最新版下載地址:
http://weishi.360.cn/
閱讀更多 360安全衛士 的文章
