前言
针对服务器的勒索攻击在很早之前就已出现,从17年开始这种情况愈演愈烈,并得到了广泛关注。目前,服务器已成为勒索病毒攻击的最主要目标,而此类入侵手段也成为各大公司在网络安全方面面对的一个严峻挑战。
疫情分析
根据今年1月份到6月份我们所收到的反馈数据来看, 4月是服务器勒索病毒的一个反馈高峰。
图1.2018年勒索病毒反馈趋势
从监控数据来看,RDP爆破是目前攻击服务器的最主要手段,其攻击具有一定的时间周期性,每两周会有一个小高峰。
图2. 6月份服务器勒索病毒感染趋势
根据对被感染计算机操作系统版本的统计,我们发现Windows7系统占比较高。原因主要还是由于win7系统的基数较大,一些企业内网中招之后,会造成大量机器共享文件夹下文件被加密的情况。
图3.6月份感染系统占比
勒索病毒变种统计
根据我们的数据分析,针对服务器进行投毒的勒索病毒中,Crysis家族和GlobeImposter两个家族一共占据了服务器勒索病毒总量的77%。而这两个家族攻击服务器的方式类似,主要通过对服务器RDP服务的远程爆破进行。目前仍然有相当多的用户对设置口令的重要性认识不足,经常会为了使用的便利性而设置一些强度较低的口令,给攻击者留下了可乘之机。
本月出现的新勒索病毒中,Dbger是Satan家族的变种,该勒索病毒主要利用漏洞进行转播,病毒对感染者声称超过三天不付赎金就不会再帮助用户解密文件。我们曾模拟测试过中毒3天后联系黑客邮箱的情景,确认已无法联系到该黑客。
图4.服务器勒索病毒家族分别占比
变种方面Crysis家族在6月份共出现的变种一共4种,而GlobeImposter家族共出现5种变种。两个家族还存在一个共性,即不同的变种会有不同的联系邮箱,这可能意味着不同变种背后也会有不同的团队在传播。
6月份出现新变种的还有RotorCrypt家族,该家族在国内的传播量相对较小。该勒索病毒的早期版本和其他勒索病毒不同,该勒索病毒之前的版本不会留下任何的勒索提示信息,只是在被加密的文件名中加入联系邮箱。
图5.被加密文件
而在最新的变种中,该勒索病毒会和其他家族一样留下勒索提示信息,但不再修改文件名称。
图6.RotoCrypt新变种被加密文件
受攻击原因分析
根据我们对攻击方式的数据分析:第一大类为RDP爆破攻击;其次则是由于文件共享的原因被加密,这类用户一般本机并没有感染病毒,而是局域网内其它机器染毒,造成这台机器共享出去的文件被加密。
图7.6月份各类攻击方式占比
根据360反勒索服务,收到申诉的反馈情况来看。6月份企业用户被入侵的情况更多一些。此类案例中,经常出现同一家公司,多台机器同时感染病毒导致文件被加密的情况。原因总结大致分为以下3种情况:
· 多台机器使用相同口令
· 多台机器使用不同口令但均为弱口令
· 多台机器间文件互相共享
图8.6月份被入侵电脑所属实体占比
攻击者数据分析
攻击者使用邮箱摘要(含用户反馈部分):
IP数据
对6月份被感染机器上的windows日志进行分析,攻击来源占比较高的有美国和俄罗斯。
图9.攻击来源IP地区占比
防黑加固数据
从17年11月份开始,360安全卫士便推出了一款针对服务器进行防御的安全产品-防黑加固,防黑加固目前已经能支持大部分主流windows操作系统。
图10.防黑加固支持的windows系统
通过我们的防黑加固数据分析,针对服务器的RDP爆破、数据库爆破从未停歇,目前每天约有7万台计算机受到爆破攻击。
图11.6月份防黑加固防护次数
值得一提的是在6月中旬,通过漏洞进行传播的Satan家族的变种Dbger,6月19日曾达到高峰,单日受攻击用户量超过1000次.
图12.6月份Satan家族传播趋势图
总结
针对服务器的勒索病毒攻击已经成为当下勒索病毒的一个主要方向,企业应该加强自身的信息安全管理能力,尤其是弱口令,漏洞,文件共享和远程桌面的管理,在此我们给各位管理员一些建议:
· 多台机器,不要使用相同的账号和口令。
· 登录口令一定要复杂,采用大小写字母、数字、特殊符号混合的口令结构,且口令位数应足够长,并定期更换登录口令。
· 共享文件夹要设置访问权限管理。如果因为其他需要不能设置访问权限,则建议对该文件夹进行定期安全备份
· 定期检测系统和软件中的安全漏洞,及时打上补丁。
安全卫士最新版下载地址:
http://weishi.360.cn/
閱讀更多 360安全衛士 的文章
