10月初,全球最大的助聽器製造商,丹麥Demant遭到勒索病毒入侵,直接損失高達1億美元;而勒索病毒的猛烈攻勢一波緊接一波,到了10月17日,全球航運巨頭PitneyBowes亦遭受勒索軟件攻擊,90%的財富500強公司受到影響。
儘管兩大巨頭的攻擊並非同一病毒所為,但這恰恰印證了360安全大腦發佈的《2019年10月勒索疫情分析》報告:勒索病毒仍是網絡安全的重大威脅。報告中,360安全大腦從10月整體感染態勢、勒索病毒前十活躍家族、攻擊地區分佈、感染系統佔比等,全面多角度地呈現了本月勒索病毒攻擊情況。
頂流家族GlobeImposter重回榜首
FakeParadise贖金衝至萬元
據360安全大腦發佈的《2019年10月勒索病毒疫情分析》數據,在剛剛過去的10月份,各大勒索病毒家族之間發起入侵大戰,而“頂流家族”GlobeImposter本月佔18.37%,再次登頂,“出場率”長期徘徊不下;其次是“新晉網紅”phobos家族和Crysis家族分別以16.78%、15.87%的佔比位居二、三。
相反,Stop家族則初顯頹勢,從9月份榜首的22.9%下降到本月的9.52%,但是這不足以成為用戶掉以輕心的理由,因為Stop的逐漸“遠離”可能正意味著更兇殘的家族伺在後頭。
2019年10月勒索病毒家族佔比圖
而10月份的十大家族中,值得關注的是FakeParadise病毒。FakeParadise可謂本月才“新手入圈”,但是在利益的驅動下,其勒索要價高至1995美元的比特幣,贖金換算人民幣超過萬元。FakeParadise加密後會將文件後綴修改為_Kim ChinIm_{ID}.sev和Support_{ID}.FC,但360安全大腦已在第一時間破解了該勒索病毒,國內首家實現對該勒索病毒的解密支持。
被FakeParadise勒索病毒加密後的文件
至於FakeParadise命名的原因,在國外,它被歸入到Paradise家族中,但360安全大腦發現,兩者使用的編寫加密方式顯著不同,FakeParadise採用的是C++語言編寫,而傳統的Paradise採用的則是C#語言編寫。
除此以外,FakeParadise為了對抗系統的文件恢復功能,會調用系統命令刪除卷影,這一點也與傳統的Paradise不同,Paradise家族勒索病毒會刪除系統的卷影服務(VSS:Volume Shadow Copy),但並不會刪除已存在的卷影(因此可以通過系統的還原點對文件進行恢復)。此外,兩家族還存在勒索提示信息風格、加密算法也等諸多不同。
FakeParadise刪除卷影
Paradise僅刪除卷影服務
殭屍網絡推高弱口令攻擊
至於系統感染情況,360安全大腦監測發現,本月居前三的系統仍是Windows 7、Windows 10和Windows Server 2008。隨著Windows 10逐漸成為主流,其受攻擊佔比也上漲了5%左右,在可見的將來,漸成“攻擊靶心”的Win10用戶需要提高警惕。
2019年10月被感染系統佔比圖
除此以外,360安全大腦通過對10月份弱口令攻擊趨勢發現,MsSQL的攻擊趨勢在10月6號和10月8號有兩次顯著增長,這主要是由於從10月6日起MyKings黑客組織增加其攻擊投入,除了頻繁更新殭屍程序的通信地址外,還發起新一輪針對MsSQL數據庫的暴力破解攻擊,意圖控制更多的服務器組成更大規模的挖礦殭屍網絡。
2019年10月弱口令攻擊趨勢圖
黑客郵箱披露
以下是360安全大腦本月蒐集到的黑客郵箱信息:
John_Gilbert_2019@protonmail.com
recoveryqq@protonmail.com
helpme.parner@yahoo.com
zigger@protonmail.com
sercurityteacher@cock.li
gerentosrestore@firemail.cc
DataBack@qbmail.biz
zzzoruda@cock.li
getbtc@aol.com
starter@cumallover.me
sicck@protonmail.com
emerson.parkerdd@aol.com
btcpay1@protonmail.com
sosca@foxmail.com
easydecrypt555@cock.li
proansw@protonmail.com
mrcrypting@airmail.cc
DecrypterSupport@cock.li
Folieloi@protonmail.com
backupyourfiles@420blaze.it
decoding@qbmail.biz
Ctorsenoria@tutanota.com
b1tc01n@aol.com
deadmin@cock.li
sambolero@tutanoa.com
Blackmax@tutanota.com
davidharris@nuke.africa
rightcheck@cock.li
cryptocash@aol.com
cyb3rcrypt@protonmail.com
crypt2020@outlook.com
vivaldicrypt@outlook.com
cobian0ransom@cock.li
cryptt2020@protonmail.com
newebola@aol.com
cobian_ransom@protonmail.com
getmyfilesback@airmail.cc
rsa1024@tutanota.com
cobain0ransom@cock.li
koreadec@tutanota.com
mrcrypt@cock.li
cobain_ransom@protonmail.com
vourrealdecrypt@airmail.cc
jsmith1974@mail.fr
cleverhorse@xmpp.jp
filedecryptor@nuke.africa
decryptbots@cock.li
butters.felicio@aol.com
mr.brozer@protonmail.com
dfvdv@tutanota.com
btcthebtc@aol.com
ticketbit@tutanota.com
relvirosa1981@aol.com
betasup@mail.ee
ticketbit@mailfence.com
stoneland@firemail.cc
ashleyqz5tfmoore@aol.com
1701222381@qq.com
raceso@qq.com
alcorestore@protonmail.com
yourdatahere@tutanota.com
Hariliuios@tutanota.com
advancedbackup@protonmail.com
xmedusax@cock.li
kazkavkovkiz@cock.li
admin@fentex.net
whitwellparke@aol.com
patern32@protonmail.com
supdec@8chan.co
wewillhelp@xmpp.jp
veracrypt_restore@protonmail.com
helpdesk_nemty@aol.com
wewillhelp@ctemplar.com
upeditco@gmail.com
elzmflqxj@tutanota.de
tirrelllipps@aol.com
unlock01@protonmail.com
fullrestore@qq.com
symetrik@protonmail.com
lockers123@protonmail.com
steamgamer99@gmail.com
servers70@tutanota.com
buttersfelicio@aol.com
corpseworm@protonmail.com
savignythayne@chadfarrcreations.com
partfile@airmail.cc
fidelio.bartyn@aol.com
savefiles@cock.li
hmdjam@protonmail.com
churiladr@cock.li
restoringbackup@airmail.cc
husilusi@cock.li
salesrestoresoftware@firemail.cc
recoverydata54@protonmail.com
paybuyday@aol.com
salesrestoresoftware@gmail.com
recoverunknown@aol.com
amundas@firemail.cc
admin@slide.best
recover_file13@protonmail.com
decryptmyfiles@qq.com
bitlocker@foxmail.com
rdp800@rape.lol
mrimrssmith@cock.li
btccrypthelp@cock.li.com
professionalhelp@india.com
mrimrssmith@protonmail.com
dataforcoin@aol.com
onlyiwillhelpyou@protonmail.com
mrimrssmith@cock.lki
writehere@onlinehelp.host
mrcrypting@protonmail.com
addison_jimmy@aol.com
xisdxi@cock.li
merlinstusan@protonmail.com
bitlock@foxmail.com
cybercrypt@cock.li
LiberLover@tutanota.com
btcpayment@airmail.cc
willyhill1960@protonmail.com
konte@cock.li
china_@tol.com
willyhill1960@tutanota.com
keysfordecryption@airmail.cc
china_helper@aol.com
Bdataforcoin@aol.com
icanhelpu@cock.li
china.helper@india.com
back_me@foxmail.com
securityteacher@cock.li
china989helper@protonmail.com
admin@sectex.net
theonlyoption@jabb3r.de
china989helper@redchan.it
admin@fentex.world
welcokaj@nuke.africa
dataforcoin@cock.li
Killback@protonmail.com
unlock@goldenbay.su
decrypthelper2020@protonmail.com
bitlocker@hotmail.com
unlock@graylegion.su
goretosrestore@firemaill.cc
gillamlowrance@aol.com
vacandeli1971@protonmail.com
hibbard_r@ferepot.info
inspectionguard@cock.ii
nmode@tutanota.com
ihelpyoudecrypt@protonmail.com
kickclakus@protomail.com
maximum@onlinehelp.host
各路黑客組團出擊,勒索病毒層出疊現,嚴重威脅著用戶安全。基於360安全大腦的全面賦能,360解密大師在8月新增了對Nemty1.6、FakeParadise、HildaCrypt三個勒索病毒家族的解密支持。作為全球規模最大、最有效的勒索病毒解密工具,360解密大師可支持三百餘種勒索病毒解密,強力守護用戶數據及財產安全。
安全建議:
面對不斷升級的勒索病毒疫情態勢,360安全大腦建議廣大用戶提升網絡安全意識、加強信息管理,或做好以下防禦措施,保護電腦隱私和財產安全:
1、儘快前往weishi.360.cn下載安裝360安全衛士,全面攔截各類勒索病毒攻擊;
2、企業服務器管理員儘量避免多臺機器使用同一賬號口令,確保登錄口令複雜性,並做到定期更換;
3、重要資料的共享文件夾應設置訪問權限控制,並進行定期備份;定期檢測系統和軟件中的安全漏洞,及時打上補丁;
4、個人用戶應從正規渠道下載安裝軟件,慎用各種激活工具;對不熟悉的軟件,如果已經被殺毒軟件攔截查殺,不要添加信任繼續運行;
5、遇到陌生人發送的郵件,要謹慎查看,儘量避免下載附件。如需要下載,也要先用安全軟件對附件進行檢查;
6、中招勒索病毒之後切忌病急亂投醫,應立即前往lesuobingdu.360.cn確認所中勒索病毒類型,並
7、特別提醒,若所中病毒為新型病毒,用戶可通過“360反勒索服務”向360安全專家尋求幫助。
1)前往360安全衛士的安全防護中心
2)打開其中的“反勒索防護”功能,並點擊“申請服務”。按照指導提交必要的資料,並耐心等待工作人員處理。