Анализ вымогателей в мае 2019 года

16 Июн. 2019 г.kate
Подробнее о 360 Total Security

Распространение вымогателей принесло серьезную угрозу безопасности как для предприяний, так и для частных лиц. 360 Total Security всесторонне контролирует и защищает от вымогателей. Согласно данным этого месяца, количество отзывов об услугах  анти-вымогателей немного увеличилось , среди которых объем обратной связи GlobeImposter занимает первое место, и новый вымогатель GetCrypt заслуживает внимания.

В этом месяце Инструмент дешефр. По-вымагателей 360 добавил функцию дешифрования вымогателей X3m (со суффиксом firex3m), Planetary, JSWorm и GetCrypt.

Анализ данных вирусной инфекции

По сравнению с прошлым месяцем (апрель 2019 г.) количество отзывов об услугах  анти-вымогателей немного увеличилось. Увеличение в основном включает в себя новый вымогатель GetCrypt и вымогатель Sodinokibi, который распространяться по электронной почте.

The feedback trand of ransomware in recent 12 months

В соответствии с ситуацией обратной связи, количество отзывов больше в рабочие дни, чем в праздничные дни. Главным образом потому, что пользователи сразу найдут неисправности в машине в рабочие дни.

The feedback trends of ransomware in May

Согласно анализу доли семейства вымагателей в этом месяце, мы обнаружили, что семейство GlobeImposter составляло 31,4% в этом месяце, занимая первое место, затем семейство GandCrab, составлялющее 20,66%, и семейство Crysis, составляющее 12,4%.The proportion of ransomware families in May

Согласно доле зараженных систем, тройку лидеров в этом месяце по-прежнему составляют Windows 7, Windows 10 и Windows Server 2008. Среди них система Windows 7 заняла первое место с 47,89%, что немного увеличилось по сравнению с  41,73% в предыдущем месяце.

The proportion of infected systems in May

По сравнению с системой, зараженной в апреле и мае 2019 года, доля персональных систем в этом месяце увеличилась из-за Sodinokibi, который появился в начале апреля, мы ожидаем, что доля персональных систем увеличится в следующем месяце.

Comparison of the proportion of infected systems in April and May

Анализ эпидемической ситуации вымогателей

GandCrab

Объем распространения GandCrab начал постепенно снижаться с апреля. В середине апреля Sodinokibi начал занимать канал  распространения GandCrab и занял все в мае. Недавно авторы GandCrab объявили, что совокупный доход GandCrab достиг 2 миллиардов долларов, а средняя недельная выгода составляет 2,5 миллиона долларов. Автор также объявил, что он остановит обслуживание GandCrab и удалит ключ. Инцидент GandCrab вызвал «злонамеренный пример», и мы прогнозируем, что все больше игроков из серых и черных промышленностей присоединятся к разряду создания и распространения вымогателей.

Forum announcement by the author of GandCrab

GetCrypt

21 мая 360Total Security обнаружила, что вымогатель GetCrypt начал распространяться через уязвимость RigEK, воспользуя  инструменты. 22 мая объем распространения достиг своего пика. 360 Total Security перехватывает более 1000 атак данного вируса каждый день, и в настоящее время мы отслеживали, что основным средством распространения являются сайты троянского коня. В Инструменте дешефр. По-вымагателей 360 добавили поддержку расшифровки данного вируса .

X3m

X3m впервые появился в 2016 году, но из-за небольшого количества распространения  он не получил широкого внимания. Тем не менее, это распространение привело к заражению многочислительных систем отечественных предприятий и отдельных лиц. Данный вариант в основном использует грубую силу, чтобы получить пароль удаленного рабочего стола и вручную доставить вирус. Он изменяет суффикс файла на firex3m.

Files encrypted by X3m and Blackmail information

Этот вариант использует алгоритмы 3DES и RC4 для шифрования файлов,запишит ключ в локальный файл temp000000.txt. Так что вы можете использовать Инструмент дешефр. По-вымагателей 360, пока существует файл temp000000.txt.

Phobos

Информация и  расширение Phobos похожи на Crysis, кроме того, способ передачи тоже на Crysis похож. Таким образом, Phobos легко ошибочно принят за CrySis. Объем обратной связи вымогателей значительно увеличился в этом месяце, и несколько вариантов с большими передачами изменят суффикс файла на actin、phobos、acton и так далее.

На основании переименованного имени файла мы можем определить разницу между Phobos и Crysis:

  •  Crysis переименовал формат файла: оригинальное имя файла. Id-xxxxxxxx. [Почтовый ящик]. Суффикс
    Crysis переименовал формат файла
  • Phobos переименовал формат файла: оригинальное имя файла. Id [xxxxxxxx-xxxx]. [Mailbox]. СуффиксPhobos переименовал формат файлаИнформация о подсказках, используемая в интерфейсе информации о подсказках вымогателей, такая же, как в Crysis, поэтому трудно различить два семейства вымогателей по информации подсказок.

Phobos blackmail information

Раскрытие информации хакеров

Ниже покажен контактный адрес электронной почты вымогателей, используемый хакерами с мая 2019 года:

Раскрытие информации хакеров

Анализ данных защиты сервера

Согласно анализу данных в апреле и мае 2019 года, мы обнаружили, что доля системы XP значительно увеличилась с 5,92%(заняла 4-ое место в предыдущем месяце)до 9,05% (заняла 2-ое место в этом месяце).

The Proportion of attacked system

 

Согласно анализу данных атак с использованием слабых паролей в апреле и мае, количество атак с использованием слабых паролей значительно снизилось в этом месяце. Снижение объема атак происходит в основном по слабым паролям к базе данных Mysql, а высокий пик снизился с более чем 7 миллионов до 400 миллионов, возвращаясь к относительно «нормальному» пику атаки.

анализ данных атак с использованием слабых паролей в апреле и мае

Ключевое слово вымагателей

Поскольку в семьях WannaCry, AllCry, TeslaCrypt, Satan и kraken произошли крупномасштабные вспышки и длительные  передачи или из-за большого числа жертв, эти вирусы заняли вышие места в раннем поиске и оставались в столбце рекомендаций в течение длительного времени,что легко влияет на результаты поиска. В будущем в ежемесячном ТОП10 больше не будем показывать эти семьи.

Поиск вымогателей

Мы подсчитали ключевые слова вымогателей, которые пользователи искали в этом месяце. Ниже показаны ключевые слова с большим объемом поиска:

  • Firex3m: принадлежит к семейству вымогателей X3m, он в основном использует грубую силу для взлома паролей удаленного рабочего стола для ручной доставки вирусов. Данный вирус был взломан Инструментом дешефр. По-вымагателей 360.
  • Ale Scaletto: принадлежит к семейству GlobeImpsoter, его объем передачи больше всех в этом месяце.
  • GGGHJMNGFD: принадлежит семейству Attention. Данное семейство вымогателей также поставило вирус вручную, взломав пароль удаленного рабочего стола. Оно начало распространяться в марте 2019 года. В настоящее время было найдено три варианта, и суффиксы файлов будет изменены на: OOOKJYHCTVDF、GGGHJMNGFD、
  • Adobe: принадлежит к семейству Crysis. Суффикс Adobe — один из наиболее часто используемых суффиксов в данном семействе вымогателей.
  • GandCrab: автор данного вымогателя прекратил обновление GandCrab после объявления о прибыли в 2 миллиарда долларов, что шокирует всех.

Ключевое слово вымагателей

Резюме

Атака  на сервер по-прежнему является основным направлением современного вымогателей. Предприятия должны усилить свои возможности управления информационной безопасностью, особенно слабые пароли, уязвимости, общий доступ к файлам и управление удаленными рабочими столами, чтобы противостоять угрозе вымогателей. Здесь мы даем администратору несколько советов:

  1. Не используйте одну учетную запись и пароль на разных компьютерах .
  2. Пароль должен быть достаточным длиным и сложным, и следует периодически меняться.
  3. Общая папка с важной информацией должна быть настроена на контроль доступа и вам надо регулярно создавать резервные копии.
  4. Регулярно обнаруживайте уязвимости в системах и программном обеспечении и своевременно их исправляйте.
  5. Периодически проверяйте сервер, чтобы избавить от наличого исключения. Диапазон просмотра включает в себя:

а) Есть ли новый аккаунт?

б) Гость включен?

в) Есть ли какие-либо нарушения в системном журнале Windows?

г) Есть ли ненормальный перехват антивирусного программного обеспечения

Из-за того, что вымогатели, которые вновь появились в этом месяце, атакуют персональный компьютер, мы рекомендуем пользователям:

  1. Установите 360 Total Security и убедитесь, что он работает нормально.
  2. Загрузите программу с официального канала.
  3. Не добавляйте в доверие незнакомые программные обеспечения, если они были заблокированы антивирусным программным обеспечением.

 

Подробнее о 360 Total Security