Анализ эпидемии вымогателей в феврале 2019 года

17 Мар. 2019 г.kate
Подробнее о 360 Total Security

Компании и люди пострадали серьезные угрозы из-за распространения вымогателя. Мозг 360 Security всесторонне контролировал  вымогатели и обороняли от их. Отзывы об услугах по борьбе с вымогателями немного увеличились, в основном потому что добавлено несколько популярных программ-вымогателей в этом месяце.

Инструмент расшифровки вымогателей 360 Total Security  добавил вымогатель GandCrab (версия 5.0.4 и 5.1), вымогатель Aurora (с суффиксом Aurora, desu, cryptoid), вымогатель CrazyCrypt (версия 2.1, 3.19 и 4.1), сатаны последего варианта (с суффиксом evopro) и расшифровку для последнего варианта KeyPass / Stop (с суффиксом promok).

Анализ инфекционных данных

Согласно анализу  инфекционных данных основного вымогателя в этом месяце, количество заражения в феврале 2019 года немного увеличилось по сравнению с январем. Основная причина заключается в том, что вымогатель GandCrab начал распространяться через веб-сайт Trojan-Hang после китайского новогоднего праздника, вызывая заражение большого количества пользователей во время посещения зависшего сайта в процессе просмотра веб-страниц.

Рисунок 1.статистики отзывов вымогателей за последние 12 месяцев

Рисунок 1.статистики отзывов вымогателей за последние 12 месяцев

Статистика 360-службы защиты от вымогателей показывает, что произошло два значительных увеличения обратной связи. Первое увеличение. Объем обратной связи вырос после китайского новогоднего праздника и достиг пика 14 февраля. На увеличение обратной связи в основном повлиял праздник. Второе увеличение. Объем обратная связь увеличилась с 20 февраля и достигла своего пика 25-го. На обратную связь в основном повлияли обновления в версии семейства вымогателей GandCrab.

Рисунок 2. Тенденция обратной связи вымогателей за февраль 2019 г.

Рисунок 2. Тенденция обратной связи вымогателей за февраль 2019 г.

Статистика соотношения доли семей показывает, что семейство вымогателей GandCrab по-прежнему остается самым популярным, почти занимает 50%.  Семейство вымогателей GlobeImposter занимает 26%  и семейство вымогателей Crysis занимает 16% . Количество KeyPass / Stop значительно увеличилось в этом месяце по сравнению с другими месяцами и добавилось распространение Aurora и Blower Ransomware.

Рисунок 3. Карта распределения отзывов Вымогателей за февраль 2019 г.

Рисунок 3. Карта распределения отзывов Вымогателей за февраль 2019 г.

Анализ зараженной системы показал, что в тройку лидеров по-прежнему входят Windows 7, Windows Server 2008 и Windows 10. Среди них система Windows 7 занимает первое место во всех системных версиях и выросла на 5% по сравнению с 50% в январе 2019 года.

Рисунок 4. Коэффициент зараженных систем в феврале 2019 г.

Рисунок 4. Коэффициент зараженных систем в феврале 2019 г.

Анализ зараженной системы в январе 2019 года и феврале 2019 года показал, что соотношение персональных систем и серверных систем в зараженной системе в последних двух месяцев было относительно стабильным, и изменение было не таким значительным.

Рисунок 5. Сравнение типов зараженных систем в январе 2019 г. и феврале 2019 г.

Рисунок 5. Сравнение типов зараженных систем в январе 2019 г. и феврале 2019 г.

Эпидемия вымогателей

Вымогатель GrandCrab

Поставщик системы безопасности объявил, что он сотрудничал с румынской полицией в получении ключей от GandCrab Ransomware 5.0.4 и 5.1 в феврале. Инструмент расшифровки вымогателей 360  незамедлительно выпустил соответствующие версии и выпустил соответствующие инструменты дешифрования 20 февраля. В то же время, 19 февраля, коммуникаторы GandCrab немедленно обновили свою версию до 5.2, технических средств для взлома ее пока нет.

В отзывах от китайских зараженных пользователей количество отзывов о том, что системные файлы были зашифрованы при доступе к троянскому веб-сайту, было относительно большим. Сайт с трояном в основном рекламирует на порносайты, и использует порно сайты, чтобы перейти к зависания страницы троянский проводить атаки. На этот раз они в основном использовали инструмент Fallout Exploit Kit, который был обновлен в этом месяце и добавил уязвимость к CVE-2018-4878 (уязвимость Adobe Flash Player) и CVE-2018-8174 (уязвимость удаленного выполнения кода движком Windows VBScript).Рисунок 6. Сайт с трояном

Рисунок 6. Сайт с трояном

В то же время было обнаружено, что файлы были зашифрованы из-за операции вложения электронной почты: отправитель, замаскированный под полицейского в Южной Корее, утверждает, что пользователь нарушил закон в Интернете и подаст в суд на него за ущемление репутации других, и попросил пользователя загрузить «документ» во вложении и  заполните соответствующую информацию для расследования. Так называемый опросный документ на самом деле является вымогателем, замаскированным под документ.

Рисунок 7. Электронное письмо с вымогателямиРисунок 7. Электронное письмо с вымогателями

Вымогатель GandCrab  достиг  пика 23 февраля из-за распространения уязвимости в этом месяце, которая связана с выпуском ключа с версией до GandCrab Ransomware 5.2. По времени обратной связи и тенденции распространения уязвимости обновление версии в Китае немного медленнее, чем в других странах.

Рисунок 8. График тенденций распространения вымогателя GandCrab через уязвимость

Рисунок 8. График тенденций распространения вымогателя GandCrab через уязвимость

 

Вымогатель Сатана

Сатана был обновлен 1 марта для корректировки используемой схемы шифрования. Не так много изменений в выборе целей атаки. Он по-прежнему атаковал различные веб-приложения, такие как Weblogic, JBoss и т. Д., И атакованная система по-прежнему Windows и Linux.

Что касается тенденции нападения, восходящая тенденция повторно произошла после месяца молчания в феврале, но пик был намного меньше, чем предыдущие вспышки. В настоящее время инструмент расшифровки вымогателей 360 поддерживает дешифрование этой версии (суффикс файла изменится до  evopro).

Рисунок 9. Тенденции распространения вымогателей сатаны

Рисунок 9. Тенденции распространения вымогателей сатаны

Вымогатель CrazyCrypt

Вымогатель CrazyCrypt  в основном распространяется через Flash Player и плагин Flash. Вымогатели имитируют некоторые особенности вымогателей. Например, интерфейс для получения информации о вымогателях происходит из семейства Jigsaw, а формат имени файла для изменения зашифрованных файлов — из семейства Crysis. Вымогатель кодируется в код с ключом, используемым для дешифрования, поэтому он добавляется в поддержку дешифрования вымогателя в первый раз инструмент дешифрования 360, когда его захватил мозг безопасности 360.

Рисунок 10. Ключевая информация, закодированная в коде

Рисунок 10. Ключевая информация, закодированная в коде

Вымогатель Aurora

Вымогатель Aurora является вариантом семейства вымогателем RickRoll. Семейство вымогателей начало распространяться в 2018 году, и в этом месяце  китайские пользователи были заражены. В Китае существует два основных канала связи для вымогателей: первый — рассылка спама с вложениями в пакетном режиме; другой — вводить вирус  вручную, взламывая пароли удаленного рабочего стола. Так как вымогатель компилирует пароль зашифрованного файла и сохраняет его в локальном файле, мозг безопасности 360 выпускает соответствующий инструмент дешифрования после захвата вымогателя (в настоящее время доступны известный суффикс cryptiod, суффикс desu и суффикс aurora).

Рисунок 11. Файлы и сообщения вымогателей, зашифрованные программным обеспечением Aurora

Рисунок 11. Файлы и сообщения вымогателей, зашифрованные программным обеспечением Aurora

Вымогатель Alanwalker

В начале февраля мозг безопасности 360 проверил, что вымогатель атакует веб-приложения, такие как Weblogic, Jboss и Tomcat. После успешного взлома серверов Windows с помощью веб-приложений вымогатель будет использовать PowerShell для выполнения вымогателей, что шифрует важные файлы на компьютере и запрашивает октет в 0,2 биткойна. Анализ вымогателей обнаружил, что содержимое основного кода, тип зашифрованных файлов и вымогателей были похожи на вымогателей Greystars, которые появились в апреле 2018 года, больше всего похожи на вариант Greystarts или код вымогателей, разработанный тем же разработчиком.

Рисунок 12. Быстрое сообщение вымогателей Alanwalker

Рисунок 12. Быстрое сообщение вымогателей Alanwalker

Раскрытие информации о хакерах

Ниже приведены контактные электронные письма вымогателей, используемые хакерами с февраля 2019 года:

Таблица 1. Электронный адрес хакера

Анализ данных защиты сервера

Сравнительный анализ данных за январь 2019 года и февраль 2019 года показал, что доля атак на версии для персональных систем значительно увеличилась в этом месяце. Среди них Windows 7 выросла с 67% в январе 2019 года до 73% в этом месяце, а Windows 10 выросла с 7% в январе 2019 года до 11% в этом месяце.

Рисунок 13. Карта распространения системы Attack

Рисунок 13. Карта распространения системы Attack

Посредством статистического анализа данных атаки слабого пароля, отслеживаемых 360 Security Brain, Обнаружено, что анализ тенденции атаки слабых паролей MySQL имеет много взлетов и падений, а тенденция атак слабых паролей RDP (удаленного рабочего стола) относительно стабильна.

Рисунок 14. Тенденция атаки слабого пароля в феврале 2019 г.

Рисунок 14. Тенденция атаки слабого пароля в феврале 2019 г.

Резюме

Атака вымогателей на сервер по-прежнему является основным направлением современного вымогателей. Предприятия должны усилить свои возможности управления информационной безопасностью, особенно слабые пароли, уязвимости, общий доступ к файлам и управление удаленными рабочими столами, чтобы противостоять угрозе вымогателей. Здесь мы даем администратору несколько советов:

  1. Не используйте одну и ту же учетную запись и пароль на разных компьютерах.
  2. Пароль для входа должен быть достаточным длиным и сложным, и пароль для входа следует периодически меняться.
  3. Общая папка с важными данными должна быть настроена на контроль доступа и вам надо регулярно создавать резервные копии.
  4. Регулярно выявляйте уязвимости в системах и программном обеспечении и своевременно их исправляйте.
  5. Периодически проверяйте сервер на наличие исключений. Диапазон просмотра включает в себя:

а) Есть ли новый аккаунт?

б) Guest включен?

в) Есть ли какие-либо нарушения в системном журнале Windows?

г) Имеет ли ненормальное перехват антивирусное программное обеспечение

Из-за вымогателей, которые вновь появляются в этом месяце на персональных компьютерах, мы рекомендуем, что:

  1. Установите защитное программное обеспечение и убедите, что оно работает правильно.
  2. Загрузите и установите программное обеспечение с официального канала.
  3. Если незнакомое программное обеспечение было перехвачено антивирусным программным обеспечением, не добавляйте его в зону доверия для продолжения работы.
Подробнее о 360 Total Security