Компании и люди пострадали серьезные угрозы из-за распространения вымогателя. Мозг 360 Security всесторонне контролировал вымогатели и обороняли от их. Отзывы об услугах по борьбе с вымогателями немного увеличились, в основном потому что добавлено несколько популярных программ-вымогателей в этом месяце.
Инструмент расшифровки вымогателей 360 Total Security добавил вымогатель GandCrab (версия 5.0.4 и 5.1), вымогатель Aurora (с суффиксом Aurora, desu, cryptoid), вымогатель CrazyCrypt (версия 2.1, 3.19 и 4.1), сатаны последего варианта (с суффиксом evopro) и расшифровку для последнего варианта KeyPass / Stop (с суффиксом promok).
Анализ инфекционных данных
Согласно анализу инфекционных данных основного вымогателя в этом месяце, количество заражения в феврале 2019 года немного увеличилось по сравнению с январем. Основная причина заключается в том, что вымогатель GandCrab начал распространяться через веб-сайт Trojan-Hang после китайского новогоднего праздника, вызывая заражение большого количества пользователей во время посещения зависшего сайта в процессе просмотра веб-страниц.
Рисунок 1.статистики отзывов вымогателей за последние 12 месяцев
Статистика 360-службы защиты от вымогателей показывает, что произошло два значительных увеличения обратной связи. Первое увеличение. Объем обратной связи вырос после китайского новогоднего праздника и достиг пика 14 февраля. На увеличение обратной связи в основном повлиял праздник. Второе увеличение. Объем обратная связь увеличилась с 20 февраля и достигла своего пика 25-го. На обратную связь в основном повлияли обновления в версии семейства вымогателей GandCrab.
Рисунок 2. Тенденция обратной связи вымогателей за февраль 2019 г.
Статистика соотношения доли семей показывает, что семейство вымогателей GandCrab по-прежнему остается самым популярным, почти занимает 50%. Семейство вымогателей GlobeImposter занимает 26% и семейство вымогателей Crysis занимает 16% . Количество KeyPass / Stop значительно увеличилось в этом месяце по сравнению с другими месяцами и добавилось распространение Aurora и Blower Ransomware.
Рисунок 3. Карта распределения отзывов Вымогателей за февраль 2019 г.
Анализ зараженной системы показал, что в тройку лидеров по-прежнему входят Windows 7, Windows Server 2008 и Windows 10. Среди них система Windows 7 занимает первое место во всех системных версиях и выросла на 5% по сравнению с 50% в январе 2019 года.
Рисунок 4. Коэффициент зараженных систем в феврале 2019 г.
Анализ зараженной системы в январе 2019 года и феврале 2019 года показал, что соотношение персональных систем и серверных систем в зараженной системе в последних двух месяцев было относительно стабильным, и изменение было не таким значительным.
Рисунок 5. Сравнение типов зараженных систем в январе 2019 г. и феврале 2019 г.
Эпидемия вымогателей
Вымогатель GrandCrab
Поставщик системы безопасности объявил, что он сотрудничал с румынской полицией в получении ключей от GandCrab Ransomware 5.0.4 и 5.1 в феврале. Инструмент расшифровки вымогателей 360 незамедлительно выпустил соответствующие версии и выпустил соответствующие инструменты дешифрования 20 февраля. В то же время, 19 февраля, коммуникаторы GandCrab немедленно обновили свою версию до 5.2, технических средств для взлома ее пока нет.
В отзывах от китайских зараженных пользователей количество отзывов о том, что системные файлы были зашифрованы при доступе к троянскому веб-сайту, было относительно большим. Сайт с трояном в основном рекламирует на порносайты, и использует порно сайты, чтобы перейти к зависания страницы троянский проводить атаки. На этот раз они в основном использовали инструмент Fallout Exploit Kit, который был обновлен в этом месяце и добавил уязвимость к CVE-2018-4878 (уязвимость Adobe Flash Player) и CVE-2018-8174 (уязвимость удаленного выполнения кода движком Windows VBScript).
Рисунок 6. Сайт с трояном
В то же время было обнаружено, что файлы были зашифрованы из-за операции вложения электронной почты: отправитель, замаскированный под полицейского в Южной Корее, утверждает, что пользователь нарушил закон в Интернете и подаст в суд на него за ущемление репутации других, и попросил пользователя загрузить «документ» во вложении и заполните соответствующую информацию для расследования. Так называемый опросный документ на самом деле является вымогателем, замаскированным под документ.
Вымогатель GandCrab достиг пика 23 февраля из-за распространения уязвимости в этом месяце, которая связана с выпуском ключа с версией до GandCrab Ransomware 5.2. По времени обратной связи и тенденции распространения уязвимости обновление версии в Китае немного медленнее, чем в других странах.
Рисунок 8. График тенденций распространения вымогателя GandCrab через уязвимость
Вымогатель Сатана
Сатана был обновлен 1 марта для корректировки используемой схемы шифрования. Не так много изменений в выборе целей атаки. Он по-прежнему атаковал различные веб-приложения, такие как Weblogic, JBoss и т. Д., И атакованная система по-прежнему Windows и Linux.
Что касается тенденции нападения, восходящая тенденция повторно произошла после месяца молчания в феврале, но пик был намного меньше, чем предыдущие вспышки. В настоящее время инструмент расшифровки вымогателей 360 поддерживает дешифрование этой версии (суффикс файла изменится до evopro).
Рисунок 9. Тенденции распространения вымогателей сатаны
Вымогатель CrazyCrypt
Вымогатель CrazyCrypt в основном распространяется через Flash Player и плагин Flash. Вымогатели имитируют некоторые особенности вымогателей. Например, интерфейс для получения информации о вымогателях происходит из семейства Jigsaw, а формат имени файла для изменения зашифрованных файлов — из семейства Crysis. Вымогатель кодируется в код с ключом, используемым для дешифрования, поэтому он добавляется в поддержку дешифрования вымогателя в первый раз инструмент дешифрования 360, когда его захватил мозг безопасности 360.
Рисунок 10. Ключевая информация, закодированная в коде
Вымогатель Aurora
Вымогатель Aurora является вариантом семейства вымогателем RickRoll. Семейство вымогателей начало распространяться в 2018 году, и в этом месяце китайские пользователи были заражены. В Китае существует два основных канала связи для вымогателей: первый — рассылка спама с вложениями в пакетном режиме; другой — вводить вирус вручную, взламывая пароли удаленного рабочего стола. Так как вымогатель компилирует пароль зашифрованного файла и сохраняет его в локальном файле, мозг безопасности 360 выпускает соответствующий инструмент дешифрования после захвата вымогателя (в настоящее время доступны известный суффикс cryptiod, суффикс desu и суффикс aurora).
Рисунок 11. Файлы и сообщения вымогателей, зашифрованные программным обеспечением Aurora
Вымогатель Alanwalker
В начале февраля мозг безопасности 360 проверил, что вымогатель атакует веб-приложения, такие как Weblogic, Jboss и Tomcat. После успешного взлома серверов Windows с помощью веб-приложений вымогатель будет использовать PowerShell для выполнения вымогателей, что шифрует важные файлы на компьютере и запрашивает октет в 0,2 биткойна. Анализ вымогателей обнаружил, что содержимое основного кода, тип зашифрованных файлов и вымогателей были похожи на вымогателей Greystars, которые появились в апреле 2018 года, больше всего похожи на вариант Greystarts или код вымогателей, разработанный тем же разработчиком.
Рисунок 12. Быстрое сообщение вымогателей Alanwalker
Раскрытие информации о хакерах
Ниже приведены контактные электронные письма вымогателей, используемые хакерами с февраля 2019 года:
Анализ данных защиты сервера
Сравнительный анализ данных за январь 2019 года и февраль 2019 года показал, что доля атак на версии для персональных систем значительно увеличилась в этом месяце. Среди них Windows 7 выросла с 67% в январе 2019 года до 73% в этом месяце, а Windows 10 выросла с 7% в январе 2019 года до 11% в этом месяце.
Рисунок 13. Карта распространения системы Attack
Посредством статистического анализа данных атаки слабого пароля, отслеживаемых 360 Security Brain, Обнаружено, что анализ тенденции атаки слабых паролей MySQL имеет много взлетов и падений, а тенденция атак слабых паролей RDP (удаленного рабочего стола) относительно стабильна.
Рисунок 14. Тенденция атаки слабого пароля в феврале 2019 г.
Резюме
Атака вымогателей на сервер по-прежнему является основным направлением современного вымогателей. Предприятия должны усилить свои возможности управления информационной безопасностью, особенно слабые пароли, уязвимости, общий доступ к файлам и управление удаленными рабочими столами, чтобы противостоять угрозе вымогателей. Здесь мы даем администратору несколько советов:
- Не используйте одну и ту же учетную запись и пароль на разных компьютерах.
- Пароль для входа должен быть достаточным длиным и сложным, и пароль для входа следует периодически меняться.
- Общая папка с важными данными должна быть настроена на контроль доступа и вам надо регулярно создавать резервные копии.
- Регулярно выявляйте уязвимости в системах и программном обеспечении и своевременно их исправляйте.
- Периодически проверяйте сервер на наличие исключений. Диапазон просмотра включает в себя:
а) Есть ли новый аккаунт?
б) Guest включен?
в) Есть ли какие-либо нарушения в системном журнале Windows?
г) Имеет ли ненормальное перехват антивирусное программное обеспечение
Из-за вымогателей, которые вновь появляются в этом месяце на персональных компьютерах, мы рекомендуем, что:
- Установите защитное программное обеспечение и убедите, что оно работает правильно.
- Загрузите и установите программное обеспечение с официального канала.
- Если незнакомое программное обеспечение было перехвачено антивирусным программным обеспечением, не добавляйте его в зону доверия для продолжения работы.