2018年12月勒索病毒疫情分析

2018年12月27日 作者: 瀚思科技

一、威胁数据分析

通过对今年勒索病毒的感染数据进行分析统计,12月的感染量相对于11月的感染量有小幅度的下降。造成11月和12月感染趋势有所波动的原因主要有以下三个方面:

  • 11月20日到11月27日,通过U盘蠕虫传播的GandCrab勒索病毒持续上涨,并达到一个高峰期。虽然目前传播GandCrab勒索病毒的U盘蠕虫查杀量依然很高,但整体的最终感染量下降。

  • 11月30日到12月2日这段时间UNNAMED1989(网称“微信支付勒索病毒”)勒索病毒大规模传播,虽然杀毒软件均能有效查杀该病毒,但仍有不少用户中招。最后以加密方式被破解、作者被抓,此事件才告一段落。

  • 对11月和12月勒索病毒的感染数据进行分析,在12月GlobeImposter家族和Crysis家族传播量有所上涨。

在本月出现一次感染反馈快速下降是因为UNNAMED1989勒索病毒事件的出现并被快速解决。

对12月勒索病毒家族占比进行分析发现:本月GandCrab勒索病毒仍居首位,其主要传播渠道有两个 —— 其一,通过爆破获取到远程桌面密码,手动投毒;其二,通过U盘蠕虫进行传播。

二、勒索病毒最新情报

1、GandCrab相关情报

GandCrab家族通过U盘蠕虫进行传播有一个周期性,每逢周末,传播趋势就会下降。

GandCrab漏洞传播趋势:GandCrab通过U盘蠕虫传播在12月初达到一个顶峰,之后一下呈下降趋势。

瀚思科技经过跟踪分析此勒索病毒,发现该勒索病毒主要的传播方式

1)RDP爆破

2)发送垃圾邮件,附加恶意链接或邮件附件,通过Word宏等加载PowerShell下载

3)感染相关网站,下载捆绑有恶意程序的更新程序或正常软件

4)利用RigEK、GrandSoft、FalloutExploit等漏洞利用工具包,通过无文件方式PowerShell、JS、VBS等脚本释放加载

5)通过恶意下载器下载勒索病毒

6)通过U盘感染

但最为经典,使用面最广的,也是最为简单粗暴的是RDP爆破,其经典传播模型:

黑客首先RDP爆破其中一台主机,成功获取到该主机的控制权后,上传黑客一整套工具,包括:进程管理工具、内网扫描工具、密码抓取工具、暴力破解工具以及勒索病毒体。由于其中某些工具容易被杀软查杀,因此黑客对其进行了加密压缩处理,压缩密码为“123”。上传完工具后,黑客就开始“干活”了。其次,解决掉杀毒软件,用进程管理工具“ProcessHacker”结束杀软进程。然后,黑客试图“扩大战果”,控制更多的内网主机。使用内网扫描工具“KPortScan”、“nasp”、“NetworkShare”来发现更多潜在目标。

同时,使用“mimikatz”抓取本机密码,“WebBrowserPassView”抓取浏览器密码。由于内网中普遍存在密码相同的情况,因此抓到的密码很有可能能够直接登录其他主机。接下来就是使用“DUBrute”对内网主机进行RDP爆破。HW包含了勒索病毒体“HW.5.0.2.exe”以及一个文本文件“HW.txt”,“HW.txt”记录了用于无文件勒索的powershell命令。黑客可直接运行勒索病毒体或者执行powershell命令进行勒索。

从2018年1月,一年内GandCrab主要经历了五次大的版本变种,如下所示:

版本变种

其中各大的版本之间又出现过些小的版本更新,比如V2.1版本,V4.3版等,特别是V5版之后,连续出现多个小版本的迭代,这些小版本的功能代码基本类似,例如V5.0.1、V5.0.2、V5.0.3、V5.0.4、V5.0.5,以及这次出现最新版本V5.0.9,可以相信未来黑客还会变种。

如何防御和狙击GandCrab?

针对已经出现勒索现象的用户,由于暂时没有解密工具,建议尽快对感染主机进行断网隔离。

瀚思提醒广大用户尽快做好病毒检测与防御措施,防范此次勒索攻击。

1)及时给主机打补丁,修复漏洞,升级最新病毒库。

2)对重要的数据文件定期进行非本地备份。

3)更改账户密码,设置强密码,避免使用统一的密码,因为统一的密码会导致一台被攻破,多台遭殃。

4)GandCrab勒索软件会利用RDP(远程桌面协议),如果业务上无需使用RDP的,建议关闭RDP。

5)不要随意点开不明邮件,防止被钓鱼攻击。

6)不要从网上随意下载不明软件,此类软件极可能隐藏病毒。

7)做好U盘管控,避免通过U盘进行交叉感染。

2、Satan相关情报

Satan在12月2日更新了使用的密钥(后缀为lucky的版本)。该勒索病毒作者在12月8日再次更新勒索病毒版本,但是和往常不一样的是,此后虽然有过多次的版本更新,但并未发现进一步扩散的迹象(仅针对已被感染的机器进行病毒版本更新),故此总体的传播趋势没有上涨。

Satan漏洞传播趋势:该勒索病毒作者自12月8日后更新的版本主要是对其加密算法进行更新,但可能由于代码编写的不规范,更新后的病毒在某些版本的Windows系统中无法正常运行。

3、X3M勒索病毒相关情报

该勒索病毒家族的定名比较混乱,也常被称作CryptON、Nemesis、Cry36等。我们称其为X3M勒索病毒是因为其加密文件后添加的后缀使用过x3m(该后缀还被Globe勒索病毒家族使用过)。该勒索病毒从2017年开始传播,之前国内传播量极少,但在本月开始该勒索病毒在国内的传播量开始上涨。目前在国内的传播主要还是通过弱口令爆破获取用户机器远程桌面密码,手动投毒。目前该勒索病毒暂无技术破解方法。

4、黑客信息

以下是12月以来,黑客在使用的勒索病毒联系邮箱:

勒索病毒邮箱

三、总结

针对服务器的勒索病毒攻击依然是当下勒索病毒的一个主要方向,企业需要加强自身的信息安全管理能力——尤其是弱口令、漏洞、文件共享和远程桌面的管理,以应对勒索病毒的威胁,在此瀚思安全团队给广大用户一些建议:

对于海王勒索病毒GandCrab的传播模型,建议开启瀚思Enterprise如下规则

  • 黑客检测工具规则

  • 内网扫描行为规则

  • 进程管理规则

  • 针对特定主机的RDP暴力破解规则等联控预防利用RDP暴力破解勒索病毒入侵

另外,同时采取以下措施

1)多台机器,不要使用相同的账号和口令

2)登录口令要有足够的长度和复杂性,并定期更换登录口令

3)重要资料的共享文件夹应设置访问权限控制,并进行定期备份

4)定期检测系统和软件中的安全漏洞,及时打上补丁。

5)定期到服务器检查是否存在异常。查看范围包括:

  • 是否有新增账户
  • Guest是否被启用
  • windows系统日志是否存在异常
  • 杀毒软件是否存在异常拦截情况

而对于本月又重新崛起的这对个人电脑发起攻击的勒索病毒,建议广大用户

1)安装安全防护软件,并确保其正常运行。

2)从正规渠道下载安装软件。

3)对不熟悉的软件,如果已经被杀毒软件拦截查杀,不要添加到信任区继续运行。