2021年6月勒索病毒态势分析( 四 ) 勒索病毒传播至今

文章图片
通过观察2021年6月弱口令攻击态势发现， RDP和MYSQL弱口令攻击整体无较大波动。 MSSQL弱口令攻击虽然在6月一直呈现上升趋势，这和本月发现多个勒索病毒家族利用MSSQL弱口令远程投毒有一定关系,其中GlobeImposter家族已是多次发下利用该方式进行投毒，本月还发现phobos、CryLock勒索病毒家族也将该方式作为传播渠道之一。

文章图片
勒索病毒关键词
以下是本月上榜活跃勒索病毒关键词统计，数据来自360勒索病毒搜索引擎。
devos：该后缀有三种情况，均因被加密文件后缀会被修改为devos而成为关键词。但月活跃的是phobos勒索病毒家族，该家族的主要传播方式为：通过暴力破解远程桌面口令成功后手动投毒。 Makop：该后缀有两种情况,均因被加密文件后缀会被修改为makop而成为关键词:属于Makop勒索病毒家族，该家族主要的传播方式为：通过暴力破解远程桌面口令成功后手动投毒。属于Cryptojoker勒索病毒家，通过“匿隐”进行传播。 eking：属于phobos勒索病毒家族，由于被加密文件后缀会被修改为eking而成为关键词。该家族主要的传播方式为：通过暴力破解远程桌面口令成功后手动投毒。 Lockbit：Lckbit勒索病毒家族，由于被加密文件后缀会被修改为lockbit而成为关键词。该家族主要的传播方式为：通过暴力破解远程桌面口令成功后手动投毒。 pahd：属于Stop勒索病毒家族，由于被加密文件后缀会被修改为paha而成为关键词。该家族主要的传播方式为：伪装成破解软件或者激活工具进行传播。 sspq：同pahd 。 paas：同pahd 。 GlobeImposter-Alpha865qqz：属于GlobeImposter勒索病毒家族，由于被加密文件后缀会被修改为GlobeImposter-Alpha865qqz而成为关键词。该家族的传播渠道主要有两个，第一个是通过暴力破解获取到远程桌面后手动投毒，第二个是获取到mssql数据库密码后，通过数据库向用户机器投毒。 roger:同eking 。 Stop:属于Stop勒索病毒家族，该家族主要的传播方式为：伪装成破解软件或者激活工具进行传播。
文章图片
解密大师
从解密大师本月解密数据看，解密量最大的是GandCrab ，其次是CryptoJoker 。使用解密大师解密文件的用户数量最高的是被Crysis家族加密的设备，其次是被CryptoJoker家族加密的设备。

文章图片
安全防护建议
面对严峻的勒索病毒威胁态势， 360安全大脑分别为个人用户和企业用户给出有针对性的安全建议。希望能够帮助尽可能多的用户全方位的保护计算机安全，免受勒索病毒感染。
针对个人用户的安全建议对于普通用户， 360安全大脑给出以下建议，以帮助用户免遭勒索病毒攻击。
养成良好的安全习惯电脑应当安装具有高级威胁防护能力和主动防御功能的安全软件，不随意退出安全软件或关闭防护功能，对安全软件提示的各类风险行为不要轻易采取放行操作。可使用安全软件的漏洞修复功能，第一时间为操作系统和浏览器，常用软件打好补丁，以免病毒利用漏洞入侵电脑。尽量使用安全浏览器，减少遭遇挂马攻击、钓鱼网站的风险。重要文档、数据应经常做备份，一旦文件损坏或丢失，也可以及时找回。电脑设置的口令要足够复杂，包括数字、大小写字母、符号且长度至少应该有8位，不使用弱口令，以防攻击者破解。减少危险的上网操作不要浏览来路不明的色情、赌博等不良信息网站，此类网站经常被用于发起挂马、钓鱼攻击。不要轻易打开陌生人发来的邮件附件或邮件正文中的网址链接。也不要轻易打开扩展名为js、vbs、wsf、bat、cmd、ps1等脚本文件和exe、scr、com等可执行程序，对于陌生人发来的压缩文件包，更应提高警惕，先使用安全软件进行检查后再打开。电脑连接移动存储设备（如U盘、移动硬盘等），应首先使用安全软件检测其安全性。对于安全性不确定的文件，可以选择在安全软件的沙箱功能中打开运行，从而避免木马对实际系统的破坏。采取及时的补救措施安装360安全卫士并开启反勒索服务，一旦电脑被勒索软件感染，可以通过360反勒索服务寻求帮助，以尽可能的减小自身损失。针对企业用户的安全建议企业安全规划建议对企业信息系统的保护，是一项系统化工程，在企业信息化建设初期就应该加以考虑，建设过程中严格落实，防御勒索病毒也并非难事。对企业网络的安全建设，我们给出下面几方面的建议。