欢迎访问Sunbet,Sunbet是欧博Allbet的官方网站!

首页Sunbet_行业观察正文

2019上半年讹诈病毒家属概览

b9e08c31ae1faa592019-06-2528观察

停止2019年6月,讹诈病毒的活跃度照旧高居不下,相对刚进入群众视野时的“蠕虫式”发作,现在的讹诈病毒进击运动更加具有目的性、隐蔽性,进击者通常会损坏入侵历程留下的证据,使得溯源排查难以举行;讹诈变种也趋于“无特性化”,如运用随机后缀、讹诈信息文件无显着特性等,难以区分其家属。

多发讹诈家属

从讹诈病毒家属来看,国内多发的讹诈病毒家属主要有GlobeImposter、GandCrab、CrySiS、CroptON、Attention等:

1561435205929269.png 2019上半年讹诈病毒家属概览  观察 第1张

受益行业散布

从讹诈病毒进击目的来看,企业、科研教诲成为讹诈病毒的主要目的行业,总占比到达52%;在企业受益用户中,文件效劳器、财政效劳器等存储主要数据文件的效劳器通常是进击者的主要目的:

1561435210478271.png 2019上半年讹诈病毒家属概览  观察 第2张

受灾区域散布

从讹诈病毒受灾区域来看,广东省区域受沾染状况最为严峻,其次是浙江省和湖南省:

1561435215405712.png 2019上半年讹诈病毒家属概览  观察 第3张

进击体式格局占比

从讹诈病毒进击体式格局来看,RDP暴力破解仍然是运用最为普遍的进击体式格局,因而,将效劳器3389端口映射到公网并运用简朴暗码,是异常轻易遭到讹诈病毒入侵的,而且内网若是运用了雷同的弱暗码,能够致使多台终端遭到入侵;其次,社会工程也成为进击者猎取暗码的一种体式格局,运用公司邮箱注册挖矿账号、注册不良网站账号等行动能够会带来暗码泄漏的风险:

1561435219835537.png 2019上半年讹诈病毒家属概览  观察 第4张

2019上半年讹诈病毒生长走向:

1561435224278471.png 2019上半年讹诈病毒家属概览  观察 第5张

CrySiS讹诈病毒jack变种

流传门路:社会工程、RDP长途爆破等体式格局手动投放

讹诈特性:.jack

详细分析:https://mp.weixin.qq.com/s/aoR2eFtRi9K2rUNJQMX3Hg

1561435250109499.png 2019上半年讹诈病毒家属概览  观察 第6张

Attention讹诈病毒

流传门路:社会工程、RDP长途爆破等体式格局手动投放

讹诈特性:大写的随机[10-12]个英文字母

详细分析:https://mp.weixin.qq.com/s/yU3jfTbl9CRp2BJEsGTSFw

1561435256662363.png 2019上半年讹诈病毒家属概览  观察 第7张

Phobos讹诈病毒

流传门路:RDP暴力破解+人工投放

讹诈特性:[原文件名]+id[随机字符串]+[邮箱地点].phobos

详细分析:https://mp.weixin.qq.com/s/qe4MdwK6HAMHERF2xGo_EQ

1561435263208480.png 2019上半年讹诈病毒家属概览  观察 第8张

1561435276636941.png 2019上半年讹诈病毒家属概览  观察 第9张

Seon讹诈病毒

流传门路:破绽应用工具包Bizarro Sundown(GreenFlash)

讹诈特性:.FIXT

详细分析:https://mp.weixin.qq.com/s/t_L9ARGiiCusImPvhB6ifA

1561435281877206.png 2019上半年讹诈病毒家属概览  观察 第10张

1561435293417409.png 2019上半年讹诈病毒家属概览  观察 第11张

CryptON

流传门路:RDP暴力破解+人工投放

讹诈特性:id-[数字]_[[email protected]]_[[email protected]].x3m

详细分析:https://mp.weixin.qq.com/s/h4c0n1gV-ghp5CKTo83HZA

1561435297236621.png 2019上半年讹诈病毒家属概览  观察 第12张

1561435303254217.png 2019上半年讹诈病毒家属概览  观察 第13张

GandCrab v5.2

流传门路:垂纶邮件、RDP暴力破解

讹诈特性:随机后缀

详细分析:https://mp.weixin.qq.com/s/M93V2oWuwjdtOxI9-Vz6SQ

1561435310406938.png 2019上半年讹诈病毒家属概览  观察 第14张

相干变种:GandCrab“蓝屏”变种

详细分析:https://mp.weixin.qq.com/s/0-5xweSvuGpDhHdNAMO6qg

1561435315714368.png 2019上半年讹诈病毒家属概览  观察 第15张

X_Mister讹诈病毒

流传门路:RDP暴力破解+人工投放

讹诈特性:[原文件名]+[.Mr-X666]

详细分析:https://mp.weixin.qq.com/s/UOL7HwgS-nNjxLltAroNZA

1561435319284247.png 2019上半年讹诈病毒家属概览  观察 第16张

Planetary讹诈病毒

流传门路:RDP暴力破解、垃圾邮件

讹诈特性:.pluto、.mecury、.Neptune、.yum、.mira后缀

详细分析:https://mp.weixin.qq.com/s/hoD1gqTC5IPjZhDT4o9Wdw

1561435325778004.png 2019上半年讹诈病毒家属概览  观察 第17张

Golden Axe讹诈病毒

流传门路:未知

讹诈特性:五位随机字符后缀

病毒下载器应用搜索引擎告白推行,推装凌驾30款软件

腾讯安全御见威胁情报中心发现一病毒团伙通过伪装多款知名软件的官方下载站传播病毒下载器,其传播渠道是通过购买搜索引擎广告来获得流量,被病毒团伙使用的关键字包括谷歌浏览器、flash player等知名软件。病毒下载器运行后会联网获取推广配置文件,根据配置文件的定义静默推装超过30款软件,此外还会通过锁定浏览器主页及添加网址收藏夹等获得收益。 根据腾讯安图高级威胁追溯系统统计,该病毒五月初开始活跃,每天中招下载的用户近万,累计已有数十万用户电脑被感染。 传播趋势 以flash player为例,在某搜索引擎里搜索关键字“flash player”,搜索结果第一条展示的就是伪装的flash player官方下载页面(带有广告字样) 通过搜索引擎

详细分析:https://mp.weixin.qq.com/s/QaHJ1S-4zgH5IaUprekgHw

1561435330906309.png 2019上半年讹诈病毒家属概览  观察 第18张

1561435335747358.png 2019上半年讹诈病毒家属概览  观察 第19张

Tater讹诈病毒

流传门路:RDP暴力破解+人工投放

讹诈特性:“.tater”后缀

详细分析:https://mp.weixin.qq.com/s/fMTkQHX6icjyFnZV4B5VXw

1561435341835554.png 2019上半年讹诈病毒家属概览  观察 第20张

LockerGoga讹诈病毒

流传门路:定向进击

讹诈特性:”.locked”后缀

详细分析:https://mp.weixin.qq.com/s/Izl9dGKObok2Wlu_qh32_w

1561435346126054.png 2019上半年讹诈病毒家属概览  观察 第21张

Paradise讹诈病毒

流传门路:RDP暴力破解+人工投放

讹诈特性:[原文件名]_[随机字符串]_{[email protected]}.p3rf0rm4

详细分析:https://mp.weixin.qq.com/s/O4uMtDdFWVmAh2VEP3n7Kg

1561435350936534.png 2019上半年讹诈病毒家属概览  观察 第22张

1561435362435156.png 2019上半年讹诈病毒家属概览  观察 第23张

GlobeImposter4.0变种

流传门路:社会工程、RDP暴力破解、歹意程序绑缚等

讹诈特性:“.auchentoshan”后缀

详细分析:https://mp.weixin.qq.com/s/fmeZZiRmkfYi-K1H0RAKTg

1561435373438754.png 2019上半年讹诈病毒家属概览  观察 第24张

JCry讹诈病毒

流传门路:网页改动

讹诈特性:”.cry”后缀

详细分析:https://mp.weixin.qq.com/s/OnaWth1_Q5HtH8vEGQFnBA

1561435379111124.png 2019上半年讹诈病毒家属概览  观察 第25张

1561435384880639.png 2019上半年讹诈病毒家属概览  观察 第26张

CrazyCrypt2.1讹诈病毒

流传门路:未知

讹诈特性:“原文件名 + id.主机id.[[email protected]].crazy”

详细分析:https://mp.weixin.qq.com/s/ndf_F6xiNOvTw1LgYoP0kg

1561435390559907.png 2019上半年讹诈病毒家属概览  观察 第27张

Gorgon(蛇发女妖)讹诈病毒

流传门路:署理

讹诈特性:.[[email protected]]后缀

详细分析:https://mp.weixin.qq.com/s/AMMD0Hm3IFNuKXvlpoY5nQ

1561435403822402.png 2019上半年讹诈病毒家属概览  观察 第28张

1561435408693826.png 2019上半年讹诈病毒家属概览  观察 第29张

Clop讹诈病毒

流传门路:冒用有用的数字签名

讹诈特性:”.Clop“后缀

详细分析:https://mp.weixin.qq.com/s/xQ8ycFhjuSAnbSzUHHYsqQ

1561435416413760.png 2019上半年讹诈病毒家属概览  观察 第30张

Ryuk讹诈病毒

流传门路:垃圾邮件、破绽应用工具包

讹诈特性:”.RYK”后缀

详细分析:https://mp.weixin.qq.com/s/5WlAyZvyfoiEmv4JQSTaVg

1561435421538845.png 2019上半年讹诈病毒家属概览  观察 第31张

2019年6月,赚取了凌驾20亿美圆赎金的GandCrab讹诈软件团队宣告将在一个月内封闭其RaaS(讹诈软件即效劳)营业,但是,GandCrab的闭幕其实不代表讹诈病毒时期的闭幕,只要增强平安防护认识,能力制止不必要的丧失。

针对讹诈病毒残虐,严峻影响用户营业平安题目,深佩服已有完全的解决方案,主要从体系脆弱性和事宜相应高效性两个偏向举行重点打破。尽人皆知,企业体系脆弱性是企业被讹诈病毒入侵的根因,也就是说,恰是由于企业内部存在破绽、弱暗码、高危端口袒露等诸多题目,才给了黑客可乘之机;而讹诈病毒不同于别的病毒,其主要伤害是短时间内要挟企业中心数据资产,以是当讹诈病毒发作的时刻,必需举行分秒必争的事宜相应,高效和专业能力将讹诈病毒的伤害敏捷降到最低。

体系脆弱性方面

讹诈病毒入侵行动包罗,弱暗码爆破、端口扫描、垂纶邮件以及接纳没法被检测到的手腕举行讹诈(如0day),或许对没有实行监控步伐的体系提议进击,关于防备方来讲都是没法看到的。特别是在破绽公开到破绽补丁宣布的这个时间差内举行讹诈,针对没有被企业集合治理和打补丁的体系举行讹诈,并对平安装备和日记审计装备提议进击,阻挠这些装备举行纪录或许抹去这些装备上的歹意运动纪录,如许防备者就没法看到团体的讹诈事宜。

事宜相应高效性

多半企业没有完美的相应流程,致使相应时决议设计和行动都很迟缓,当发作讹诈病毒等重大平安事故时每每七手八脚,没有可参考的流程。以是,在日常平凡就须要举行应急相应的练习训练,须要流水线式的流程,明白的决议设计权和义务线。企业实践相应流程没有把讹诈IoC反馈给监测和检测流程,使得防备者误以为态势已被停止住了。相应历程没有有用的对讹诈真正应用的破绽举行修补,如许黑客后续还能再从谁人空子钻进来。蓄意进击者应用应急相应流程,作为他们进击设计的一部分,比方合营DDoS出奇制胜的举行讹诈。

深佩服平安团队提示人人:

1、实时给电脑打补丁,修复破绽。

2、对主要的数据文件按期举行非当地备份。

3、不要点击来源不明的邮件附件,不从不明网站下载软件。

4、只管封闭不必要的文件同享权限。

5、变动账户暗码,设置强暗码,制止运用一致的暗码,由于一致的暗码会致使一台被攻破,多台遭殃。

6、若是营业上无需运用RDP的,发起封闭RDP。当涌现此类事宜时,引荐运用深佩服防火墙,或许终端检测相应平台(EDR)的微断绝功能对3389等端口举行封堵,防备散布! 

原文地点: https://www.4hou.com/info/observation/18785.html

网友评论