您所在的位置: 首頁(yè) >
安全研究 >
安全通告 >
BalaClava、WannaGreenHat強(qiáng)勢(shì)上位
天氣漸熱,全國(guó)多地高溫陸續(xù)“上線(xiàn)”,直逼歷史峰值,與此同時(shí),網(wǎng)絡(luò)黑客“趁熱”打劫,再掀全球勒索風(fēng)潮。
據(jù)360安全大腦監(jiān)測(cè),在剛剛過(guò)去的5月中,不僅GlobeImposter、Phobos、Crysis三大家族輸出持續(xù)爆表,同時(shí)BalaClava、WannaGreenHat、RagnarLocker等勒索“后浪”也同樣爭(zhēng)相出位,引無(wú)數(shù)計(jì)算機(jī)用戶(hù)不禁感嘆:“貴圈太亂?!?/span>
GlobeImposter勒索家族晉升頭號(hào)“悍匪”
BalaClava勒索家族盡顯驚人破壞力
360安全大腦發(fā)布的《2020年5月勒索病毒疫情分析》顯示,當(dāng)月榜單頭部梯隊(duì)依舊上演虎狼之爭(zhēng)。
其中,GlobeImposter家族以22.85%的占比“反殺”上月毒王phobos家族,成為頭號(hào)勒索“悍匪”,Crysis家族則連晉兩位殺入榜單前三。而在后續(xù)部隊(duì)中,同樣不乏發(fā)力迅猛的新生惡勢(shì)力,BalaClava家族剛出道兩月,就已坐穩(wěn)榜單TOP 10,盡顯驚人破壞力。
該勒索病毒家族主要有KEY0001、KEY0003、KEY0004、KEY0005等多種變種,通常在暴力破解遠(yuǎn)程桌面口令成功后再進(jìn)行手動(dòng)投毒,并采用NTRU加密算法的密鑰加密操作。大批計(jì)算機(jī)用戶(hù)在4月底到5月期間無(wú)辜中招,其殺傷力可見(jiàn)一斑。
當(dāng)月中,360安全大腦還監(jiān)測(cè)到一款國(guó)產(chǎn)勒索病毒W(wǎng)annaGreenHat,其會(huì)將文件后綴修改為WannaGreenCap,并讓中毒用戶(hù)聯(lián)系指定QQ獲取解密密鑰。
有可能是考慮到了海外受害者的“用戶(hù)體驗(yàn)”,該勒索病毒作者還特別給出了“什么是QQ”的“友情提示”。
但從360安全大腦監(jiān)測(cè)到的數(shù)據(jù)來(lái)看,該病毒“出師未捷身先死”,在還未大范圍傳播之前,就已被360解密大師成功攻破并支持解密。
此外,針對(duì)企業(yè)攻擊的RagnarLocker勒索病毒家族,在當(dāng)月采取了新的傳播方式來(lái)試圖繞過(guò)殺毒軟件的檢測(cè)。
其會(huì)在被攻陷主機(jī)上部署一個(gè)完整的VirtualBox虛擬機(jī)軟件,然后將主機(jī)的磁盤(pán)映射到虛擬機(jī)中,從而達(dá)到在虛擬機(jī)中運(yùn)行勒索病毒加密主機(jī)中文件,或者竊取用戶(hù)重要數(shù)據(jù)以威脅用戶(hù)支付贖金的目的。據(jù)有效統(tǒng)計(jì),該病毒索要的贖金在20萬(wàn)美元到60萬(wàn)美元不等。
由于勒索病毒作惡猖獗,當(dāng)月被感染系統(tǒng)占比也隨之發(fā)生變化。上月“戰(zhàn)況膠著”的Windows 7和Windows 10兩大系統(tǒng),終于在當(dāng)月已見(jiàn)分曉,Windows 7系統(tǒng)以36.59%的占比成為最受勒索病毒PICK的攻擊首選。
Win 7系統(tǒng)淪為眾矢之的
360安全大腦多維防治勒索疫情
無(wú)獨(dú)有偶,在當(dāng)月被弱口令攻擊系統(tǒng)占比中,Windows 7同樣以76.99%的占比占據(jù)了所有被攻擊系統(tǒng)數(shù)據(jù)的過(guò)半江山,淪為眾矢之的。
在當(dāng)月出現(xiàn)的弱口令攻擊中,雖然MYSQL弱口令攻擊并未出現(xiàn)無(wú)較大波動(dòng),但MSSQL和RDP的弱口令攻擊卻均出現(xiàn)一次較大幅度的上漲。
同時(shí),MSSQL投毒攔截態(tài)勢(shì)與攻擊態(tài)勢(shì)有所出入,出現(xiàn)這一情況可能是由于MSSQL的峰值攻擊并非實(shí)戰(zhàn)攻擊,可能存在測(cè)試性攻擊;或者是可能因?yàn)楣粽吖ハ莘?wù)器后并未立刻進(jìn)行投毒操作,而是留作“庫(kù)存”。
從360安全大腦發(fā)布的《2020年5月勒索病毒疫情分析》報(bào)告中不難看出,老牌毒王實(shí)力維穩(wěn),新起勢(shì)力來(lái)勢(shì)洶洶,勒索病毒依舊將持續(xù)威脅到萬(wàn)千企業(yè)及個(gè)人用戶(hù)的用機(jī)安全。
為多維抵御各類(lèi)勒索病毒攻擊,360安全大腦已采取了多項(xiàng)防治措施。截止2019年11月,在360安全大腦強(qiáng)勢(shì)賦能下,360解密大師作為全球規(guī)模最大、最有效的勒索病毒解密工具,累計(jì)支持解密勒索病毒超過(guò)320種,服務(wù)用戶(hù)機(jī)器超26000臺(tái),解密文件近8500萬(wàn)次,挽回?fù)p失超5.47億元。
在2020年5月中,360解密大師再度新增了對(duì)WannaGreenHat、Dodged勒索病毒家族的解密支持,以及對(duì)部分Buran加密格式文件的修復(fù)支持。從其整體解密統(tǒng)計(jì)數(shù)據(jù)看,當(dāng)月解密量最大的是GandCrab,而使用解密大師解密文件的用戶(hù)數(shù)量最高的則仍是Stop家族的中招設(shè)備。
為避免勒索病毒攻擊的趨勢(shì)進(jìn)一步蔓延,360安全大腦特別提醒各位用戶(hù)需注意以下幾點(diǎn),全面提升勒索病毒防御水平:
1、及時(shí)前往weishi.#下載安裝360安全衛(wèi)士,全面攔截各類(lèi)勒索病毒攻擊;
2、中招用戶(hù)應(yīng)立即前往lesuobingdu.#確認(rèn)所中勒索病毒類(lèi)型,并通過(guò)360安全衛(wèi)士 “功能大全”窗口,搜索安裝“360解密大師”后,點(diǎn)擊“立即掃描”恢復(fù)被加密文件。
原文標(biāo)題:勒索病毒“后浪”奔涌:BalaClava、WannaGreenHat家族爭(zhēng)相出位