360安全卫士7月勒索病毒疫情分析-勒索病毒-百色金融新闻网

作者：百色金融新闻网

返回目录：经济新闻

最新资讯《360安全卫士7月勒索病毒疫情分析-勒索病毒》主要内容是勒索病毒,根据我们的反馈数据分析本月勒索病毒的感染情况呈下降趋势。同时防护记录显示，针对服务器的攻击依然活跃，单日的弱口令爆破拦截次数高达400万次。，现在请大家看具体新闻资讯。

2018年7月勒索病毒疫情分析

前言

勒索病毒给企业和个人的数据安全带来了严重的威胁，360互联网安全中心针对勒索病毒进行了多方位的监控和防御。根据我们的反馈数据分析本月勒索病毒的感染情况呈下降趋势，同时防护记录显示，针对服务器的攻击依然活跃，单日的弱口令爆破拦截次数高达400万次。

另外，本月更新的解密大师针对部分版本Satan勒索病毒提供了对应的解密支持。目前已经帮很多之前中招的用户挽回损失，恢复了文件。

感染用户数据

从今年1到7月的反馈数据来看，在4月份之后一直在处于下降状态，360安全卫士针对服务器的防爆破保护产生了明显效果。

图1. 2018你那勒索病毒反馈趋势

从7月份的监控数据来看，弱口令攻击依然活跃，但漏洞攻击的情况开始增加，尤其是第三方软件的漏洞攻击，如weblogic的反序列化漏洞被利用这类情况。从本月的感染趋势看，勒索病毒的传播量并不稳定，而是呈现出周期性的波动。这个和它的传播方式有一定的联系，攻击者会集中一段时间发起攻击。

图2. 7月份服务器勒索病毒感染趋势

针对被感染的系统进行分析，Windows 7系统的感染量占比依然是占比最大。

图3.7月份被勒索病毒感染的系统分布

勒索病毒分析

通过对7月份的反勒索服务数据进行统计，主流的勒索病毒家族还是GlobeImposter和Crysis两个家族。而且从本月的数据来看，GlobeImposter的占比已经高于Crysis家族的占比，之前反馈量较多的BTCWare家族在这个月没有新增反馈，同时新出现了关于Scarab家族的反馈。

图4.7月份勒索病毒占比

其中GlobeImposter家族和Crysis家族的手法和勒索病毒程序并没有多大变化，目前仍在使用的后缀如下表格：

表格1.勒索病毒后缀

7月份仍在传播的勒索病毒中值得一提的是Satan家族的勒索病毒，该家族的勒索病毒在6月份开始爆发，在7月下旬的时候就被破解了。解密工具已经添加到了360安全卫士中的文件解密工具中。

下图是用户反馈提供的使用360文件解密工具进行解密的截图：

图5.使用360"文件解密"工具协助用户解密文件

该勒索病毒的传播在7月份中旬的时候传播达到最高点的，单天的拦截量达到800多次,此之后开始下降。

图6.Satan攻击趋势图

另外需要注意的是新出现的Scarab家族。该家族的勒索病毒之前主要在俄罗斯进行传播，但是在7月份开始，国内出现有用户被该家族的勒索病毒感染，导致服务器宕机。

该勒索病毒的早期传播主要是利用Necurs僵尸网络进行传播，后期则使用了弱口令爆破的方式来植入病毒到用户机器。和GlobeImposter类似，该勒索病毒也使用了大量不同的文件后缀。下图是其中的一个变种：

图7.Scarab勒索病毒变种

GandCrab勒索病毒在7月初出现了新的版本——V4.0。并且在一个月内还进行了小版本的迭代更新，截止到本稿编写时，360捕获到的最新版本为V4.2。在更新版本的过程中，GandCrab曾因传播量较大导致有研究人员猜测其加入了SMB横向攻击来进行传播。但后经核实，该勒索病毒还未加入此类传播手段。在V3.0到V4.0这个大版本的更新中，主要更新点在于对文件的加密算法：该勒索病毒从最开始的使用RSA-2048加密算法变为了使用加密效率更高的Salsa2.0算法。