Анализ эпидемии вымогателей в феврале 2019 года

Konstant213

Пользователь
Сообщения
67
Реакции
78
Баллы
28
Компании и люди пострадали серьезные угрозы из-за распространения вымогателя. Мозг 360 Security всесторонне контролировал вымогатели и обороняли от их. Отзывы об услугах по борьбе с вымогателями немного увеличились, в основном потому что добавлено несколько популярных программ-вымогателей в этом месяце.

Инструмент расшифровки вымогателей 360 Total Security добавил вымогатель GandCrab (версия 5.0.4 и 5.1), вымогатель Aurora (с суффиксом Aurora, desu, cryptoid), вымогатель CrazyCrypt (версия 2.1, 3.19 и 4.1), сатаны последего варианта (с суффиксом evopro) и расшифровку для последнего варианта KeyPass / Stop (с суффиксом promok).

Анализ инфекционных данных

Согласно анализу инфекционных данных основного вымогателя в этом месяце, количество заражения в феврале 2019 года немного увеличилось по сравнению с январем. Основная причина заключается в том, что вымогатель GandCrab начал распространяться через веб-сайт Trojan-Hang после китайского новогоднего праздника, вызывая заражение большого количества пользователей во время посещения зависшего сайта в процессе просмотра веб-страниц.
43138
Рисунок 1.статистики отзывов вымогателей за последние 12 месяцев

Статистика 360-службы защиты от вымогателей показывает, что произошло два значительных увеличения обратной связи. Первое увеличение. Объем обратной связи вырос после китайского новогоднего праздника и достиг пика 14 февраля. На увеличение обратной связи в основном повлиял праздник. Второе увеличение. Объем обратная связь увеличилась с 20 февраля и достигла своего пика 25-го. На обратную связь в основном повлияли обновления в версии семейства вымогателей GandCrab.
43139

Рисунок 2. Тенденция обратной связи вымогателей за февраль 2019 г.

Статистика соотношения доли семей показывает, что семейство вымогателей GandCrab по-прежнему остается самым популярным, почти занимает 50%. Семейство вымогателей GlobeImposter занимает 26% и семейство вымогателей Crysis занимает 16% . Количество KeyPass / Stop значительно увеличилось в этом месяце по сравнению с другими месяцами и добавилось распространение Aurora и Blower Ransomware.
43140
Рисунок 3. Карта распределения отзывов Вымогателей за февраль 2019 г.

Анализ зараженной системы показал, что в тройку лидеров по-прежнему входят Windows 7, Windows Server 2008 и Windows 10. Среди них система Windows 7 занимает первое место во всех системных версиях и выросла на 5% по сравнению с 50% в январе 2019 года.
43141
Рисунок 4. Коэффициент зараженных систем в феврале 2019 г.

Анализ зараженной системы в январе 2019 года и феврале 2019 года показал, что соотношение персональных систем и серверных систем в зараженной системе в последних двух месяцев было относительно стабильным, и изменение было не таким значительным.
43142
Рисунок 5. Сравнение типов зараженных систем в январе 2019 г. и феврале 2019 г.

Эпидемия вымогателей

Вымогатель GrandCrab

Поставщик системы безопасности объявил, что он сотрудничал с румынской полицией в получении ключей от GandCrab Ransomware 5.0.4 и 5.1 в феврале. Инструмент расшифровки вымогателей 360 незамедлительно выпустил соответствующие версии и выпустил соответствующие инструменты дешифрования 20 февраля. В то же время, 19 февраля, коммуникаторы GandCrab немедленно обновили свою версию до 5.2, технических средств для взлома ее пока нет.

В отзывах от китайских зараженных пользователей количество отзывов о том, что системные файлы были зашифрованы при доступе к троянскому веб-сайту, было относительно большим. Сайт с трояном в основном рекламирует на порносайты, и использует порно сайты, чтобы перейти к зависания страницы троянский проводить атаки. На этот раз они в основном использовали инструмент Fallout Exploit Kit, который был обновлен в этом месяце и добавил уязвимость к CVE-2018-4878 (уязвимость Adobe Flash Player) и CVE-2018-8174 (уязвимость удаленного выполнения кода движком Windows VBScript).
43143
Рисунок 6. Сайт с трояном

В то же время было обнаружено, что файлы были зашифрованы из-за операции вложения электронной почты: отправитель, замаскированный под полицейского в Южной Корее, утверждает, что пользователь нарушил закон в Интернете и подаст в суд на него за ущемление репутации других, и попросил пользователя загрузить «документ» во вложении и заполните соответствующую информацию для расследования. Так называемый опросный документ на самом деле является вымогателем, замаскированным под документ.
43144
Рисунок 7. Электронное письмо с вымогателями

Вымогатель GandCrab достиг пика 23 февраля из-за распространения уязвимости в этом месяце, которая связана с выпуском ключа с версией до GandCrab Ransomware 5.2. По времени обратной связи и тенденции распространения уязвимости обновление версии в Китае немного медленнее, чем в других странах.
43145
Рисунок 8. График тенденций распространения вымогателя GandCrab через уязвимость



Вымогатель Сатана

Сатана был обновлен 1 марта для корректировки используемой схемы шифрования. Не так много изменений в выборе целей атаки. Он по-прежнему атаковал различные веб-приложения, такие как Weblogic, JBoss и т. Д., И атакованная система по-прежнему Windows и Linux.

Что касается тенденции нападения, восходящая тенденция повторно произошла после месяца молчания в феврале, но пик был намного меньше, чем предыдущие вспышки. В настоящее время инструмент расшифровки вымогателей 360 поддерживает дешифрование этой версии (суффикс файла изменится до evopro).
43146
Рисунок 9. Тенденции распространения вымогателей сатаны

Вымогатель CrazyCrypt

Вымогатель CrazyCrypt в основном распространяется через Flash Player и плагин Flash. Вымогатели имитируют некоторые особенности вымогателей. Например, интерфейс для получения информации о вымогателях происходит из семейства Jigsaw, а формат имени файла для изменения зашифрованных файлов — из семейства Crysis. Вымогатель кодируется в код с ключом, используемым для дешифрования, поэтому он добавляется в поддержку дешифрования вымогателя в первый раз инструмент дешифрования 360, когда его захватил мозг безопасности 360.
43147
Рисунок 10. Ключевая информация, закодированная в коде

Вымогатель Aurora

Вымогатель Aurora является вариантом семейства вымогателем RickRoll. Семейство вымогателей начало распространяться в 2018 году, и в этом месяце китайские пользователи были заражены. В Китае существует два основных канала связи для вымогателей: первый — рассылка спама с вложениями в пакетном режиме; другой — вводить вирус вручную, взламывая пароли удаленного рабочего стола. Так как вымогатель компилирует пароль зашифрованного файла и сохраняет его в локальном файле, мозг безопасности 360 выпускает соответствующий инструмент дешифрования после захвата вымогателя (в настоящее время доступны известный суффикс cryptiod, суффикс desu и суффикс aurora).
43148
Рисунок 11. Файлы и сообщения вымогателей, зашифрованные программным обеспечением Aurora

Вымогатель Alanwalker

В начале февраля мозг безопасности 360 проверил, что вымогатель атакует веб-приложения, такие как Weblogic, Jboss и Tomcat. После успешного взлома серверов Windows с помощью веб-приложений вымогатель будет использовать PowerShell для выполнения вымогателей, что шифрует важные файлы на компьютере и запрашивает октет в 0,2 биткойна. Анализ вымогателей обнаружил, что содержимое основного кода, тип зашифрованных файлов и вымогателей были похожи на вымогателей Greystars, которые появились в апреле 2018 года, больше всего похожи на вариант Greystarts или код вымогателей, разработанный тем же разработчиком
43149
Рисунок 12. Быстрое сообщение вымогателей Alanwalker

Раскрытие информации о хакерах

Ниже приведены контактные электронные письма вымогателей, используемые хакерами с февраля 2019 года:
43150

Анализ данных защиты сервера

Сравнительный анализ данных за январь 2019 года и февраль 2019 года показал, что доля атак на версии для персональных систем значительно увеличилась в этом месяце. Среди них Windows 7 выросла с 67% в январе 2019 года до 73% в этом месяце, а Windows 10 выросла с 7% в январе 2019 года до 11% в этом месяце.
43151
Рисунок 13. Карта распространения системы Attack

Посредством статистического анализа данных атаки слабого пароля, отслеживаемых 360 Security Brain, Обнаружено, что анализ тенденции атаки слабых паролей MySQL имеет много взлетов и падений, а тенденция атак слабых паролей RDP (удаленного рабочего стола) относительно стабильна.
43152
Рисунок 14. Тенденция атаки слабого пароля в феврале 2019 г.

Резюме

Атака вымогателей на сервер по-прежнему является основным направлением современного вымогателей. Предприятия должны усилить свои возможности управления информационной безопасностью, особенно слабые пароли, уязвимости, общий доступ к файлам и управление удаленными рабочими столами, чтобы противостоять угрозе вымогателей. Здесь мы даем администратору несколько советов:

  1. Не используйте одну и ту же учетную запись и пароль на разных компьютерах.
  2. Пароль для входа должен быть достаточным длинным и сложным, и пароль для входа следует периодически меняться.
  3. Общая папка с важными данными должна быть настроена на контроль доступа и вам надо регулярно создавать резервные копии.
  4. Регулярно выявляйте уязвимости в системах и программном обеспечении и своевременно их исправляйте.
  5. Периодически проверяйте сервер на наличие исключений. Диапазон просмотра включает в себя:

а) Есть ли новый аккаунт?

б) Guest включен?

в) Есть ли какие-либо нарушения в системном журнале Windows?

г) Имеет ли ненормальное перехват антивирусное программное обеспечение

Из-за вымогателей, которые вновь появляются в этом месяце на персональных компьютерах, мы рекомендуем, что:

  1. Установите защитное программное обеспечение и убедите, что оно работает правильно.
  2. Загрузите и установите программное обеспечение с официального канала.
  3. Если незнакомое программное обеспечение было перехвачено антивирусным программным обеспечением, не добавляйте его в зону доверия для продолжения работы.
источник: Анализ эпидемии вымогателей в феврале 2019 года | Блог 360 Total Security
 
Сверху Снизу