Анализ вымогателей в мае 2019 года

Konstant213

Пользователь
Сообщения
65
Реакции
76
Баллы
28
Распространение вымогателей принесло серьезную угрозу безопасности как для предприятий, так и для частных лиц. 360 Total Security всесторонне контролирует и защищает от вымогателей. Согласно данным этого месяца, количество отзывов об услугах анти-вымогателей немного увеличилось , среди которых объем обратной связи GlobeImposter занимает первое место, и новый вымогатель GetCrypt заслуживает внимания.

В этом месяце Инструмент дешефр. По-вымогателей 360 добавил функцию де шифрования вымогателей X3m (со суффиксом firex3m), Planetary, JSWorm и GetCrypt.

Анализ данных вирусной инфекции

По сравнению с прошлым месяцем (апрель 2019 г.) количество отзывов об услугах анти-вымогателей немного увеличилось. Увеличение в основном включает в себя новый вымогатель GetCrypt и вымогатель Sodinokibi, который распространяться по электронной почте.
44165
В соответствии с ситуацией обратной связи, количество отзывов больше в рабочие дни, чем в праздничные дни. Главным образом потому, что пользователи сразу найдут неисправности в машине в рабочие дни.
44166
Согласно анализу доли семейства вымогателей в этом месяце, мы обнаружили, что семейство GlobeImposter составляло 31,4% в этом месяце, занимая первое место, затем семейство GandCrab, составляющее 20,66%, и семейство Crysis, составляющее 12,4%.
44167
Согласно доле зараженных систем, тройку лидеров в этом месяце по-прежнему составляют Windows 7, Windows 10 и Windows Server 2008. Среди них система Windows 7 заняла первое место с 47,89%, что немного увеличилось по сравнению с 41,73% в предыдущем месяце.
44168
По сравнению с системой, зараженной в апреле и мае 2019 года, доля персональных систем в этом месяце увеличилась из-за Sodinokibi, который появился в начале апреля, мы ожидаем, что доля персональных систем увеличится в следующем месяце.
44169

Анализ эпидемической ситуации вымогателей
GandCrab

Объем распространения GandCrab начал постепенно снижаться с апреля. В середине апреля Sodinokibi начал занимать канал распространения GandCrab и занял все в мае. Недавно авторы GandCrab объявили, что совокупный доход GandCrab достиг 2 миллиардов долларов, а средняя недельная выгода составляет 2,5 миллиона долларов. Автор также объявил, что он остановит обслуживание GandCrab и удалит ключ. Инцидент GandCrab вызвал «злонамеренный пример», и мы прогнозируем, что все больше игроков из серых и черных промышленностей присоединятся к разряду создания и распространения вымогателей.
44170

GetCrypt

21 мая 360Total Security обнаружила, что вымогатель GetCrypt начал распространяться через уязвимость RigEK, воспользуя инструменты. 22 мая объем распространения достиг своего пика. 360 Total Security перехватывает более 1000 атак данного вируса каждый день, и в настоящее время мы отслеживали, что основным средством распространения являются сайты троянского коня. В Инструменте дешефр. По-вымогателей 360 добавили поддержку расшифровки данного вируса .
X3m

X3m впервые появился в 2016 году, но из-за небольшого количества распространения он не получил широкого внимания. Тем не менее, это распространение привело к заражению многочисленных систем отечественных предприятий и отдельных лиц. Данный вариант в основном использует грубую силу, чтобы получить пароль удаленного рабочего стола и вручную доставить вирус. Он изменяет суффикс файла на firex3m.
44171

Этот вариант использует алгоритмы 3DES и RC4 для шифрования файлов,запишит ключ в локальный файл temp000000.txt. Так что вы можете использовать Инструмент дешефр. По-вымогателей 360, пока существует файл temp000000.txt.
Phobos

Информация и расширение Phobos похожи на Crysis, кроме того, способ передачи тоже на Crysis похож. Таким образом, Phobos легко ошибочно принят за CrySis. Объем обратной связи вымогателей значительно увеличился в этом месяце, и несколько вариантов с большими передачами изменят суффикс файла на actin、phobos、acton и так далее.

На основании переименованного имени файла мы можем определить разницу между Phobos и Crysis:

  •  Crysis переименовал формат файла: оригинальное имя файла. Id-xxxxxxxx. [Почтовый ящик]. Суффикс
44172
Phobos переименовал формат файла: оригинальное имя файла. Id [xxxxxxxx-xxxx]. [Mailbox]. Суффикс
44173
Информация о подсказках, используемая в интерфейсе информации о подсказках вымогателей, такая же, как в Crysis, поэтому трудно различить два семейства вымогателей по информации подсказок.
44174

Раскрытие информации хакеров

Ниже показаны контактные адреса электронной почты вымогателей, используемый хакерами с мая 2019 года:
44175

Анализ данных защиты сервера

Согласно анализу данных в апреле и мае 2019 года, мы обнаружили, что доля системы XP значительно увеличилась с 5,92%(заняла 4-ое место в предыдущем месяце)до 9,05% (заняла 2-ое место в этом месяце)
44176
Согласно анализу данных атак с использованием слабых паролей в апреле и мае, количество атак с использованием слабых паролей значительно снизилось в этом месяце. Снижение объема атак происходит в основном по слабым паролям к базе данных Mysql, а высокий пик снизился с более чем 7 миллионов до 400 миллионов, возвращаясь к относительно «нормальному» пику атаки.
44177

Ключевое слово вымогателей

Поскольку в семьях WannaCry, AllCry, TeslaCrypt, Satan и kraken произошли крупномасштабные вспышки и длительные передачи или из-за большого числа жертв, эти вирусы заняли высшие места в раннем поиске и оставались в столбце рекомендаций в течение длительного времени,что легко влияет на результаты поиска. В будущем в ежемесячном ТОП10 больше не будем показывать эти семьи
44178

Мы подсчитали ключевые слова вымогателей, которые пользователи искали в этом месяце. Ниже показаны ключевые слова с большим объемом поиска:

  • Firex3m: принадлежит к семейству вымогателей X3m, он в основном использует грубую силу для взлома паролей удаленного рабочего стола для ручной доставки вирусов. Данный вирус был взломан Инструментом дешефр. По-вымогателей 360.
  • Ale Scaletto: принадлежит к семейству GlobeImpsoter, его объем передачи больше всех в этом месяце.
  • GGGHJMNGFD: принадлежит семейству Attention. Данное семейство вымогателей также поставило вирус вручную, взломав пароль удаленного рабочего стола. Оно начало распространяться в марте 2019 года. В настоящее время было найдено три варианта, и суффиксы файлов будет изменены на: OOOKJYHCTVDF、GGGHJMNGFD、
  • Adobe: принадлежит к семейству Crysis. Суффикс Adobe — один из наиболее часто используемых суффиксов в данном семействе вымогателей.
  • GandCrab: автор данного вымогателя прекратил обновление GandCrab после объявления о прибыли в 2 миллиарда долларов, что шокирует всех.
44179

Резюме

Атака на сервер по-прежнему является основным направлением современного вымогателей. Предприятия должны усилить свои возможности управления информационной безопасностью, особенно слабые пароли, уязвимости, общий доступ к файлам и управление удаленными рабочими столами, чтобы противостоять угрозе вымогателей. Здесь мы даем администратору несколько советов:

  1. Не используйте одну учетную запись и пароль на разных компьютерах .
  2. Пароль должен быть достаточным длинным и сложным, и следует периодически меняться.
  3. Общая папка с важной информацией должна быть настроена на контроль доступа и вам надо регулярно создавать резервные копии.
  4. Регулярно проверяйте системы и программное обеспечение на наличие уязвимостей и своевременно их исправляйте.
  5. Периодически проверяйте сервер, чтобы избавить от наличия исключения. Диапазон просмотра включает в себя:

а) Есть ли новый аккаунт?

б) Гость включен?

в) Есть ли какие-либо нарушения в системном журнале Windows?

г) Есть ли ненормальный перехват антивирусного программного обеспечения

Из-за того, что вымогатели, которые вновь появились в этом месяце, атакуют персональный компьютер, мы рекомендуем пользователям:

  1. Установите 360 Total Security и убедитесь, что он работает нормально.
  2. Загружайте программы с официальных сайтов.
  3. Не добавляйте в доверие незнакомые программные обеспечения, если они были заблокированы антивирусным программным обеспечением.
источник: Анализ-вымогателей-в-мае-2019-года
 
Сверху Снизу