提交需求
*
*

*
*
*
立即提交
點擊”立即提交”,表明我理解并同意 《美創(chuàng)科技隱私條款》

logo

    產(chǎn)品與服務
    解決方案
    技術(shù)支持
    合作發(fā)展
    關(guān)于美創(chuàng)
    申請試用
      美創(chuàng)科技發(fā)布《2023年11月勒索病毒威脅報告》
      發(fā)布時間:2023-12-08 閱讀次數(shù): 1321 次

      勒索病毒發(fā)展至今,其勒索產(chǎn)業(yè)鏈已極其完善,勒索病毒傳播快、范圍廣,已然成為了全球網(wǎng)絡安全最大的威脅。本月,破壞性勒索事件依舊高發(fā),勒索攻擊形勢嚴峻。

      勒索病毒狀況總覽
      2023年11月
       0
      受害者所在地區(qū)分布

      從受害者所在地域分布來看,經(jīng)濟發(fā)達地區(qū)仍是被攻擊的主要對象,與前幾個月采集到的數(shù)據(jù)相比,總體無較大波動。

       0
      勒索病毒影響行業(yè)分布

      從行業(yè)劃分來看,數(shù)據(jù)價值較高的教育、醫(yī)療、制造業(yè)、互聯(lián)網(wǎng)等行業(yè)一直是勒索病毒軟件攻擊的主要目標。

       0
      勒索病毒家族分布

      下圖是美創(chuàng)第59號實驗室對勒索病毒監(jiān)測后所計算出的11月份勒索病毒家族流行度占比分布圖。BeijingCrypt、Phobos、Makop三大勒索病毒家族的受害者占比最多。

       0

      勒索病毒傳播方式

      下圖為勒索病毒傳播的各種方式的占比情況。根據(jù)統(tǒng)計可以看出,勒索病毒的主要攻擊方式依然以遠程桌面入侵為主,其次利用網(wǎng)站掛馬和高危漏洞等方式傳播,整體攻擊方式呈現(xiàn)多元化的特征。

      勒索病毒TOP榜
      2023年11月
       01 
      BeijingCrypt

      BeijingCrypt勒索家族最早出現(xiàn)于2020年7月初,主要通過暴力破解遠程桌面口令后手動投毒。該病毒早期傳播因修改文件后綴為“.beijing”而被命名為BeijingCrypt,之后出現(xiàn)的變種會將被加密文件后綴修改為“520”、“360”和“halo”等。攻擊者向受害者索要4500美元到5000美元不等的等價虛擬貨幣作為贖金。

       02 
      Phobos

      Phobos勒索軟件從2019年開始在全球流行,并一直保持著很高的活躍度,并常年占據(jù)勒索病毒榜單前三,其不斷推出新變種,并頻繁通過RDP暴破、釣魚郵件等方式對企業(yè)單位及個人用戶進行攻擊,使受害者遭受數(shù)據(jù)財產(chǎn)的嚴重損失,影響十分惡劣。

       03 
      Makop

      Makop勒索病毒出現(xiàn)于2020年1月下旬,目前已知主要通過惡意郵件渠道傳播。Makop病毒加密的方式,是通過本地生成一個隨機的AES BLOB,使用RSA公鑰對其進行加密后放到被加密文件尾部,同時用上述隨機AES密碼對文件內(nèi)容進行加密,全盤加密完成后對內(nèi)存中使用到的隨機AES BLOB進行了清理。

      國內(nèi)大型勒索事件回顧
      2023年11月
       01
      河南某企業(yè)遭WIS勒索病毒攻擊
      河南某企業(yè)遭受WIS勒索病毒攻擊,此次攻擊事件導致多臺服務器遭到了破壞,多個服務受到影響。據(jù)悉,該企業(yè)服務器上的文件被加密鎖定,文件名也被篡改為“.[[MyFile@waifu.club]].wis”后綴,并且已無法正常打開。該企業(yè)內(nèi)部人員表示,已中斷了部分網(wǎng)絡進行隔離。

      在線點評:
      1.若企業(yè)內(nèi)部不慎感染了勒索病毒,將有可能在短時間內(nèi)造成大面積文件加密,造成不可挽回的損失。

      2.企業(yè)需要加強自身的信息安全管理能力——尤其是弱口令、漏洞、文件共享和遠程桌面的管理,以應對勒索病毒的威脅。

       02 
      Phobos勒索病毒攻擊廣東某企業(yè)
      位于廣東的某企業(yè)遭到勒索病毒攻擊,在攻擊期間,勒索軟件操控者設(shè)法獲得對內(nèi)部服務器的控制權(quán)后下發(fā)勒索病毒文件,勒索病毒運行后迅速加密數(shù)據(jù)庫、文檔等重要文件,并在文件名后添加“.[Encryptedd@mailfence.com].faust”后綴,導致文件不可用。通過后綴可確定該病毒為Phobos勒索病毒家族旗下的病毒變種。

      在線點評:
      1.Phobos勒索病毒還會持續(xù)感染被新放入中毒機器的文件,故如果不幸感染了.Devos病毒,請勿隨意使用存儲介質(zhì)插入中毒機器中,否則存儲介質(zhì)的文件將不可幸免地被加密。

      2.Phobos勒索病毒在運行過程中會進行自復制,并在注冊表添加自啟動項,如果沒有清除系統(tǒng)中殘留的病毒體,很可能會遭遇二次加密。

       03 
      BeijingCrypt病毒針對安徽某企業(yè)發(fā)起攻擊
      位于安徽的某企業(yè)披露其內(nèi)部服務器感染了勒索病毒,服務器中的文件已被加密,并確認感染了BeijingCrypt勒索病毒。此次攻擊事件導致多臺服務器遭到了破壞,多個服務受到影響。據(jù)悉,該企業(yè)服務器上的文件被加密鎖定,文件名也被篡改為“.halo”后綴。

      在線點評:
      1.“.halo”病毒屬于BeijngCrypt勒索病毒家族2023年的變種。

      2.BeijingCrypt勒索病毒的攻擊目標依然是Windows服務器。當BeijingCrypt勒索病毒成功入侵服務器之后,會將服務器作為僵尸機,然后對網(wǎng)絡中存在漏洞的其它計算機進行掃描并嘗試入侵。

      自救措施介紹
      勒索病毒
      勒索軟件具有強破壞性。一旦運行起來,用戶很快就會發(fā)現(xiàn)其特征,如部分進程突然結(jié)束、文件不能打開、文件后綴被篡改、屏保壁紙被更換等。
      當我們已經(jīng)確認感染勒索病毒后,應當及時采取必要的自救措施。之所以要進行自救,主要是因為:等待專業(yè)人員的救助往往需要一定的時間,采取必要的自救措施,可以減少等待過程中,損失的進一步擴大。

      (一)隔離中招主機

      當確認服務器已經(jīng)被感染勒索病毒后,應立即隔離被感染主機,防止病毒繼續(xù)感染其他服務器,造成無法估計的損失。隔離主要包括物理隔離和訪問控制兩種手段,物理隔離主要為斷網(wǎng)或斷電;訪問控制主要是指對訪問網(wǎng)絡資源的權(quán)限進行嚴格的認證和控制。
      1)  物理隔離
      物理隔離常用的操作方法是斷網(wǎng)和關(guān)機。斷網(wǎng)主要操作步驟包括:拔掉網(wǎng)線、禁用網(wǎng)卡,如果是筆記本電腦還需關(guān)閉無線網(wǎng)絡。
      2)  訪問控制
      加策略防止其他主機接入,關(guān)閉感染主機開放端口如 445、135、139、3389 等。修改感染主機及同局域網(wǎng)下所有主機密碼,密碼采用大小寫字母、數(shù)字、特殊符號混合的長密碼。

      (二)排查業(yè)務系統(tǒng)

      在已經(jīng)隔離被感染主機后,應對局域網(wǎng)內(nèi)的其他機器進行排查,檢查核心業(yè)務系統(tǒng)是否受到影響,生產(chǎn)線是否受到影響,并檢查備份系統(tǒng)是否被加密等,以確定感染的范圍。

      (三)聯(lián)系專業(yè)人員

      在應急自救處置后,建議第一時間聯(lián)系專業(yè)的技術(shù)人士或安全從業(yè)者,對事件的感染時間、傳播方式、感染家族等問題進行排查。
      防御方法介紹
      勒索病毒

      面對嚴峻的勒索病毒威脅態(tài)勢,美創(chuàng)第59號實驗室提醒廣大用戶,勒索病毒以防為主,注意日常防范措施,以盡可能免受勒索病毒感染:

      ① 及時給辦公終端和服務器打補丁,修復漏洞,包括操作系統(tǒng)以及第三方應用的補丁,防止攻擊者通過漏洞入侵系統(tǒng)。

      ② 盡量關(guān)閉不必要的端口,如139、445、3389等端口。如果不使用,可直接關(guān)閉高危端口,降低被漏洞攻擊的風險。

      ③ 不對外提供服務的設(shè)備不要暴露于公網(wǎng)之上,對外提供服務的系統(tǒng),應保持較低權(quán)限。

      ④ 企業(yè)用戶應采用高強度且無規(guī)律的密碼來登錄辦公系統(tǒng)或服務器,要求包括數(shù)字、大小寫字母、符號,且長度至少為8位的密碼,并定期更換口令。

      ⑤ 數(shù)據(jù)備份保護,對關(guān)鍵數(shù)據(jù)和業(yè)務系統(tǒng)做備份,如離線備份,異地備份,云備份等, 避免因為數(shù)據(jù)丟失、被加密等造成業(yè)務停擺,甚至被迫向攻擊者妥協(xié)。

      ⑥ 敏感數(shù)據(jù)隔離,對敏感業(yè)務及其相關(guān)數(shù)據(jù)做好網(wǎng)絡隔離。避免雙重勒索病毒在入侵后輕易竊取到敏感數(shù)據(jù),對公司業(yè)務和機密信息造成重大威脅。

      ⑦ 盡量關(guān)閉不必要的文件共享。

      ⑧ 提高安全運維人員職業(yè)素養(yǎng),定期進行木馬病毒查殺。

      ⑨ 部署美創(chuàng)數(shù)據(jù)庫防火墻,可專門針對RushQL數(shù)據(jù)庫勒索病毒進行防護。

      ⑩ 安裝諾亞防勒索軟件,防御未知勒索病毒。

      美創(chuàng)諾亞防勒索
      防護能力介紹

      為了更好地應對已知或未知勒索病毒的威脅,美創(chuàng)通過對大量勒索病毒的分析,基于零信任、守白知黑原則,創(chuàng)造性地研究出針對勒索病毒的終端產(chǎn)品【諾亞防勒索系統(tǒng)】。諾亞防勒索在不關(guān)心漏洞傳播方式的情況下,可防護任何已知或未知的勒索病毒。以下為諾亞防勒索針對勒索病毒的防護效果。

      美創(chuàng)諾亞防勒索可通過服務端統(tǒng)一下發(fā)策略并更新。默認策略可保護office文檔【如想保護數(shù)據(jù)庫文件可通過添加策略一鍵保護】。

      無諾亞防勒索防護的情況下:

      在test目錄下,添加以下文件,若服務器中了勒索病毒,該文件被加密,增加統(tǒng)一的異常后綴,并且無法正常打開。

      開啟諾亞防勒索的情況下:

      雙擊執(zhí)行病毒文件,當勒索病毒嘗試加密被保護文件,即test目錄下的文件時,諾亞防勒索提出警告并攔截該行為。

      查看系統(tǒng)上被測試的文件,可被正常打開,成功防護惡意軟件對被保護文件的加密行為。



      開啟堡壘模式的情況下:

      為保護系統(tǒng)全部文件,可一鍵開啟諾亞防勒索的堡壘模式。堡壘模式主要針對亞終端,例如ATM機,ATM機的終端基本不太會更新,那么堡壘模式提供一種機制:任何開啟堡壘模式之后再進入終端的可執(zhí)行文件都將被阻止運行,從而實現(xiàn)諾亞防勒索的最強防護模式。

      運行在堡壘模式下,執(zhí)行該病毒,立刻被移除到隔離區(qū),因此可阻止任何已知或未知勒索病毒的執(zhí)行。



      上一條:每周安全速遞2??|Rare Wolf組織針對俄羅斯發(fā)起網(wǎng)絡釣魚攻擊
      下一條:【漏洞通告】Atlassian Confluence Data Center and Server遠程代碼執(zhí)行漏洞
      免費試用
      服務熱線

      馬上咨詢

      400-811-3777

      回到頂部