2019年勒索病毒疫情分析报告.pdf

2019 年 勒索病毒疫情分析报告 核心安全反病毒部 2019 年 12 月 摘 要 2019 年前 11 个月，国内受勒索病毒攻击的计算机数量 约 412.5 万台（ 排除 WannaCry数据 ） 。 2 月 和 3 月的攻击相对较高，全年整体攻击趋势平稳，总体攻击量仍然较高。 2019 年前 11 个月 ， 360 反勒索服务平台一共接收并处理了 超过 4600 例遭勒索病毒攻击求助。 2019 年前 11 个月 ， 活跃的勒索病毒家族以 GlobeImposter、 Crysis、 phobos 为主 ， 这三大勒索病毒家族的受害者占比 约为 45.9%。 超过半数的勒索病毒依靠远程桌面入侵方式传播 。 而今年 ， 利用破解软件或激活工具传播的勒索病毒数量也有显著提升， 占到了总量的 12.0%。 勒索病毒所攻击的地区以数字经济发达和人口密集地区为主 ， 全年受到攻击最多的省市前三为：广东、浙江、北京。 被勒索病毒感染的系统中 Windows 7 系统占比最高 ， 占到总量的 40.1%。 在系统分类中 ，服务器系统占比进一步提高， 占到总量的 29.4%。 据统计， 在 2019 年前 11 个月，受到勒索病毒攻击最多的行业前三分别为：批发零售、制造业、教育， 占比分别为 16.8%、 16.1%、 12.4%。 根据反勒索服务的反馈数据统计 ， 受感染计算机的使用者多为 80 后和 90 后 ， 分别占到总数的 56.5%和 23.7%。 男性受害者占到了 92.5%， 女性受害者则仅为 7.5%。 根据反勒索服务的反馈数据统计 ， 97.4%的受害者在遭到勒索病毒攻击后 ， 选择不向黑客支付赎金。 2019 年 前 11 个月 ， 勒索病毒进一步加强对服务器系统的攻势 。 弱口令攻击依然是勒索病毒进入受害机器的主要手段 。 此外 ， 钓鱼邮件 、 漏洞入侵 、 网站挂马 、 利用破解或激活工具传播也是勒索病毒传播的常见手段。 2019 年，勒索病毒形势更加严峻，技术攻防更加激烈，传播形式更加多样，而对勒索病毒相关的服务也提出了更高的要求，标准化、专业化会是未来的一个趋势。 预计 2020 年，勒索病毒的制作与攻防解密相关产业会有进一步的发展。而与之对应的打击力度，也势必会增加。 目 录 第一章 勒索病毒攻击形势 .1 一、 勒索病毒总体攻击态势 .1 二、 反勒索服务处理情况 .2 三、 勒索病毒家族分布 .2 四、 传播方式 .3 第二章 勒索病毒受害者分析 .4 一、 受害者所在地域分布 .4 二、 受攻击系统分布 .5 三、 受害者所属行业分布 .6 四、 受害者年龄层分布 .7 五、 受害者性别分布 .7 六、 受害者赎金支付情况 .8 第三章 勒索病毒攻击者分析 .9 一、 黑客登录受害计算机时间分布 .9 二、 勒索联系邮箱的供应商分布 .9 三、 攻击手段 .10 （一） 弱口令攻击 .10 （二） 钓鱼邮件 .12 （三） 利用系统与软件漏洞攻击 .12 （四） 网站挂马攻击 .14 （五） 破解软件与激活工具 .14 第四章 勒索病毒发展趋势分析 .16 一、 勒索病毒攻防技术发展 .16 (一 ) 勒索病毒攻击形势变化 .16 (二 ) 勒索病毒防护技术发展 .17 (三 ) 勒索病毒处置服务更趋专业化 .18 二、 勒索病毒相关产业发展 .18 (一 ) 病毒制作传播与解密相关产业 .18 (二 ) 针对勒索病毒相关的犯罪打击 .18 第五章 安全建议 .20 一、 针对个人用户的安全建议 .20 (一 ) 养成良好的安全习惯 .20 (二 ) 减少危险的上网操作 .20 (三 ) 采取及时的补救措施 .20 二、 针对企业用户的安全建议 .20 附录 1 2019 年勒索病毒大事件 .22 一、 GANDCRAB金盆洗手 .22 二、 GLOBELMPOSTER继续蔓延 .22 三、 美国城市遭勒索病毒攻击，政府已交赎金 .22 四、 易到用车遭勒索病毒攻击 .23 五、 勒索病毒瞄准 NAS 服务器 .23 六、 六千余台服务器感染 LILOCKED .24 七、 要么缴纳赎金要么泄露数据 .25 八、 197 万元勒索赎金坑苦受害公司 .26 附录 2 360 安全卫士反勒索防护能力 .27 一、 弱口令防护能力 .27 二、 漏洞防护防护能力 .27 三、 挂马网站防护能力 .29 四、 钓鱼邮件附件防护 .29 附录 3 360 解密大师 .30 附录 4 360 勒索病毒搜索引擎 .31 1 第一章 勒索病毒攻击形势 2019 年 前 11 个月， 360 互联网安全中心监测到大量针对普通网民和政企部门的勒索病毒攻击。 根据 360 安全大脑统计， 2019 年前 11 个月共监控到受勒索病毒攻击的 计算机 412.5万台，处理反勒索申诉案件 近 4600 例。从攻击情况和危害程度上看，勒索病毒攻击依然是当前国内计算机面临的最大安全威胁之一。在企业安全层面，勒索病毒威胁也已深入人心，成为企业管理者最为担忧的安全问题 。 本章将 针对 2019 年 前 11 个月 ， 360 互联网安全中心监测到的勒索病毒相关数据进行分析。 一、 勒索病毒总体攻击态势 截至 2019 年 11 月 30 日数据， 360 互联网安全中心共监测到受勒索病毒攻击的计算机412.5 万台， 平均每天有约 1.2 万台国内计算机遭受勒索病毒的攻击。 该攻击量较 2018 年相比基本持平，总体疫情态势依然严峻。 下图 是 2019 年 前 11 个月受勒索病毒攻击设备数情况 。 从图中可见 ， 勒索病毒在上半年的高峰 集中在 2 月份前后，主要是 由于 GandCrab 家族的一次较大规模挂马疫情导致。而下半年则相对平稳， 11 月出现了小幅的抬头趋势 ， 但并未出现单个家族比较集中的勒索病毒攻击疫情。 总体而言 ， 2019 年勒索病毒的攻击态势依旧严峻 。 虽然 GandCrab 家族在 2 月发动了一波挂马攻击后便宣布不再更新，但其 继任者 Sodinokibi（“锁蓝”勒索病毒）很快就接替了其传播渠道 ， 继续危害社会 。 只要还存在着丰厚的利润 ， 整个勒索病毒产业就不会因为某一款病毒或某一个家族的退出而就此退出历史舞台。 2 二、 反勒索服务处理情况 2019 年 前 11 个月， 以 360 反勒索服务平台、 360 解密大师沟通群、 360 论坛勒索病毒板块为主的几大渠道，一共接收并处理了 近 4800 位遭受勒索病毒程序攻击的受害者求助，其中 超 4600 位经核实确认为遭到了勒索病毒的攻击。通过以上反馈渠道，反勒索服务共帮助超过 485 位用户完成文件解密。 下图给出了在 2019 年上 前 11 个月 ， 每月 通过 360 安全卫士反勒索服务 、 360 解密大师沟通群 、 360 论坛勒索病毒板块 ， 提交申请并确认感染勒索病毒的有效申诉量情况 。 其峰值出现 9、 10 月份 ， 两月均有超过 600 位用户被确认感染勒索病毒 。 但由于解密大师沟通群反馈和论坛反馈两个渠道为下半年新加入的反馈渠道 ， 所以与之前数据并无横向对比意义 ， 而下半年三大渠道的合计反馈量则总体平稳，无较大波动。 2019 年 1 月至 3 月期间，勒索病毒感染量涨幅较大， 主要是受到 GandCrab、 Paradise以及 GlobeImposter 三个勒索病毒家族的影响。 在 2 月到 3 月期间， 由于 GandCrab 和Paradise 勒索 家族使用 Fallout Exploit Kit 漏洞工具进行挂马攻击导致不少用户中招 。 在2019 年 4 月底一款新型勒索病毒 Sodinokibi 利用 WebLogic 漏洞传播， 到导致 5 月份感染量上升。由于该勒索病毒“继承” 了 GandCrab 的多个传播渠道、传播方式、传播人员等，该勒索病毒一直被视为 GandCrab 勒索病毒家族的“传承 ”。 在 8 月份到 9 月份期间， Stop勒索病毒开始疯狂利用激活工具 /破解软件传播勒索病毒 。 9 月至 11 月份 ， 通过暴力破解远程桌面进行传播的 GlobeImposter、 Crysis 以及 phobos 有大幅度上升。同时出现多个其他勒索病毒： 例如 GarrantyDecrypt、 Hermes837、 MedusaLocker 等勒索病毒。 三、 勒索病毒家族分布 下图给出的是 根据 360 反勒索服务数据 ， 所计算出的 2019 年 前 11 个月勒索病毒家族流行度占比分布图， PC 端 Windows 系统下 GlobeImposter、 Crysis、 phobos 这三大勒索病毒家族的受害者占比最多 ， 合计占到了 45.9%。 由于 GandCrab 家族的退出 ， 前 11 个月的数据3 中 ， 各家族的占比相较于上半年的数据会显得更为平均 ， 前 7 名之间的差距都不是非常的悬殊。 四、 传播方式 下图给出了攻击者投递勒索病毒的各种方式的占比情况，统计可以看出，远程桌面入侵仍然是用户计算机被感染的最主要方法 。 而邮件传播的方式则再次回暖 ， 超越共享文件夹入侵方式成为占比第二的传播手段。此外，值得特别注意的是：破解软件 /激活工具以 12%的占比一跃成为占比第四的传播方式 。 这是以往从未出现过的 。 这也对经常使用此类软件的用户敲响了警钟，对于安全软件对此类程序的报毒，不要盲目的认为是对此类程序的“误报 ”。 第二章 勒索病毒受害者分析 4 基于反勒索服务数据中申诉用户所提供的信息， 我们对 2019 年 前 11 个月遭受勒索病毒攻击的受害人群做了分析 。 在地域分布方面并没有显著变化 ， 依旧以数字经济发达地区和人口密集地区为主 。 而受感染的操作系统 、 所属行业则受今年流行的勒索病毒家族影响 ， 与以往有较为明显的变化。勒索病毒反馈者性别依旧以男性为主。 一、 受害者所在地域分布 360 互联网安全中心监测显示， 2019 年 前 11 个月反馈中招者排名前十的地区中广东地区占比高达 24.6%。 其次是浙江省 占比 11.0%， 北京占 10.9%。 Top10 地区与以往数据区别并不大 ， 依然是传统的勒索病毒高发区域 。 下图给出了被感染勒索病毒最多的前十个地区的占比情况。 5 2019 年前 11 个月受害者地区占比分布图如下 。 其中信息产业发达地区和人口密集地区是被攻击的主要对象。 二、 受攻击系统分布 基于反勒索服务数据统计 ， 被勒索病毒感染的系统中 Windows 7 系统占比最高 ， 占到总量的 40.1%。 其主要原因是国内使用该系统的用户基数较大 。 而根据对系统类型进行统计发现 ， 虽然个人用户的占比依然是绝对多数 ， 但将前 11 个月的总体数据与 2019 年上半年数据相比 ， 服务器感染勒索病毒的占比 提升了超过 4 个百分点 ， 更是比 2018 年度提升了 7%左右的占比。由此可见，黑客对服务器系统的针对性是日渐提升的。 6 三、 受害者所属行业分布 下图给出了受勒索病毒攻击的受害者所属行业分布情况。根据反馈数据的统计显示，2019 年 前 11 个月最易受到勒索病毒攻击的行业前十分别 为 ： 批发零售、制造业、教育、服务业 、 互联网 、 政府机关 、 建筑 、 能源业 、 金融业 、 医疗 。 这一数据与上半年波动不大 ， 全年所呈现的态势大体一致。