2018年勒索病毒疫情分析报告.pdf

2018 年 勒索病毒疫情分析报告 2019 年 2 月 摘 要 全年受到攻击的计算机数量超过 430.0 万台（排除 WannaCry 及海外 数据）。 2 月的攻击量最低， 11 月和 12 月则有较为明显的升高，总体上全年攻击量波动较为平稳。 2018 年全年， 360 反勒索服务平台一共接收 并处理 了 超过 2000 位遭受勒索病毒软件攻击的受害者求助 ，同时， 通过人工通道协助 超过 200 名用户完成文件解密。 2018 年活跃的勒索病毒家族以 GandCrab、 GlobeImposter、 Crysis 为主。仅针对这三个家族的反勒索申诉案例就占到了所有案例的 80.2%。 勒索病毒所攻击的地区以信息产业发达和人口密集地区为主，全年受到攻击最多的省份前三为：广东、江苏、浙江。 被勒索病毒感染的系统中 Windows 7 系统占比最高，占到总量的 51.1%.而在个人系统与服务器系统的对比中，虽然个人系统被感染数量占绝对多数，但服务器系统的感染量也已到了不可忽视的地步。 据统计，在 2018 年中，受到勒索病毒攻击最大的行业前三分别为：教育、餐饮 &零售 、制造业，占比分别为 15.4%、 14.4%、 12.6% 根据反勒索服务的反馈数据统计， 受感染计算机的使用者多为 80 后和 90 后 ，分别占到总数的 51.0%和 32.5%。 男性受害者占到了 93.1%，女性受害者则仅为 6.9%。 2018 年，勒索病毒逐步放弃了对 C&C 服务器的使用。而根据入侵服务器的来源 IP 归属地分析，来自美国 的入侵最多，达到 22.5%。其后是俄罗斯，占到了 20.6%。 黑客入侵服务器的时段相对比较平均，但 23时至次日 3时这一时间段略多于其他时段，主要是由于该时段大多服务器 处于无人值守状态，入侵成功率高。而全年中， 5 月、 6月、 9 月 出现过 三次入侵小高峰 。 由于勒索病毒的主要目标转变为对服务器系统的攻击，其传播方式也转变为以弱口令攻击为主，此外还存在 U 盘蠕虫、软件供应链攻击、漏洞攻击等方式帮助勒索病毒进行传播。 勒索病毒的技术在 2018 年 有了明显的变化和发展，其主要体现在更紧密的与漏洞利用相结合、使用了更广泛的传播手 段、出现了更多样的勒索形式。 预计 在 2019 年，勒索病毒的攻击目标将进一步扩大化，各种版本的操作系统，服务和应用都将成为勒索病毒攻击的目标。 未来包括工控设备、各类嵌入式设备、 IOT 设备在内的各种智能设备面临勒索病毒攻击的风险也都将大大增加。同时，勒索病毒的攻击目标也将更具多样化，针对特定个人、企业、行业的勒索病毒将更加广泛。 目 录 第一章 勒索病毒全年攻击形势 . 1 一、 勒索病毒总体攻击态势 . 1 二、 反勒索服务处理情况 . 2 三、 勒索病毒家族分布 . 3 四、 传播方式 . 4 第二章 勒索病毒受害者分析 . 5 一、 受害者所在地域分布 . 5 二、 受攻击系统分布 . 6 三、 受害者所属行业分布 . 7 四、 受害者年龄层分布 . 8 五、 受害者性别分布 . 8 第三章 勒索病毒攻击者分析 . 10 一、 攻击者来源地域分布 . 10 (一 ) C&C 服务器分布 . 10 (二 ) 入侵 IP 分布 . 10 二、 黑客登录受害计算机时间分布 . 11 三、 攻击手段 . 12 （一） 弱口令攻击 . 12 （二） U 盘蠕虫 . 12 （三） 软件供应链攻击 . 13 （四） 系统 /软件漏洞攻击 . 13 （五） “ 无文件 ” 攻击 . 16 （六） RaaS . 16 第四章 未来趋势分析 . 17 一、 勒索病毒技术发展 . 17 (一 ) 紧跟漏洞发展趋势 . 17 (二 ) 更广泛的传播手段 . 17 (三 ) 更多样化的勒索形式 . 18 二、 攻击面、攻击目标与“黑灰色产业”发展 . 18 第五章 安全建议 . 20 一、 针对个人用户的安全建议 . 20 (一 ) 养成良好的安全习惯 . 20 (二 ) 减少危险的上网操作 . 20 (三 ) 采取及时的补救措施 . 20 二、 针对企业用户的安全建议 . 20 附录 1 2018年勒索病毒大事件 . 22 一、 GANDCRAB被两度破解 . 22 二、 勒索病毒导致某省级儿童医院系统瘫痪 . 22 三、 国产 XIAOBA 勒索病毒利用外挂传播 . 22 四、 勒索病毒 SATURN 首创传销式传播 . 22 五、 勒索病毒无差别攻击时代来临 . 22 六、 利用 WEBLOGIC漏洞的传播勒索病毒 首次出现 . 23 七、 RAKHNI 家族最新变种攻击 . 23 八、 SATAN勤奋更新不断破坏 . 23 九、 UNNAMED1989 从微信支付到自投 罗网 . 23 十、 冒牌 PETYA袭击半导体行业 . 24 附录 2 360安全卫士反勒索防护能力 . 25 一、 服务器防护能力 . 25 二、 面向传播链的防护能力 . 26 三、 综合防护能力 . 26 附录 3 360解密大师 . 28 1 第一章 勒索病毒 全年 攻击形势 2018 年以来， 360 互联网安全中心 监控 到大量针对普通网民和政企部门的勒索病毒攻击。根据 360 互联网安全中心数据（包括 360 安全卫士和 360 杀毒的 查 杀 数据） ，全年共监控到受勒索病毒攻击的计算机 430 余万台，并处理反勒索申诉案件 超过 2000 例。 从攻击情况和威胁程度上看， 勒索病毒攻击依然是当前国内计算机面临的最大安全威胁之一 。本章主要针对 2018 年全年， 360 互联网安全中心检测到的勒索病毒相关数据进行分析。 一、 勒索病毒 总体攻击态势 2018 年 ， 360 互联网安全中心共监测到受勒索病毒攻击的计算机 430.0 万台 ， 平均每天有约 1.2 万台国内 计算机 遭受勒索病毒 的 攻击。 该攻击量较 2017 年度有所减少，但总体态势依然比较 严峻。 下图给出了勒索病毒在 2018 年每月攻击的用户数情况。从图中可见 ， 2 月攻击量最低，仅 21.5 万台计算机遭到攻击，平均每天约 0.8 万台。而 年末的 11 月和 12 月 则 出现了小幅度的上涨，攻击量分别达到了 45.0 万和 48.6 万，平均每天分别有 1.5 和 1.6 万台计算机用户受到勒索病毒攻击。 注意，此部分攻击态势数据不包含 WannaCry 勒索病毒以及海外地区的相关数据 。 总体而言， 2018 年勒索病毒的攻 击态势 相对比较平稳。 2 月的数据下降，主要是由于 2月 天数较少又加上春节期间计算机设备的活跃度明显下降，所以数据层面看 ，很自然的 存在下跌 态势 。 11月 至 12月 出现的勒索病毒攻击量上涨 ， 主要是因为 两个勒索病毒家族的更新。其一 ，Satan 家族勒索病毒开始以每周一个 新 版本的速度频繁更新，并进一步增加了对服务器的攻击 手段 ； 其二 ， GandCrab 家族勒索病毒也在这个 时期 新增了蠕虫式的攻击手段。以上两个家族的更新及传播动作，导致了 11月 至 12月两个月的攻击量与 1月至 10月的攻击量相比，2 存在一个相对比较 的上升。 二、 反勒索 服务处理 情况 2018 年全年， 360 反勒索服务平台一共接收 并处理 了 1745 位遭受勒索病毒软件攻击的受害者求助 ，其中 1257 位经核实 确认 为遭到了勒索病毒的感染 。 结合 360 安全卫士论坛反馈与其它反馈渠道， 2018 年全年 360 反勒索服务累计服务用户超过 2100 人。并 通过人工 通道 帮助超过 200 名用户完成文件解密 （不含 360 解密大师等解密工具数据） 。 下图给出 了 在 2018 年 中， 每月确认感染勒索病毒的 有效申诉 量情况 。 其峰值出现在 11月，共计确认 277 位用户被确认感染 勒索病毒，平均每天 超过 9 位用户感染勒索病毒。而12 月的感染量有所下降，但依旧出于高位，共 181 位用户被确认感染勒索病毒，平均每天近 6 位用户被感染。 2018 年 11 月至 12 月期间，勒索病毒感染量大幅度上升，主要是受到 GandCrab 和UNNAMED1989（网称“微信支付勒索病毒”）两个勒索病毒家族的影响。由于感染了这两个勒索病毒家族而申请反勒索服务的用户数在总反馈量中占据了非常大的比例。 3 三、 勒索病毒 家族 分布 下图给出的，是 根据 360 反勒索服务 数据 所计算出的 2018 年勒索病毒家族流行度占比分布图 ， PC 端 Windows 系统下 GandCrab、 GlobeImposter、 Crysis 这三大勒索病毒家族的受害者占比最多，合计占到了 80.2%。 而在 2018 年流行度前十的勒索病毒中，除 UNNAMED1989勒索病毒外，其余九个家族的勒索病毒都有涉及到针对企业用户的 攻击，企业用户是本年度勒索病毒最为热衷的攻击对象。 而 基于反馈者 的 实际感染 时间， 发现 GandCrab 勒索病毒家族在 11 月至 12 月的感染量远超 GlobeImposter 和 Crysis 两个家族，其原因前文已经提到是由于该家族勒索病毒新增了蠕虫式攻击手段。 此外， BTCWare 勒索病毒 家族的活跃度主要集中在 2018 年上半年，在下半年所有确认感染勒索病毒的反馈中， BTCWare 仅在 8 月份出现过 1 例，之后就 再未出现过。 4 四、 传播方式 下图给出了攻击者向受感染计算机传播勒索病毒的各种方式占比情况。通过统计相关数据发现，通过远程桌面弱口令攻击方式传播的勒索病毒在所有已知的感染方式中依然占比最高，并且是绝对主力的传播方式。其次则是由于共享文件夹权限设置问题导致文件被加密 。而 2018 年首次出现的利用 U 盘蠕虫进播勒索病毒的案例，其占则达到了 10.4%，排在第三位。 5 第二章 勒索病毒受害者分析 基于反勒索服务数据中，申诉用户所提供的信息。我们对 2018 年遭受勒索病毒攻击的受害人群做了分析。在地域分布方面并没有显著变化，依旧以信息产业发达和人口密集地区为主。而受感染的操作系统、所属行业则受今年流行的勒索病毒家族影响，与以往有较为明显的变化。受害者年龄层分布则集中在 80 后和 90 后， 而 性别依旧以男性为主。 一、 受害者所在地域分布 360 互联网安全中心监测显示， 2018 年排名前十的地区中广东地区占比高达 18.5%。其次是江苏占比 8.1%，浙江 7.2%。前三地区均属于东南沿海一带地区。 下图给出了被感染勒索病毒最多的前十个地区的占比情况。 6 2018 年受害者地区 占比 分布图如下。其中信息产业发达地区和人口密集地区是被攻击的主要对象。 二、 受攻击系统分布 基于反勒索服务收到的反馈数据进行 统计，被勒索病毒感染的系统 中 Windows 7 系统占比最高，占到总量的 51.1%。其主要原因使用该系统的用户基数较大。 而 根据对系统类型进行统计发现，虽然个人用户的占比依然是绝对多数，但服务器系统的占比也足以说明近年来勒索病毒攻击目标向服务器转移的现状。 下图分别给出了被勒索病毒感染的 各版本 系统占比以及 个人系统和服务器系统的占比对比。