1. u盤文件隔離病毒cmd
u盤文件隔離病毒cmd(u盤病毒隔離器)勒索病毒威脅仍是當前最熱門的網路安全風險,360反勒索服務已累計接收處置數萬勒索病毒感染求助。隨著新型勒索病毒的快速蔓延,企業數據泄露風險不斷上升,數百萬甚至上億贖金的勒索案件不斷出現。勒索病毒給企業和個人帶來的影響范圍越來越廣,危害性也越來越大。360安全大腦針對勒索病毒進行了全方位的監控與防禦,為需要幫助的用戶提供360反勒索服務。
2021年7月,全球新增的活躍勒索病毒家族有:BlackMatter、Grief、AvosLocker、nohope、GoodMorning、MiniWorld、FancyLeaks、LegionLocker、LockBit2.0等勒索軟體。本月還發現Linux版本的HelloKitty正對安裝VMWare ESXI的伺服器發起攻擊。
此外,本月發現DarkSide家族重命名為BlackMatter,而DoppelPaymer重命名為Grief。AvosLocker可能和Avaddon是同一批人運營,而目前雙重勒索病毒中最為活躍的一個家族是LockBit2.0。
感染數據分析
針對本月勒索病毒受害者所中勒索病毒家族進行統計,Stop家族佔比24.11%居首位,其次是佔比14.23%的phobos,Makop家族以10.28%位居第三。
本月GlobeImposter家族比較罕見的掉出前三,同時本月通過匿隱僵屍網路進行傳播的YourData以及針對網路存儲設備進行攻擊的ech0Raix勒索軟體有較大的上漲。
對本月受害者所使用的操作系統進行統計,位居前三的是:Windows 10、Windows 7以及Windows Server 2008。
2021年7月被感染的系統中桌面系統和伺服器系統佔比顯示,受攻擊的系統類型仍以桌面平台為主,與上月相比無較大波動。本月針對NAS設備的攻擊事件依然較多,導致其佔比有所上漲,建議受害者立即提高設備登錄口令的復雜度。若使用的NAS設備品牌為威聯通,則還應及時對HBS多媒體軟體進行升級。
勒索病毒疫情分析
Kaseya遭REvil供應鏈攻擊,100萬個系統被加密,購恢復文件需支付7000萬美元的贖金
REvil勒索團伙在暗網數據泄露網站發布了一則聲明:「 周五(2021.07.02)我們對MSP提供商發起了攻擊,超過100萬個系統被感染。如果任何人想要協商通用解密器——我們的價格是7000萬美元的BTC,那我們將公開發布解密器解密所有受害者的文件,然後每個系統都能在一小時內得到恢復。如果您對此類交易感興趣——請使用受害者系統中留下的『readme』文檔與我們聯系。」
圖1 .REvil勒索軟體公告
除通用解密器的報價,REvil還對不同類型的受害者報出了不同贖金:針對MSP(管理服務提供商) REvil索要500萬美元,而向其客戶則索要4萬到4.5萬美元作為贖金。此次攻擊事件影響了多個託管服務商及其一千多名客戶。其中瑞典最大連鎖超市Coop因此次事件導致收銀系統被感染,被迫關閉了500家商店。
針對此次事件調查時,REvil利用Kaseya VSA伺服器中的漏洞來訪問安裝在客戶系統中的VSA設備,然後通過被感染設備轉向所有連接的工作站和公司網路,並安裝有效載荷並加密客戶文件。該漏洞並非未知漏洞,Kaseya正在替其用戶發布補丁,但不幸的是還是被REvil先一步利用了。這次攻擊事件不僅是近兩年來感染設備量最大的一次,同時也創造了索要贖金金額最大的記錄。
大部分受害者均拒絕向黑客支付贖金——在7月中旬僅有兩名受害者向黑客妥協,而7月底,Kaseya從受信任的第三方手中獲取到了通用解密工具,可以協助此次受攻擊影響的設備免費解密文件。
宣稱速度最快的LockBit 2.0本月極度活躍
7月中旬,已消失6個月的LockBit在其數據泄露網站發布一條新聞宣布更新版本為2.0。其中最引人注意的是該家族宣稱是加密文件最快的勒索軟體,並提供了2.0 版本和其他34個勒索軟體的加密速度對照表格。同時還會為其攻擊者支提供名為"DESITET"的數據軟體,攻擊者可通過該軟體壓縮、上傳文件用戶文件,作者宣稱可在20分鍾內上傳100GB數據。在之前發現的版本中,該家族竊取數據利用到了第三方軟體MegaSync。而在今年6月份時,RagnarLocker勒索家族還曾利用MegaSync來公開發布受害者數據,不過當時MegaSync很快做出反應,刪除了該攻擊者賬戶並取消了鏈接的訪問許可權。所以猜測也正是由於這個原因,Lockbit 2.0選擇了一個新的數據軟體來竊取數據。
圖2. LockBit公布的勒索軟體加密文件效率測試圖
同時該勒索軟體還在新聞中提到,此次的最新版本具有自傳播能力。該勒索軟體通過使用Active Directory組策略自動加密Windows域。
圖3. LockBit2.0官方公告圖
本月該勒索軟體家族已成為活躍度最高的勒索病毒家族之一。截止目前為止已有62個企業/組織的數據遭到該家族的竊取,該家族最高一天曾連續公布12個受害企業/組織名單。目前該數據泄露網上僅保留40名受害者信息,由此可推測已有22名受害者向該勒索軟體團伙支付了贖金。
匿影僵屍網路協YourData勒索軟體再度來襲
近日360安全大腦監控到YourData勒索病毒開始採用匿影僵屍網路進行傳播(該僵屍網路還曾傳播過WannaRen以及CryptoJoker勒索病毒家族), 該家族又被稱作Hakbit、Thanos家族,最早出現於2019年11月。但在2021年1月中旬之前,國內極少出現被該家族或變種攻擊案例。2021年1月開始在國內出現該家族的變種,由於早期其後綴雖一直更新,但在國內傳播時使用到的郵箱均為[email protected],被命名為YourData。
該病毒演變過程如下:
2021年1月份開始,該變種開始在國內開始採用暴力破解遠程桌面口令進行傳播,並不具備任何針對性的投放勒索病毒。2021年4月份開始,發現該家族開始針對性的進行投放勒索軟體,使用帶有受害者公司名特徵的字元串作為後綴,重命名被加密文件。同樣採用暴力破解遠程桌面口令進行傳播。2021年7月份開始,發現該家族開始通過匿隱僵屍網路進行傳播,不具體針對性,但是傳播量有大幅度提升。
進行針對性攻擊時,該家族在生成的勒索提示信息中不僅給出了郵箱聯系方式,還給為受害者提供了一個網址,可和黑客進行即時通信。黑客給受害者24小時的時間,若不能在24小時內支付0.7BTC的贖金,解密文件所需費用將提升20%.
圖4. YourData及時通信
此次利用匿影僵屍網路投放的勒索病毒生成的勒索提示信息,僅提供郵件地址供受害者聯系。
圖5. YourData勒索提示信息
DoppelPaymer勒索軟體重命名為Grief卷土重來
在DarkSide襲擊美國最大的燃料管道運營商之一的Colonial 電腦 Pipeline後,DoppelPaymer的活動開始下降。5月開始其數據泄露網站未曾更新過受害者消息,近日發現DoppelPaymer進行品牌重塑後,重命名為Grief(又叫Pay)。兩者有較多相似之處:
兩者共享相同的加密方式。相同的分發渠道(Dridex僵屍網路)。高度相似的代碼,採用相同的加密演算法(RSA2048和AES-256)。均使用歐盟通用數據保護條例(GDPR)作為警告,未付款的受害者仍將因違規而面臨法律處罰。數據泄露站點上的防止爬蟲的驗證碼等。
該家族最早的信息是從2021年6月開始的,但被捕獲到的樣本的編譯時間為5月17日。同時該家族接受贖金時僅支持XMR虛擬貨幣,採用此虛擬貨幣很大程度是為了避免被追溯。目前已出現受害者,其中Clover Park學區被索要價值35萬美元的XMR。
DarkSide更名為BlackMatter再度活躍,目標瞄準資產超1億美元企業
在DarkSide襲擊美國最大的燃料管道運營商之一的Colonial Pipeline後不久,便關停了所有的基礎設施,並銷聲匿跡。7月發現一新型勒索軟體BlackMatter(由DarkSide重命名而來)開始在網路犯罪論壇開始發布各種廣告招募合作夥伴,並聲稱同時擁有REvil和DarkSide的最佳功能。
該團伙在攻擊受害者的同時,還積極的從其他攻擊者那裡購買網路訪問許可權以發起新的勒索攻擊。該家族曾在網路犯罪論壇發布消息稱,其主要目標是那些盈利超過1億美元,網路中存在500-15000台設備的公司。
電腦
圖6. BlackMatter團隊暗網論壇招募同夥廣告
該勒索病毒不僅支持在Windows上運行,還支持在Linux和EXSi伺服器上運行。目前已出現受害者被攻擊,並且已有受害者向BlackMatter支付400萬美元的贖金。從其數據泄露網站發布的消息看,該家族聲稱不會攻擊以下行業,並承諾若以下行業不幸中招,會提供免費的解密工具:
醫療行業關鍵基礎設施(核電站、發電廠、水處理設施)石油和天然氣工業(管道、煉油廠)非盈利公司政府部門
圖7. BlackMatter暗網數據泄露網站公告
黑客信息披露
以下是本月收集到的黑客郵箱信息:
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
表格1. 黑客郵箱
當前,通過雙重勒索模式獲利的勒索病毒家族越來越多,勒索病毒所帶來的數據泄露的風險也越來越大。以下是本月通過數據泄露獲利的勒索病毒家族佔比,該數據僅為未能第一時間繳納贖金或拒繳納贖金部分(因為第一時間聯系並支付贖金的企業或個人不會在暗網中公布,因此無這部分數據)。
以下是本月被雙重勒索病毒家族攻擊的企業或個人。若未發現被數據存在泄露風險的企業或個人也請第一時間自查,做好數據已被泄露准備,採取補救措施。
dimeo
Geneva, Ohio
Arabian Cargo Group
imasa
Stevens & Lee
Breydons Solicitors
cegos
Talbert House
Pesquera Exalmar SAA
KASEYA
Paxton Access
ensingerplastics.com
Walsin
Paxton Access
Dragon Capital Group
Alcedo
aris-services
cecengenharia.com.br
Bamford
cometgroup.be
Commune De Villepinte
ALBIOMA
kennen.com.ar
Heller Injury Lawyers
CHADDAD
betonlucko.hr
swiftlogistics.com.my
Beckley
anderscpa.com
Virginia Defense Force
habasit
Techni+Contact
Belperio Clark Lawyers
matchmg
siro-group.com
europeanaccounting.net
Gulf Oil
The Wild Rabbit
creditoycaucion.com.ar
Hx5, LLC
Mambrino S.A.C.
sahintoptangida.com.tr
DiaSorin
Gateway College
classicalmusicindy.org
keltbray
INSERM-TRANSFER
Sierra Air Conditioning
friedrich
grupodismar.com
kuk.de / KREBS + KIEFER
PCM Group
f**************
Florida Sugar Cane League
BHoldings
vincents.com.au
Walter's Automotive Group
Cinépolis
SAC Wireless Inc
Elm3 Financial Group, LLC
Actiontec
Sandhills Center
Nottingham City Transport
infovista
Home in Brussels
Haftpflichtkasse Darmstadt
Jhillburn
Grupo DINA S.A.
GATEWAY Property Management
HUF GROUP
Phoenix Services
Artas Holding / Artas Insaat
Daylesford
riostarfoods.com
South Carolina Legal Services
inocean.no
modernbakery.com
Century 21 Gold Key Realty, Inc
IBC24 News
Agrokasa Holdings
Walter's Mercedes-Benz of Riverside
apg-neuros
Aquazzura Firenze
Trifecta Networks & CloudFirst Labs
ccz.com.au
Revision Skincare
On logistics Services Algeciras, S.L
Mega Vision
spiralfoods.com.au
Corporación Nacional de Telecomunicación
supplyforce
cspmould-stampi.it
SALZBURGER EISENBAHN TRANSPORT LOGISTIK GmbH
Colligan Law
WT Microelectronics
Orange County Chrysler Jeep Dodge Ram Dealership
表格2. 存在數據泄露風險的受害者名單
系統安全防護數據分析
通過將2021年6月與7月的數據進行對比,本月各個系統佔比變化均不大,位居前三的系統仍是Windows 7、Windows 8和Windows 10。
以下是對2021年7月被攻擊系統所屬地域采樣製作的分布圖,與之前幾個月採集到的數據進行對比,地區排名和佔比變化均不大。數字經濟發達地區仍是攻擊的主要對象。
通過觀察2021年7月弱口令攻擊態勢發現,RDP和MYSQL弱口令攻擊在總體量級層面無較大變化。而利用MSSQL進行傳播勒索的家族本月的感染量也有大幅度的下降——例如上個月的GlobeImposter家族。
勒索病毒關鍵詞
以下是本月上榜活躍勒索病毒關鍵詞統計,數據來自360勒索病毒搜索引擎。
devos:該後綴有三種情況,均因被加密文件後綴會被修改為devos而成為關鍵詞。但月活躍的是phobos勒索病毒家族,該家族的主要傳播方式為:通過暴力破解遠程桌面口令成功後手動投毒。eking:屬於phobos勒索病毒家族,由於被加密文件後綴會被修改為eking而成為關鍵詞。該家族主要的傳播方式為:通過暴力破解遠程桌面口令成功後手動投毒。Makop:該後綴有兩種情況, 均因被加密文件後綴會被修改為makop而成為關鍵詞:屬於Makop勒索病毒家族,該家族主要的傳播方式為:通過暴力破解遠程桌面口令成功後手動投毒。屬於Cryptojoker勒索病毒家,通過「匿隱」 進行傳播。gujd:屬於Stop勒索病毒家族,由於被加密文件後綴會被修改為gujd而成為關鍵詞。該家族主要的傳播方式為:偽裝成破解軟體或者激活工具進行傳播。zzla:同gujd。Lockbit:Lckbit勒索病毒家族,由於被加密文件後綴會被修改為lockbit而成為關鍵詞。該家族主要的傳播方式為:通過暴力破解遠程桌面口令成功後手動投毒。neer:同gujd。hauhitec:屬於CryptoJoker,由於被加密文件後綴會被修改為hauhitec而成為關鍵詞。通過「匿隱」 僵屍網路進行傳播。moqs: 同gujd。encrypt:該後綴被很多家族均使用過,但在本月活躍的是ech0Raix勒索軟體,由於被加密文件後綴會被修改為encrypt而成為關鍵詞。該家族針對網路存儲設備NAS進行攻擊,主要通過弱口令攻擊以及漏洞攻擊進行傳播。
解密大師
從解密大師本月解密數據看,解密量最大的是CryptoJoker,其次是GandCrab。使用解密大師解密文件的用戶數量最高的是被Stop家族加密的設備,其次是被Crysis家族加密的設備。
安全防護建議
面對嚴峻的勒索病毒威脅態勢,360安全大腦分別為個人用戶和企業用戶給出有針對性的安全建議。希望能夠幫助盡可能多的用戶全方位的保護計算機安全,免受勒索病毒感染。
針對個人用戶的安全建議
對於普通用戶,360安全大腦給出以下建議,以幫助用戶免遭勒索病毒攻擊。
養成良好的安全習慣電腦應當安裝具有高級威脅防護能力和主動防禦功能的安全軟體,不隨意退出安全軟體或關閉防護功能,對安全軟體提示的各類風險行為不要輕易採取放行操作。可使用安全軟體的漏洞修復功能,第一時間為操作系統和瀏覽器,常用軟體打好補丁,以免病毒利用漏洞入侵電腦。盡量使用安全瀏覽器,減少遭遇掛馬攻擊、釣魚網站的風險。重要文檔、數據應經常做備份,一旦文件損壞或丟失,也可以及時找回。電腦設置的口令要足夠復雜,包括數字、大小寫字母、符號且長度至少應該有8位,不使用弱口令,以防攻擊者破解。減少危險的上網操作不要瀏覽來路不明的色情、賭博等不良信息網站,此類網站經常被用於發起掛馬、釣魚攻擊。不要輕易打開陌生人發來的郵件附件或郵件正文中的網址鏈接。也不要輕易打開擴展名為js 、vbs、wsf、bat、cmd、ps1等腳本文件和exe、scr、com等可執行程序,對於陌生人發來的壓縮文件包,更應提高警惕,先使用安全軟體進行檢查後再打開。電腦連接移動存儲設備(如U盤、移動硬碟等),應首先使用安全軟體檢測其安全性。對於安全性不確定的文件,可以選擇在安全軟體的沙箱功能中打開運行,從而避免木馬對實際系統的破壞。採取及時的補救措施安裝360安全衛士並開啟反勒索服務,一旦電腦被勒索軟體感染,可以通過360反勒索服務尋求幫助,以盡可能的減小自身損失。針對企業用戶的安全建議企業安全規劃建議
對企業信息系統的保護,是一項系統化工程,在企業信息化建設初期就應該加以考慮,建設過程中嚴格落實,防禦勒索病毒也並非難事。對企業網路的安全建設,我們給出下面幾方面的建議。
安全規劃網路架構,業務、數據、服務分離,不同部門與區域之間通過VLAN和子網分離,減少因為單點淪陷造成大范圍的網路受到攻擊。內外網隔離,合理設置DMZ區域,對外提供服務的設備要做嚴格管控。減少企業被外部攻擊的暴露面。安全設備部署,在企業終端和網路關鍵節點部署安全設備,並日常排查設備告警情況。許可權控制,包括業務流程許可權與人員賬戶許可權都應該做好控制,如控制共享網路許可權,原則上以最小許可權提供服務。降低因為單個賬戶淪陷而造成更大范圍影響。數據備份保護,對關鍵數據和業務系統做備份,如離線備份,異地備份,雲備份等,避免因為數據丟失、被加密等造成業務停擺,甚至被迫向攻擊者妥協。安全管理賬戶口令管理,嚴格執行賬戶口令安全管理,重點排查弱口令問題,口令長期不更新問題,賬戶口令共用問題,內置、默認賬戶問題。補丁與漏洞掃描,了解企業數字資產情況,將補丁管理作為日常安全維護項目,關注補丁發布情況,及時更新系統、應用系統、硬體產品安全補丁。定期執行漏洞掃描,發現設備中存在的安全問題。許可權管控,定期檢查賬戶情況,尤其是新增賬戶。排查賬戶許可權,及時停用非必要許可權,對新增賬戶應有足夠警惕,做好登記管理。內網強化,進行內網主機加固,定期排查未正確進行安全設置,未正確安裝安全軟體設備,關閉設備中的非必要服務,提升內網設備安全性。人員管理人員培訓,對員工進行安全教育,培養員工安全意識,如識別釣魚郵件、釣魚頁面等。行為規范,制定工作行為規范,指導員工如何正常處理數據,發布信息,做好個人安全保障。如避免員工將公司網路部署,伺服器設置發布到互聯網之中。發現遭受勒索病毒攻擊後的處理流程發現中毒機器應立即關閉其網路和該計算機。關閉網路能阻止勒索病毒在內網橫向傳播,關閉計算機能及時阻止勒索病毒繼續加密文件。聯系安全廠商,對內部網路進行排查處理。公司內部所有機器口令均應更換,你無法確定黑客掌握了內部多少機器的口令。遭受勒索病毒攻擊後的防護措施聯系安全廠商,對內部網路進行排查處理。登錄口令要有足夠的長度和復雜性,並定期更換登錄口令重要資料的共享文件夾應設置訪問許可權控制,並進行定期備份定期檢測系統和軟體中的安全漏洞,及時打上補丁。是否有新增賬戶Guest是否被啟用Windows系統日誌是否存在異常殺毒軟體是否存在異常攔截情況登錄口令要有足夠的長度和復雜性,並定期更換登錄口令重要資料的共享文件夾應設置訪問許可權控制,並進行定期備份定期檢測系統和軟體中的安全漏洞,及時打上補丁。不建議支付贖金
最後——無論是個人用戶還是企業用戶,都不建議支付贖金!
支付贖金不僅變相鼓勵了勒索攻擊行為,而且解密的過程還可能會帶來新的安全風險。可以嘗試通過備份、數據恢復、數據修復等手段挽回部分損失。比如:部分勒索病毒只加密文件頭部數據,對於某些類型的文件(如資料庫文件),可以嘗試通過數據修復手段來修復被加密文件。如果不得不支付贖金的話,可以嘗試和黑客協商來降低贖金價格,同時在協商過程中要避免暴露自己真實身份信息和緊急程度,以免黑客漫天要價。若對方竊取了重要數據並以此為要挾進行勒索,則應立即採取補救措施——修補安全漏洞並調整相關業務,盡可能將數據泄露造成的損失降到最低。
電腦
2. 求暗黑破壞神戰網專用術語和各英雄最強技能加點
聖騎士
http://post..com/f?kz=138364321
德魯依
http://tieba..com/f?kz=369410896
刺客
http://post..com/f?kz=80452102
男巫
http://post..com/f?kz=80624961
亞馬遜
http://post..com/f?kz=82665082
女巫
http://post..com/f?kz=79483414
野蠻人
http://post..com/f?kz=84418135