2019年6月勒索病毒的整理分析和数据恢复

一、勒索病毒整理分析

勒索病毒的蔓延,给企业和个人都带来了严重的安全威胁,变成了网络不法分子最普遍、最简单粗暴地活力手段。从5月的数据分析,勒索病毒受害人数略有上升,其中GlobeImposter的受害者数量居首位,新增的GetCrypt勒索病毒也较为值得关注。

但是宏观的来看,存在着工作日比较多,节假日相对较少的趋势;其实是在工作日,用户能更早或第一时间发现机器中毒的状况。

对5月勒索病毒家族占比分析发现,本月GlobeImposter家族占比31.4%居首位,其次是占比为20.66%的GandCrab 家族以及占比为12.4%的Crysis勒索病毒家族。

从被感染系统的占比看,本月占比居前三的仍是Windows 7 、Windows 10和Windows Server 2008。其中,Windows 7系统以占比47.89%在所有系统中居首位,相比于上月的41.73%有小幅度上升。

对2019年5月被系统所属IP采样制作的地域分布图,与之前几个月采集到的数据进行对比,地区排名和占比变化都不大。信息产业发达地区仍是被的主要对象。

通过对4月和5月弱口令入攻-击据分析,本月弱口令(远程桌面RDP、数据库端口等)攻-击量有大幅度下降。下降的攻-击量主要来自针对Mysql数据库的弱口令爆破,高峰值从700多万下降到400百万次,回归到了相对“正常”的攻-击峰值。

二、近期影响最大的病毒类型
1、GlobeImposter 3.0病毒
特征后缀:
.China4444 .Help4444 .Rat4444 .Ox4444 .Tiger4444 .Rabbit4444.Dragon4444 .Snake4444 .Horse4444 .Goat4444 .Monkey4444.Rooster4444 .Dog4444 .all4444 .Pig4444 .Alco4444 .Rat4444 .Skunk4444等
2、X3m勒索病毒家族
特征后缀:
.firex3m .x3m
3、Globelmposterb 5.0病毒
特征后缀:
.{[email protected]}KBK
.{[email protected]}VC 等
4、Attention勒索病毒家族
特征后缀:
.OOOKJYHCTVDF、.GGGHJMNGFD、.YYYYBJQOQDU 等

5、Sodinokibi 勒索病毒
勒索文件:xxx-readme.txt xxx-HOW-TO-DECRYPT.txt

勒索网站:decryptor.top

6、.actin后缀及.acute后缀病毒

特征后缀

.[[email protected]].actin

.[[email protected]].actin

.[[email protected]].acute 等

三、勒索邮箱整理收集
[email protected] [email protected] [email protected]
[email protected] [email protected] [email protected]
[email protected] [email protected] [email protected]
[email protected] [email protected] [email protected]
[email protected] [email protected] [email protected]
[email protected] [email protected] [email protected]
[email protected] [email protected] [email protected]
[email protected] [email protected] [email protected]
[email protected] [email protected] [email protected]
[email protected] [email protected] [email protected]
[email protected] [email protected] [email protected]
[email protected] [email protected] [email protected]
[email protected] [email protected] [email protected]
[email protected] [email protected] [email protected]
[email protected] [email protected] [email protected]
[email protected] [email protected] [email protected]
[email protected] [email protected] [email protected]
[email protected] [email protected] [email protected]
[email protected] [email protected] [email protected]
[email protected] [email protected] [email protected]
[email protected] [email protected] [email protected]
[email protected] [email protected] [email protected]
[email protected] [email protected] [email protected]
[email protected] [email protected] [email protected]
[email protected] [email protected] [email protected]
[email protected] [email protected] [email protected]
[email protected] [email protected] [email protected]
[email protected] [email protected] [email protected]
[email protected] [email protected] [email protected]
[email protected] [email protected] [email protected]
[email protected] [email protected] [email protected]
[email protected] [email protected] [email protected]
[email protected] [email protected] [email protected]
[email protected] [email protected] [email protected]
[email protected] [email protected] [email protected]
[email protected] [email protected] [email protected]
[email protected] [email protected] [email protected]
[email protected] [email protected] [email protected]
[email protected] [email protected] [email protected]
[email protected] [email protected] [email protected]
[email protected] [email protected] [email protected]
[email protected] [email protected] [email protected]
[email protected] [email protected] [email protected]
[email protected] [email protected] [email protected]
[email protected] [email protected] [email protected]
[email protected] [email protected] [email protected]
[email protected] [email protected] [email protected]
[email protected] [email protected]

四、数据恢复方案
目前支持的数据恢复方案,只有两种,分别是数据库恢复和全盘解密
1、数据库恢复
这种方案仅限于恢复数据库文件,同时可能存在数据丢失。
由于数据库文件具备独特的数据结构特征,文件内部包含大量的校正数据和容错数据,有效的业务数据通常在数据库文件中占比很小,病毒在对数据库文件加密的时候,考虑到文件大小及加密的时间,通常会对文件进行间断性“点状”加密,而不是整体全部加密,所以可以根据对未被破坏的业务数据进行提取,同时参考校验数据和容错数据对已被破坏的业务数据进行恢复。
2、全盘解密
这种方案能对机器上所有类型文件进行100%解密恢复。
病毒加密都是采用公钥算法结合对称密钥算法,理论上是无法解密的,但是病毒程序可能存在编程或设计方面的漏洞,或者病毒的密钥服务器发生密钥泄漏等原因,这样很多被加密文件可以使用密钥解密。病毒的密钥被破解后,如果破解者选择公布出来,那用户就可以免费解密,如果破解者牟利,那只能购买密钥,但一般金额比赎金低很多;如果没有人能破解出密钥,也只能需要承担很大的风险去交付高昂的赎金换密钥。
这种方案还有一些风险是即使拥有密钥也无法保证解密,病毒也是一种程序,也可能出现执行异常,如果在加密某个文件时出现异常,那当前文件即使拥有密钥也无法解密成功,所以存在解密失败率。

五、服务器和个人的安全防御建议
针对服务器的勒索病毒依然是当下勒索病毒的一个主要方向,企业需要加强自身的信息安全管理能力——尤其是弱口令、漏洞、文件共享和远程桌面的管理,以应对勒索病毒的威胁,在此我们给各位管理员一些建议:
1、多台机器,不要使用相同的账号和口令
2、登录口令要有足够的长度和复杂性,并定期更换登录口令
3、重要资料的共享文件夹应设置访问权限控制,并进行定期备份
4、定期检测系统和软件中的安全漏洞,及时打上补丁。
5、定期到服务器检查是否存在异常。查看范围包括:
a) 是否有新增账户
b) Guest是否被启用
c) Windows系统日志是否存在异常
d) 杀毒软件是否存在异常拦截情况
而对于本月又重新崛起的这对个人电脑发起的勒索病毒,建议广大用户:
1、安装安全防护软件,并确保其正常运行。
2、从正规渠道下载安装软件。
3、对不熟悉的软件,如果已经被杀毒软件拦截查杀,不要添加信任继续运行。

原文地址:https://blog.51cto.com/14282593/2408642

时间: 2024-10-07 19:43:29

2019年6月勒索病毒的整理分析和数据恢复的相关文章

.ETH后缀勒索病毒信息整理及SQL数据库恢复

研究人员(公众号:网安众安)检测到一种使用.ETH文件扩展名的新勒索病毒,通过对.ETH后缀勒索病毒的整理,目前发现,涉及到的勒索信息后缀如下:[MailPayment@decoder.com].ETH [helpfilerestore@india.com].ETH [decryptmyfiles@qq.com].ETH [decryptprof@qq.com].ETH [1701222381@qq.com].ETH [btccrypthelp@cock.li].ETH(注:由于整理的局限性,不

后缀.phobos勒索病毒解密成功恢复sql文件 数据恢复

后缀.phobos勒索病毒解密成功 恢复sql文件 数据恢复四川某公司中了后缀手机.phobos的勒索病毒,服务器里文件全部被加密,公司领导非常重视,命令网管尽快解决问题,挽回公司损失,网管再网上找到我们后,经过一天的处理,成功恢复所有中毒文件.为防止用户感染该类病毒,我们可以从安全技术和安全管理两方面入手:1.不要打开陌生人或来历不明的邮件,防止通过邮件附件的:2.尽量不要点击office宏运行提示,避免来自office组件的病毒感染:3.需要的软件从正规(官网)途径下载,不要双击打开.js.

2019年2月26日【整理物品,下载收集考研资料,明天正式开始复习】

2019年1月26日星期六 一:一句话木马重学习 1.网站安全狗网马查杀 http://download.safedog.cn/download/software/safedogwzApache.exe 2.D盾 Web 查杀 http://www.d99net.net/down/WebShellKill_V2.0.9.zip 3 深信服WebShellKillerTool http://edr.sangfor.com.cn/tool/WebShellKillerTool.zip 4 BugSc

公司ERP服务器中勒索病毒原因事后分析

公司3月中旬被勒索病毒×××,ERP服务器被攻破,服务器数据全部被加密.事后经过分析公司网络管理隐患非常大主要在以下几点:1.公网数据没有任何的拦截过滤,直通模式下数据访问不受管控.2.研发部门的测试服务器操作系统没有升级补丁.Oracle数据也没有打补丁漏洞较多.3.内部电脑没有做任何管控,随意安装软件,内网电脑从来没有杀毒,存在很多病毒.4.内网电脑和公网电脑没有完全做网络隔离,只是通过交换机做网段划分.外网电脑可以和内网电脑正常通信.5.被假冒老板的恶意×××程序×××作为跳板×××服务器

Clop勒索病毒的安全防御及数据恢复方案

近日,国内安全威胁情报中心监测到新型勒索病毒Clop在国内开始传播,国内某企业被***后造成大面积感染,致该受害企业大量数据被加密而损失严重,我们提醒各政府企业单位注意防范.与其他勒索病毒不同,也是最可怕的地方是:Clop勒索病毒部分情况下携带了有效的数字签名,数字签名滥用,冒用以往情况下多数发生在流氓软件,窃密类***程序中.勒索病毒携带有效签名的情况极为少见,这意味着该病毒在部分拦截场景下更容易获取到安全软件的信任,进而感染成功,造成无法逆转的损失.病毒分析Clop勒索病毒首先会结束大量文件

勒索病毒防护

1 概述 WannaCry(又叫Wanna Decryptor),一种“蠕虫式”的勒索病毒软件,大小3.3MB,由不法分子利用NSA(National Security Agency,美国国家安全局)泄露的危险漏洞“EternalBlue”(永恒之蓝)进行传播.该恶意软件会扫描电脑上的TCP 445端口(Server Message Block/SMB),以类似于蠕虫病毒的方式传播,攻击主机并加密主机上存储的文件,然后要求以比特币的形式支付赎金.勒索金额为300至600美元.2017年5月14日

自述:中了勒索病毒后的一波挽救操作!(灾备云—数据备份、恢复)

(IDC彭帅)自从用上了Ucache灾备云的云备份服务之后,简真方便的不得了,提醒大家数据千万条,安全第一条,一定要及时把想备份的内容做个备份!现在就和大家说说我自从中了勒索病毒之后怎么用上云灾备的故事吧! 一.事件起因:公司服务器中了"勒索病毒" 因为公司托管的服务器过年这段时间运维都放假了没人管理,结果就中招了"勒索病毒".导致服务器里的OA系统.财务系统等文件全部被加密,因为平时也没有做备份的习惯,这下真是肠子都要毁青了.这也是我要告诉大家为什么要做这个数据备

2019年5月最新勒索病毒样本分析及数据恢复

一.依然熟悉的"老面孔" 1.GANDCRAB病毒病毒版本:GANDCRAB V5.2中毒特征:<原文件名>.随机字符串勒索信息:随机字符串-DECRYPT.txt?随机字符串-MANUAL.txt特征示例: readme.txt.pfdjjafw 2.GlobeImposter 3.0病毒(十二×××病毒)中毒特征:<原文件名>.XXXX4444勒索信息:HOW_TO_BACK_FILES.txt how_to_back_files.htm特征示例: read

2019年4月最新勒索病毒样本分析及数据恢复

1. satan病毒升级变种satan_pro特征:.satan_pro 后缀勒索邮箱:[email protected] [email protected] 等 2.YYYYBJQOQDU勒索病毒特征:.YYYYBJQOQDU后缀勒索邮箱:[email protected] 等 3.ciphered勒索病毒特征:.ciphered后缀勒索邮箱:[email protected] [email protected][email protected] 等 4.p3rf0rm4勒索病毒特征:.p3r