2019年6月勒索病毒的整理分析和数据恢复

一、勒索病毒整理分析

勒索病毒的蔓延,给企业和个人都带来了严重的安全威胁,变成了网络不法分子最普遍、最简单粗暴地活力手段。从5月的数据分析,勒索病毒受害人数略有上升,其中GlobeImposter的受害者数量居首位,新增的GetCrypt勒索病毒也较为值得关注。

2019年6月勒索病毒的整理分析和数据恢复

但是宏观的来看,存在着工作日比较多,节假日相对较少的趋势;其实是在工作日,用户能更早或第一时间发现机器中毒的状况。

对5月勒索病毒家族占比分析发现,本月GlobeImposter家族占比31.4%居首位,其次是占比为20.66%的GandCrab 家族以及占比为12.4%的Crysis勒索病毒家族。

从被感染系统的占比看,本月占比居前三的仍是Windows 7 、Windows 10和Windows Server 2008。其中,Windows 7系统以占比47.89%在所有系统中居首位,相比于上月的41.73%有小幅度上升。

2019年6月勒索病毒的整理分析和数据恢复

对2019年5月被***系统所属IP采样制作的地域分布图,与之前几个月采集到的数据进行对比,地区排名和占比变化都不大。信息产业发达地区仍是被***的主要对象。

2019年6月勒索病毒的整理分析和数据恢复

通过对4月和5月弱口令***数据分析,本月弱口令(远程桌面RDP、数据库端口等)***量有大幅度下降。下降的***量主要来自针对Mysql数据库的弱口令爆破,高峰值从700多万下降到400百万次,回归到了相对“正常”的***峰值。
2019年6月勒索病毒的整理分析和数据恢复

二、近期影响最大的病毒类型
1、GlobeImposter 3.0病毒
特征后缀:
.China4444 .Help4444 .Rat4444 .Ox4444 .Tiger4444 .Rabbit4444.Dragon4444 .Snake4444 .Horse4444 .Goat4444 .Monkey4444.Rooster4444 .Dog4444 .all4444 .Pig4444 .Alco4444 .Rat4444 .Skunk4444等
2、X3m勒索病毒家族
特征后缀:
.firex3m .x3m
3、Globelmposterb 5.0病毒
特征后缀:
.{Killback@protonmail.com}KBK
.{killbillkill@protonmail.com}VC 等
4、Attention勒索病毒家族
特征后缀:
.OOOKJYHCTVDF、.GGGHJMNGFD、.YYYYBJQOQDU 等
5、Sodinokibi 勒索病毒
勒索文件:xxx-readme.txt xxx-HOW-TO-DECRYPT.txtbr/>勒索网站:decryptor.top
6、.actin后缀及.acute后缀病毒
特征后缀
.[helpyourdata@qq.com].actin
.[ban.out@foxmail.com].actin
.[lockhelp@qq.com].acute 等

三、勒索邮箱整理收集
beam@firemail.cc pedantback@protonmail.com support@p-security.li
supportbest@protonmail.com tracsebluopa1975@aol.com datadecrypt@qq.com
falitodalgliesh@aol.com coffix@india.com encrypted@cock.li
sherhagdomski@aol.com Coffix@Tuta.io helpme@countermail.com
gabbiemciveen@aol.com barddoling@ganefs.com alphonsepercy@aol.com
park.jehu@aol.com mr.crypt@aol.com bk666@protonmail.com
mr.hacker@tutanota.com reek@tuta.io return.data@qq.com
clasp@firemail.cc DonovanTudor@aol.com Killserver@protonmail.com
alldataback@protonmail.com phobosrecovery@cock.li MailPayment@decoding.biz
parrnell.c@aol.com rodent@cock.li killserver@protonmail.com
aq811@cock.li donovantudor@aol.com autrey.b@aol.com
hulkhoganztx@protonmail.com gorentos@bitmessage.ch merosa@firemail.cc
merosa@india.com vengisto@firemail.cc vengisto@india.com
jaffe@india.com kolet@tuta.io andriybakyn@india.com
cartmelsutton@venom.io supportbest@protonmail.com evilcock@cock.li
goliaf@tuta.io alekstraza@bigmir.net Altairs35@protonmail.com
backupfiles@keemail.me booth_beau@aol.com calwiposla1974@aol.com
data@decoding.biz decryptdocs@airmail.cc decryptdocs@protonmail.com
decryptmyfiles@qq.com decryptoperator@qq.com getbackdata@qq.com
helip@protonmail.com lockhelp@qq.com master777@tutanota.com
recoveryhelp@airmail.cc todecrypt@protonmail.com usacode@aol.com
immortalsupport@cock.li Benjamin_Jack2811@aol1.com dresdent@protonmail1.com
HulkHoganZTX@protonmail.com Killback@protonmail.com supportbest@protonmail.com
datadecrypt@qq.com encrypted@cock.li helpme@countermail.com
veracrypt@foxmail.com ngeloco1337@protonmail.com btc@decoding.biz
killsever@portonmail.com icanhelp@cock.li serverkill@protonmail.com
software7@tutanota.com break@cock.li savefiles@cock.li
decryptyourdata@qq.com killbillkill@protonmail.com China.helper@aol.com
barddolling@ganefs.com scaletto@protonmail.com codescodes18@gmail.com
backdata@qq.com decrypter2018@hotmail.com nmare@protonmail.com
tidwell.thibaud@aol.com tidwell.thibaud@aol.com mrgrayhorse@protonmail.com
support1prt@cock.li franniestopp@magte.ch unlock@cock.li
wixomd@ymolt2.com BIGBOSS777@airmail.cc decryptprof@qq.com
ramsey_frederick@aol.com ban.out@foxmail.com bivisfiles@protonmail.com
dtrestorehelp@gmail.com writehere@qq.com upfileme@protonmail.com
seeyoubro@tutanota.com helpyourdata@qq.com sigvard.polson@aol.com
backupdata1@protonmial.com sprt@keemail.me offtitan@protonmail.com
eward.p@aol.com cryptmanager@protonmail.com cleverhorse@airmail.cc
boriska@cock.li callmegoat@protonmail.com mattpear@protonmail.com
sherhagdomski@godzym.bid cartmelsutton@venom.io helpme1@cock.li
GeorjeHalique@protonmail.com radrigoman@protonmail.com supportd@tfwno.gf
immortalsupport@cock.li rescompany19@yahoo.com tater@mail2tor.com
raphaeldupon@aol.com Decod@protonmail.com Kim_Chen_Yn@protonmail.com
satan_pro@mail.ru svmst@cock.li unlock@eqaltech.su
jurasik@cock.li cessfantmormogh1972@protonmail.com MasterLuBu@tutanota.com
suphelp@tfwno.gf Coockish@protonmail.com sigvard.polson@aol.com
frederik@cock.li devilish@airmail.cc supporthelpgood@protonmail.com
sysadmin@mail.fr writemesoon@cock.li

四、数据恢复方案
目前支持的数据恢复方案,只有两种,分别是数据库恢复和全盘解密
1、数据库恢复
这种方案仅限于恢复数据库文件,同时可能存在数据丢失。
由于数据库文件具备独特的数据结构特征,文件内部包含大量的校正数据和容错数据,有效的业务数据通常在数据库文件中占比很小,病毒在对数据库文件加密的时候,考虑到文件大小及加密的时间,通常会对文件进行间断性“点状”加密,而不是整体全部加密,所以可以根据对未被破坏的业务数据进行提取,同时参考校验数据和容错数据对已被破坏的业务数据进行恢复。
2、全盘解密
这种方案能对机器上所有类型文件进行100%解密恢复。
病毒加密都是采用公钥算法结合对称密钥算法,理论上是无法解密的,但是病毒程序可能存在编程或设计方面的漏洞,或者病毒的密钥服务器发生密钥泄漏等原因,这样很多被加密文件可以使用密钥解密。病毒的密钥被破解后,如果破解者选择公布出来,那用户就可以免费解密,如果破解者牟利,那只能购买密钥,但一般金额比赎金低很多;如果没有人能破解出密钥,也只能需要承担很大的风险去交付高昂的赎金换密钥。
这种方案还有一些风险是即使拥有密钥也无法保证解密,病毒也是一种程序,也可能出现执行异常,如果在加密某个文件时出现异常,那当前文件即使拥有密钥也无法解密成功,所以存在解密失败率。

2019年6月勒索病毒的整理分析和数据恢复

五、服务器和个人的安全防御建议
针对服务器的勒索病毒***依然是当下勒索病毒的一个主要方向,企业需要加强自身的信息安全管理能力——尤其是弱口令、漏洞、文件共享和远程桌面的管理,以应对勒索病毒的威胁,在此我们给各位管理员一些建议:
1、多台机器,不要使用相同的账号和口令
2、登录口令要有足够的长度和复杂性,并定期更换登录口令
3、重要资料的共享文件夹应设置访问权限控制,并进行定期备份

  1. 定期检测系统和软件中的安全漏洞,及时打上补丁。
  2. 定期到服务器检查是否存在异常。查看范围包括:
    a) 是否有新增账户
    b) Guest是否被启用
    c) Windows系统日志是否存在异常
    d) 杀毒软件是否存在异常拦截情况
    而对于本月又重新崛起的这对个人电脑发起***的勒索病毒,建议广大用户:
    1、安装安全防护软件,并确保其正常运行。
    2、从正规渠道下载安装软件。
    3、对不熟悉的软件,如果已经被杀毒软件拦截查杀,不要添加信任继续运行。
上一篇:双数组Trie树中叶子结点check[t]=t的证明


下一篇:{CALLMEGOAT@PROTONMAIL.COM}CMG”后缀勒索病毒