2020年7月勒索病毒疫情分析 _勒索病毒

勒索病毒发展至今，360互联网安全中心已累计接收到数万勒索病毒感染求助。勒索病毒的蔓延，给企业和个人都带来了严重的安全威胁。360安全大脑针对勒索病毒进行了全方位的监控与防御。本月新出现了Panther、FileCoder.bj、pojie、WhoLocker、FonixCrypter、SilentDeath等勒索病毒家族。
360解密大师在2020年7月新增对Panther(后缀为panther)、FlowEncrypt(后缀为FlowEncryption)、Cobra(后缀为C0br4)、Loki(后缀为loki)以及OutCrypt(后缀为_out)的解密支持。
感染数据分析分析本月勒索病毒家族分布：phobos家族占比22.96%居首位；其次是占比14.51%的GlobeImposter；Crysis家族以占比12.14%位居第三。FileCoder.bj勒索病毒在本月初开始传播，在7月的勒索病毒家族占比中已进入了TOP 10榜单。

文章插图

图1.2020年7月勒索病毒家族占比
而从被感染系统占比看：本月位居前三的系统是windows 10、Windows 7和Windows Server 2008 。为了进一步增加调查的覆盖范围，此次的的统计数据在原有的反勒索服务数据基础上并入了反馈群中获取到的相关数据。

文章插图

图2. 2020年7月被感染系统占比图
2020年7月被感染系统中桌面系统和服务器系统占比显示：受攻击的主要系统仍是个人桌面系统。合并两部分数据后，桌面系统占比有一定下降。

文章插图

图3. 2020年7月被感染系统类型占比图
勒索病毒疫情分析Panther勒索病毒家族“老豹”是一个从今年2月底开始活跃的一个黑客组织，该组织在五月份开始以供应链攻击方式，下发潜伏在中文编程语言编译环境的感染型病毒Peviru，导致用户编译的所有程序都被感染以及下发大灰狼远控程序，以达到对该机器的绝对掌控权。在本月监控到该团伙通过被感染文件开始下发“Panther”勒索病。

文章插图

图4. Panther传播流程
在360安全大脑监控到该勒索病后便第一时间成功破解，中招用户可使用360解密大师对中招文件进行解密。

文章插图

图5. Panther解密
FileCoder.bj勒索病毒家族本月360安全大脑监控到多款国产勒索病毒敲诈者在进行活动。其中，名为“FileCoder.bj”勒索病毒家族是几个国产家族中活跃度最高的一个。和大部分勒索病毒一样，该病毒也是采用暴力破解受害者远程桌面登录口令后手动投毒。中招用户文件被加密后，被添加新后缀：FileCoder.bj。

文章插图

图6. 被FileCoder.bj加密的文件截图
经过分析，发现该勒索病毒采用了比较常见的RSA+AES算法组合对文件进行加密。
病毒运行后，会在本地创建文件写入被RSA公钥加密后的文件加密密钥。加密文件时，采用CFB加密模式，IV被RSA加密后追加于文件尾部。

文章插图

图7. FileCoder.bj勒索病毒加密文件反汇编代码图
Cobra勒索病毒家族本月360安全大脑监控到一款特别比较奇葩的勒索病毒，该勒索病毒目前已监控到四个版本。
l 版本一：只加密文件不留任何勒索提示信息。
l 版本二：加密文件并弹窗提示解密需要联系指定邮箱
l 版本三：明确表明不收取任何赎金，只是想看看安全专家能否成功解密
l 版本四：让受害者去指定网站玩游戏达到指定等级后截图发给指定邮箱即可解密文件。

文章插图

图8. Cobra勒索提示信息图
讽刺的是，这款曾号称“想看看安全专家解密能力”的勒索病毒，不仅在加密算法上有漏洞，加密流程也存在漏洞。由于该勒索病毒程序在加密文件时存在的编码问题会导致数据出现问题，所以部分格式文件解密时可能会出现解密失败问题。目前360解密大师已能对该勒索病毒的多个版本进行解密。