YourData勒索病毒分析
2021-11-10 15:20

报告编号:B6-2021-111003

报告来源:360高级威胁研究分析中心

报告作者:360高级威胁研究分析中心

更新日期:2021-11-10

0x01   内容

今年下半年,YourData勒索病毒在国内知名僵尸网络“匿影”的助力下异军突起,上月开始已经成为国内最为流行的勒索病毒。360安全大脑也发布了多次告警,提醒大家注意防范。就在本月,“匿影”的传播再次加码,引起YourData勒索病毒问题也愈发严重。仅本月,360反勒索服务就接到YourData勒索病毒反馈超百例,大家在双十一“剁手”之际,也要注意对该病毒的防范,避免辛辛苦苦“省下”的钱,都被黑客勒索了去。

_YourData勒索病毒2021年反馈情况_

根据360高级威胁研究分析中心对该家族的长期跟踪,YourData勒索家族的传播可分为以下几个阶段:

- 2021年1月:该家族采用暴力破解远程桌面口令成功后手动投毒,并不具备任何针对性。

- 2021年3月:该家族开始针对性的投放勒索软件,使用带有受害者公司名的字符串作为后缀,重命名被加密文件。采用暴力破解远程桌面口令成功后手动投毒,并为每个受害者生成唯一的谈判页面。

- 2021年4月:该家族针对使用某系列软件的公司进行攻击,并用该软件特征名做为后缀重命名被加密文件。仍采用暴力破解远程桌面口令成功后手动投毒。

- 2021年7月:发现该家族开始通过匿影僵尸网络进行传播,不具体针对性,但是传播量有大幅度提升,并在10月出现较大面积的感染。

该家族又被称作Hakbit、Thanos家族,最早出现于2019年11月,采用RaaS(勒索即服务)模式进行运营,网络犯罪份子可直接通过购买勒索病毒生成器,生成定制化的勒索病毒,YourData勒索病毒就属于该系列的变种,而且该变种目前仅在国内发现,且几次变换勒索提示信息中使用的邮箱均包含”YourData”字符串。

_YourData勒索信息_

YourData本次感染量上涨,很大程度因为“匿影”僵尸网络具有“潜伏性”,并非感染设备后就立即投放勒索病毒,僵尸网络通常有很多用途,例如:植入挖矿木马,借“傀儡机”挖取PASC币、门罗币等加密数字货币,做为跳板攻击内网其它设备等。

还有一个原因为“匿影”僵尸网络对设备发起的攻击是持续且反复的,受害者对于这种攻击通常无感知,稍不注意,会导致系统被攻陷。根据360安全大脑监控到的“匿影”僵尸网络攻击数据来看,最近一次大规模攻击出现在6月份,紧接着在7月份开始选择用该僵尸网络投递勒索病毒。

“匿影”僵尸网络目前监控到的主要渠道有两个渠道,一是捆绑在非正规渠道下载的 “免费”工具之中,例如:BT下载器、激活工具、破解软件等,当用户安装使用这些工具的时候,会同步下载释放各类病毒,感染用户设备,这其中就包括“匿影”木马。

_“匿影”僵尸网络攻击流程一_

另一种传播方式是利用被攻陷的设备做跳板,利用永恒之蓝(Eternalblue)和双脉冲星(DoublePulsar)漏洞以及远程服务,远程计划任务和远程wmic命令执行尝试攻击内网其它设备,进行横向传播。

_“匿影”僵尸网络攻击流程二_

对于此类利用僵尸网络传播的勒索病毒,重点在于在计算机的加固,不给僵尸网络可趁之机。360安全产品中的防黑加固,漏洞扫描,可检测计算机中存在的常见安全漏洞,并帮助用户轻松完成对设备的加固工作。对于已经感染僵尸网络的用户,也可通过360安全产品进行彻底查杀,阻断病毒危害。

_360安全卫士拦截阻断“匿影”僵尸网络传播_

在勒索病毒转向高价值目标的趋势下,医疗、政府等成为不法黑客团伙眼中的“肥肉”。对此,360安全大脑针对党政军企等各领域用户,给出如下安全建议:

1. 对于个人用户,可及时前往weishi.360.cn下载安装360安全卫士,强力查杀此类病毒木马; 2. 对于广大政企用户,可通过安装360终端安全管理系统,有效拦截木马病毒威胁,保护文件及数据安全,详情可通过400-6693-600咨询了解;而对于小微企业,则可直接前往safe.online.360.cn,免费体验360安全卫士团队版,抵御木马病毒攻击; 3. 对于安全软件报毒的程序,不要轻易添加信任或退出安全软件; 4. 提高安全意识,不随意打开陌生人发来的各种文件,如需打开务必验证文件后缀是否与文件名符合。

0x02   产品侧解决方案

若想了解更多产品信息或有相关业务需求,可移步至http://360.net。

360安全卫士

Windows用户可通过360安全卫士实现对应补丁安装、漏洞修复、恶意软件查杀,其他平台的用户可以根据修复建议列表中的安全建议进行安全维护。

360CERT建议广大用户使用360安全卫士定期对设备进行安全检测,以做好资产自查以及防护工作。

360安全卫士团队版

用户可以通过安装360安全卫士并进行全盘杀毒来维护计算机安全。360CERT建议广大用户使用360安全卫士定期对设备进行安全检测,以做好资产自查以及防护工作。

360本地安全大脑

360本地安全大脑是将360云端安全大脑核心能力本地化部署的一套开放式全场景安全运营平台,实现安全态势、监控、分析、溯源、研判、响应、管理的智能化安全运营赋能。360本地安全大脑已支持对相关漏洞利用的检测,请及时更新网络神经元(探针)规则和本地安全大脑关联分析规则,做好防护。

0x03   时间线

2021-11-10 360高级威胁研究分析中心发布通告