前言:
当前同学们对“newbridgenet”都比较珍视,姐妹们都需要剖析一些“newbridgenet”的相关资讯。那么小编同时在网上搜集了一些关于“newbridgenet””的相关内容,希望咱们能喜欢,小伙伴们一起来了解一下吧!勒索病毒传播至今,360反勒索服务已累计接收到上万勒索病毒感染求助。随着新型勒索病毒的快速蔓延,企业数据泄露风险不断上升,数百万甚至上亿赎金的勒索案件不断出现。勒索病毒给企业和个人带来的影响范围越来越广,危害性也越来越大。360安全大脑针对勒索病毒进行了全方位的监控与防御,为需要帮助的用户提供360反勒索服务。
2021年4月,全球新增活跃勒索病:QLocker、WhiteBlackGroup、Jormungand、Cring、Wintenzz、GEHENNALocker、RIP_Imao、Runsomware、Nocry、CryBaby等。其中QLocker是本月新增针对QNAS设备进行攻击的勒索病毒,仅在短短五天的传播时间内便获得了26万美元的赎金。
感染数据分析
针对本月勒索病毒受害者所中勒索病毒家族进行统计,phobos家族占比18.50%居首位;其次是占比15.03%的GlobeImposter;Buran家族以11.45%位居第三。
QLocker虽未进入本月勒索病毒家族TOP10,但该勒索病毒家族利用7zip加密QNAS网络存储设备中的文件也给用户带来了不小的影响。
对本月受害者所使用的操作系统进行统计,位居前三是:Windows 10、Windows Server 2008以及Windows Server 2012。
2021年4月被感染的系统中桌面系统和服务器系统占比显示,受攻击的系统仍主要是桌面系统,比重与上月相比变化不大。
勒索病毒疫情分析
YourData疑似针对国内用户进行攻击
360安全大脑监控到一款名为YourData的勒索病毒正瞄准国内企业以及个人,从目前的监控来看该家族仍主要使用常见的暴力破解远程桌面口令成功后手动投毒。而该病毒在本月又出现了一个新的变种,在加密文件后会将后续修改为.kingdee。
该家族又被称作Hakbit、Thanos家族,最早出现于2019年11月。但在2021年1月中旬之前,该家族在国内实际发生的勒索案例并不多。此次在国内传播的变种主要特征为其联系邮箱为yourdata@RecoveryGroup.at,后缀更新过多次,但其接受谈判信息的邮箱一直未曾更改,且这几个变种只在国内出现过。怀疑该变种仅针对中国地区进行攻击。
华盛顿警方遭勒索病毒攻击,警方线人信息存在泄露风险
盛顿警方遭遇Babuk勒索病毒攻击,被窃取250GB数据。从目前公开的截图看,被窃取数据包括调查报告、警官纪律文件、当地团伙文件以及其他行政文件。该勒索病毒家族要求华盛顿警方在3天内和他们取得联系,超过时间将公布警方线人信息。同时该团伙还称他们还将继续攻击美国的州机构,并自称比FBI的CSA(网络盾牌联盟)更早发现0day,还将采取更大规模的攻击。
QLocker大规模传播,短短五天时间盈利26万美元
近日QNAP(威联通)的网络存储设备再次成为勒索病毒攻击对象,受害者设备上的文件均被使用7zip加密。QLocker勒索病毒首次发现于4月19日,而近日该家族开始大量传播,每天约有数百个QNAP设备被其感染。短短五天时间, QLokcer家族收到的赎金便高达26万美元。其单个设备赎金为500美元左右,粗略计算已有525个受害者中招。
此次事件黑客利用了最新修复的CVE-2020-36195(多媒体控制台和媒体流加载项SQL注入漏洞)。使用QNAP设备的用户应立即更新多媒体控制台、媒体流加载项和混合备份同步应用程序到最新版本,避免遭遇该勒索病毒攻击。
该勒索早期解密程序存在的BUG曾被国外安全研究员发现,并协助过50名受害者成功恢复文件,但目前黑客已修补该BUG。
因广达电脑遭遇勒索病毒攻击,导致其合作商苹果被勒索
全球第二大笔记型电脑研发涉及制造公司广达电脑遭遇Sodinokibi(REvil)勒索病毒攻击,被索要5000万美元作为赎金。攻击者还表示若支付日期超过4月27日,将需支付1亿美元赎金。此次攻击事件被窃取大量客户数据,目前尚不明确到底有多少客户数据被窃取,但其客户包括了苹果、戴尔、惠普 、亚马逊、思科、富士通、联想、LG等大型公司,目前苹果的部分设计图纸已被该团伙公布到暗网中。
在和广达电脑谈判时,广达电脑表示他们不关心客户和员工数据,允许黑客公布和出售所有数据。目前Sodinokibi(REvil)正尝试与苹果谈判,想尝试通过威胁苹果——称若其不购回被窃取数据,便将在春季发布会之前将苹果最新产品设计数据在暗网公布。
黑客信息披露
以下是本月搜集到的黑客邮箱信息:
oral@tuta.io
Ux3oe7ae@secmail.pro
magicbox@outlookpro.net
zphc@cock.li
Rekoh4th@secmail.pro
pyyring23@protonmail.com
vip05@cock.li
Uroo7ohM@secmail.pro
FilesRecoverEN@Gmail.com
ghjujy@tuta.io
mishacat@secmail.pro
soft.russian@secmail.pro
fastway@tuta.io
bichkova@secmail.pro
Rahidproject@secmail.pro
Vankosa@rape.lo
rahidproject@cock.li
rahidproject@secmail.pro
mikolio@xmpp.jp
rrrkkktttaaa@cock.li
decoding_service@aol.com
bad_dev@tuta.io
ppprrrkkkttt@tuta.io
kavariusing@tutanota.com
Mishacat@cock.li
2Hamlampampom@cock.l
DYAQrvHmy@protonmail.com
mishacat@cock.li
black_privat@tuta.io
decryptionservice@mail.ru
Bichkova@cock.li
jamesdecicio@aol.com
ransomware.attack@list.ru
sharm777@aol.com
decoder44@rambler.ru
BTCBREWERY@protonmail.com
goldmind@tuta.io
Wbgroup022@gmail.com
Helpforfiles@criptext.com
hpjar@keemail.me
oplatabtc3@gmail.com
Rusoftfond@protonmail.com
hanta@420blaze.it
ramilo2122@yandex.com
G.kulahmet@protonmail.com
miadowson@tuta.io
cryptservice@inbox.ru
padredelicato@secmail.pro
kobs@tutanota.com
tikitakbum@rambler.ru
m0absupport@protonmail.cn
xmmh@tutanota.com
2Hamlampampom@cock.li
servewintenzz@secmail.pro
Cybell@firemail.cc
akzhq725@tutanota.com
prometheusdec@hotmail.com
onioncrypt@aol.com
back_data@foxmail.com
decryptionservice@inbox.ru
decrypt@europe.com
yoursite@yoursite.com
Ivanmalahov@protonmail.com
wyooy@tutanota.com
prometheushelp@mail.ch
Galgalgalgalk@tutanota.com
2021@onionmail.org
herbivorous@keemail.me
olaggoune235@protonmail.ch
drakoshka@yahoo.com
sacura889@tutanota.com
alpinbovuar@protonmail.com
sparem@kolabnow.com
decryptservice@mail.ru
postal.surgut@danwin1210.me
vankosa@secmail.pro
catapultacrypt@tuta.io
Ooosferaplus@protonmail.com
Sportdieago@cock.li
eed8Aeta@danwin1210.me
Soft.russian@protonmail.com
sevenoneone@cock.li
dizelmon@danwin1210.me
personaliddecryptor@aol.com
bufalo@boximail.com
g.kulahmet@secmail.pro
thefancybears@protonmail.com
backdata@qbmail.biz
decrypt1nfo@airmail.cc
Whiteblackgroup002@gmail.com
deus69@criptext.com
decryptinfo@msgsafe.io
yourdataback1@protonmail.com
supportdata@cock.li
FileEnc@protonmail.com
niggapoopoo123@protonmail.com
Recovery.PC@aol.com
ouardia11@tutanota.com
FilesRecoverEN@Protonmail.com
Daijie@tutanota.com
decryptservice@inbox.ru
backupransomware@tutanota.com
Cusapool@firemail.cc
godecrypt@onionmail.org
thorntitini1979@danwin1210.me
vgrieffers@gmail.com
sportdieago@secmail.pro
Andrey.taranov@protonmail.com
wbgroup022@gmail.com
anobtanium@tutanota.com
Jeremyspineberg11@tutanota.com
decryptdata@inbox.ru
recovery.helper@aol.com
6281fjds93hdfj5396dfgk@gmail.com
btcbrewery@india.com
lunasplank@tutanota.com
Jeremyspineberg11@protonmail.com
honestandhope@qq.com
prometheusdec@yahoo.com
payfor_hackedsecret@protomail.com
Xieth8ie@secmail.pro
prometheusdec@gmail.com
GeromeSkinggagard1999@tutanota.com
Iyieg9eB@secmail.pro
表格1.黑客邮箱
当前,通过双重勒索模式获利的勒索病毒家族越来越多,勒索病毒所带来的数据泄露的风险也越来越大。以下是本月通过数据泄露获利的勒索病毒家族占比,该数据仅为未能第一时间缴纳赎金或拒缴纳赎金部分(因为第一时间联系并支付赎金的企业或个人不会在暗网中公布,因此无这部分数据)。
以下是本月被双重勒索病毒家族攻击的企业或个人。若未发现被数据存在泄露风险的企业或个人也请第一时间自查,做好数据已被泄露准备,采取补救措施。
CNE
PSU Technology
Cosmetica Laboratories
Aldes
FOODLAND.COM
Matratzen Concord GmbH
IPSEN
PLDevelopments
BEE LINE LOGISTICS, INC
ALIZON
PB Swiss Tools
Quality Packaging, Inc.
Vincle
Ford Meter Box
National Public Seating
NewsRx
DT Engineering
MITCHAM INDUSTRIES INC
ISOLVED
PROSOLARTEC.de
Município de Constância
bdhouse
Kens Foods Inc.
BTU International, Inc.
FNBNWFL
Gijima Holdings
Animal Behavior College
DirickX
Comfort Keepers
Premi Beauty Industries
OLOMOUC
TRAVELSTORE.COM
Marietton Développement
AlohaABA
moba-automation
StoneGate Senior Living
MSPharma
Hames Homes LLC
Plimpton and Hills Corp
Capmatic
Houston Rockets
Readie Construction Ltd
Apperton
apmmguntown.com
Hensley Beverage Company
Bertucci
Call Assist Ltd
Bauder Roofing Solutions
SpecPage
Absolute Dental
OAK VALLEY COMMUNITY BANK
jpscu.com
Tata Steel GROUP
DeVincenzi Metal Products
Gamma Spa
Vivida Assistans
JST Global, Acme-Hardesty
DURHAM.CA
HOYA Corporation
CERINNOV, UNIPESSOAL, LDA
EMO Trans
Zambon Group SpA
Cambridge Weight Plan Ltd
Gorzynski
Lozano Smith LLP
Heartland Automotive, LLC
CAVENDERS
The Village Vets
Città di Caselle Torinese
Saddlemen
SOUTHERN ASPHALT
Illinois Attorney General
Flaghouse
Braman Motorcars
Department of Agriculture
Filtertek
Zambon Group SpA
OpTech Staffing Solutions
HW Fisher
Cuddy & Feder LLP
Newcomb Secondary College
HumanWare
B.W. Wilson Paper
Mairie de Marolles-en-Brie
Nobiskrug
Pavages Maska Inc
Mevion Medical Systems Inc
vgcargo.de
Harris Federation
MUNICIPIO DE QUATRO BARRAS
paslin.com
Federal land inc.
Hardy Buoys Smoked Fish Inc
Seven Seas
BOUTINEXPRESS.COM
American Signal Corporation
SIUMED.EDU
kirwanspellacy.com
Protectim Security Services
boulos.com
Nachi America Inc.
Kaleidoscope Charter School
PNGC Power
Tristate Midstream
Edifice General Contractors
aspire inc
Briggs Corporation
Iron Orbit Inc. and Clients
mipharm.it
NEO DERM GROUP LTD
Active Business & Technology
dwmrlaw.com
Pierre Fabre Group
Honeywell International Inc.
Infolog Spa
RHA Health Service
Centro Hospitalar de Setúbal
ginospa.com
Phone House España
Colorado River Indian Tribes
PVR Cinemas
MURPHYBATTISTA.COM
Precision Terminal Logistics
Lime Energy
Union High School
COMUNE DI VILLAFRANCA D'ASTI
Matco-Norca
Harold Marcus Ltd.
Broward County Public Schools
Habia Cable
Varner & Brandt LLP
VAUGHN CONCRETE PRODUCTS , INC
ReklamStore
Rosco Manufactoring
NorthWest , Insuranse Services
Komatsu Ltd
Greatwide Truckload
Presque Isle Police Department
Kajima corp
C. Watkins Plumbing
ADUANAS Y SERVICIOS FORNESA SL
Dade City FL
DIGroupArchitecture
McCurley Integrity Dealerships
Curbell Inc.
Brown Strauss Steel
Campbell Sales and Service, Inc
Khalili Center
Complete Automation
Innovative Office Solutions LLC
Grupo Prilux
All Star Automotive
Bertucci's Oven Pizza and Pasta
Cathar Games
Elite Software , Inc
Valley Transportation Authority
Oré Peinture
Abu Issa Holding LLC
UPL (United Phosphorus Limited)
Fonds Finanz
spiritlakecasino.com
Siemens Gamesa Renewable Energy
Mankato Ford
Klenda Austerman LLC
Loma Systems - A Division of ITW
Pocket Money
Fultz Maddox Dickens
Diversified Plastics Corporation
omnidecor.net
Universal Group Inc.
Newbridge Securities Corporation
Southwest KIA
Partit Nazzjonalista
[NASDAQ: DXYN] thedixiegroup.com
Comune di Rho
Quanta Computer INC.
HealthCare Global Enterprises Ltd
Comune di Rho
CREST Hotel & Suites
Metropolitan Police Department DC
Carpenter Co.
Citizens Of Humanity
C.E.E. Schisler Packaging Solutions
Pezutto Group
Intensive Care On-Line Network , Inc.
Cairn Capital
Eduro Healthcare, LLC
Maestri Murrell Commercial Real Estate
Interfel Corp
Thomas Concrete Group
Indonesia Infrastructure Guarantee Fund
govnet of fiji
Options Greathire Ltd
Rogers Engineering & Manufacturing Co., Inc.
Condor Ferries
Titanium Industries Inc
EMC, Electric Motor and Contracting Co., Inc
CJ Selecta S/A
von Drehle Corporation
CONSORZIO INNOVAZIONE ENERGETICA RINNOVABILE
supabets.co.za
ASBIS CZ, spol. s r.o.
Maharashtra Industrial Development Corporation
Baker & Taylor
Ajuntament de Castelló
UNIONE DEI COLLI DIVINI NEL CUORE DEL MONFERRATO
表格2.存在数据泄露风险公司
系统安全防护数据分析
通过将2021年3月与4月的数据进行对比,本月各个系统占比变化均不大,位居前三的系统仍是Windows 7、Windows 8和Windows 10。
以下是对2021年4月被攻击系统所属地域采样制作的分部图,与之前几个月采集到的数据进行对比,地区排名和占比变化均不大。数字经济发达地区仍是攻击的主要对象。
通过观察2021年4月弱口令攻击态势发现,RDP和MYSQL弱口令攻击整体无较大波动。MSSQL在本月大幅度下降。这可能和紫狐病毒存在一定关联。紫狐是一款通过会通过MSSQL弱口令爆破攻击进行传播的病毒,该家族的想通过感染更多机器来推广用户安装不需要的软件盈利。 在本月中旬该家族利用MSSQL传播的量大幅度下降。
以下是本月监控的紫狐病毒的活动趋势图,和MSSQL的攻击趋势大体符合。
勒索病毒关键词
以下是本月上榜活跃勒索病毒关键词统计,数据来自360勒索病毒搜索引擎。
devos: 该后缀有三种情况,均因被加密文件后缀会被修改为devos而成为关键词。本月活跃的是phobos勒索病毒家族,该家族的主要传播方式为:通过暴力破解远程桌面口令成功后手动投毒。eking: 属于phobos勒索病毒家族,由于被加密文件后缀会被修改为eking而成为关键词。该家族主要的传播方式为:通过暴力破解远程桌面口令成功后手动投毒。Lockbit: 属于Lockbit勒索病毒家族,由于被加密文件后缀会被修改为lockbit而成为关键词。该家族主要的传播方式为:通过暴力破解远程桌面口令成功后手动投毒。Makop: 该后缀有两种情况, 均因被加密文件后缀会被修改为makop而成为关键词:属于Makop勒索病毒家族,该家族主要的传播方式为:通过暴力破解远程桌面口令成功后手动投毒。属于Cryptojoker勒索病毒家,通过“匿隐” 进行传播。Dragon:属于Dragon勒索病毒家族,由于被加密文件后缀会被修改为dragon而成为关键词。该家族主要的传播方式为:通过暴力破解远程桌面口令成功后手动投毒。solaso: 属于Cryptojoker勒索病毒家,由于被加密文件后缀会被修改为solaso而成为关键词,该家族的传播方式为:通过“匿隐” 僵尸网络进行传播。Buran: 属于Buran勒索病毒家族,该家族主要的传播方式为:通过暴力破解远程桌面口令成功后手动投毒。globeimposter-alpha666qqz:属于GlobeImposter勒索病毒家族,由于加密文件后后缀会被修改为globeimposter-alpha666qqz而成为关键词。该家族主要的传播方式为:通过暴力破解远程桌面口令成功后手动投毒。globeimposter-alpha865qqz:同globeimposter-alpha666qqz。globeimposter: 同globeimposter-alpha666qqz。
解密大师
从解密大师本月解密数据看,解密量最大的是GandCrab,其次是WannaRen。使用解密大师解密文件的用户数量最高的是被Crysis家族加密的设备,其次是被Stop家族加密的设备。
安全防护建议
面对严峻的勒索病毒威胁态势,360安全大脑分别为个人用户和企业用户给出有针对性的安全建议。希望能够帮助尽可能多的用户全方位的保护计算机安全,免受勒索病毒感染。
针对个人用户的安全建议
对于普通用户,360安全大脑给出以下建议,以帮助用户免遭勒索病毒攻击。
养成良好的安全习惯电脑应当安装具有高级威胁防护能力和主动防御功能的安全软件,不随意退出安全软件或关闭防护功能,对安全软件提示的各类风险行为不要轻易采取放行操作。可使用安全软件的漏洞修复功能,第一时间为操作系统和浏览器,常用软件打好补丁,以免病毒利用漏洞入侵电脑。尽量使用安全浏览器,减少遭遇挂马攻击、钓鱼网站的风险。重要文档、数据应经常做备份,一旦文件损坏或丢失,也可以及时找回。电脑设置的口令要足够复杂,包括数字、大小写字母、符号且长度至少应该有8位,不使用弱口令,以防攻击者破解。减少危险的上网操作不要浏览来路不明的色情、赌博等不良信息网站,此类网站经常被用于发起挂马、钓鱼攻击。不要轻易打开陌生人发来的邮件附件或邮件正文中的网址链接。也不要轻易打开扩展名为js 、vbs、wsf、bat、cmd、ps1等脚本文件和exe、scr、com等可执行程序,对于陌生人发来的压缩文件包,更应提高警惕,先使用安全软件进行检查后再打开。电脑连接移动存储设备(如U盘、移动硬盘等),应首先使用安全软件检测其安全性。对于安全性不确定的文件,可以选择在安全软件的沙箱功能中打开运行,从而避免木马对实际系统的破坏。采取及时的补救措施安装360安全卫士并开启反勒索服务,一旦电脑被勒索软件感染,可以通过360反勒索服务寻求帮助,以尽可能的减小自身损失。针对企业用户的安全建议企业安全规划建议
对企业信息系统的保护,是一项系统化工程,在企业信息化建设初期就应该加以考虑,建设过程中严格落实,防御勒索病毒也并非难事。对企业网络的安全建设,我们给出下面几方面的建议。
安全规划网络架构,业务、数据、服务分离,不同部门与区域之间通过VLAN和子网分离,减少因为单点沦陷造成大范围的网络受到攻击。内外网隔离,合理设置DMZ区域,对外提供服务的设备要做严格管控。减少企业被外部攻击的暴露面。安全设备部署,在企业终端和网络关键节点部署安全设备,并日常排查设备告警情况。权限控制,包括业务流程权限与人员账户权限都应该做好控制,如控制共享网络权限,原则上以最小权限提供服务。降低因为单个账户沦陷而造成更大范围影响。数据备份保护,对关键数据和业务系统做备份,如离线备份,异地备份,云备份等,避免因为数据丢失、被加密等造成业务停摆,甚至被迫向攻击者妥协。安全管理账户口令管理,严格执行账户口令安全管理,重点排查弱口令问题,口令长期不更新问题,账户口令共用问题,内置、默认账户问题。补丁与漏洞扫描,了解企业数字资产情况,将补丁管理作为日常安全维护项目,关注补丁发布情况,及时更新系统、应用系统、硬件产品安全补丁。定期执行漏洞扫描,发现设备中存在的安全问题。权限管控,定期检查账户情况,尤其是新增账户。排查账户权限,及时停用非必要权限,对新增账户应有足够警惕,做好登记管理。内网强化,进行内网主机加固,定期排查未正确进行安全设置,未正确安装安全软件设备,关闭设备中的非必要服务,提升内网设备安全性。人员管理人员培训,对员工进行安全教育,培养员工安全意识,如识别钓鱼邮件、钓鱼页面等。行为规范,制定工作行为规范,指导员工如何正常处理数据,发布信息,做好个人安全保障。如避免员工将公司网络部署,服务器设置发布到互联网之中。发现遭受勒索病毒攻击后的处理流程发现中毒机器应立即关闭其网络和该计算机。关闭网络能阻止勒索病毒在内网横向传播,关闭计算机能及时阻止勒索病毒继续加密文件。联系安全厂商,对内部网络进行排查处理。公司内部所有机器口令均应更换,你无法确定黑客掌握了内部多少机器的口令。遭受勒索病毒攻击后的防护措施联系安全厂商,对内部网络进行排查处理。登录口令要有足够的长度和复杂性,并定期更换登录口令重要资料的共享文件夹应设置访问权限控制,并进行定期备份定期检测系统和软件中的安全漏洞,及时打上补丁。是否有新增账户Guest是否被启用Windows系统日志是否存在异常杀毒软件是否存在异常拦截情况登录口令要有足够的长度和复杂性,并定期更换登录口令重要资料的共享文件夹应设置访问权限控制,并进行定期备份定期检测系统和软件中的安全漏洞,及时打上补丁。不建议支付赎金
最后——无论是个人用户还是企业用户,都不建议支付赎金!
支付赎金不仅变相鼓励了勒索攻击行为,而且解密的过程还可能会带来新的安全风险。可以尝试通过备份、数据恢复、数据修复等手段挽回部分损失。比如:部分勒索病毒只加密文件头部数据,对于某些类型的文件(如数据库文件),可以尝试通过数据修复手段来修复被加密文件。如果不得不支付赎金的话,可以尝试和黑客协商来降低赎金价格,同时在协商过程中要避免暴露自己真实身份信息和紧急程度,以免黑客漫天要价。若对方窃取了重要数据并以此为要挟进行勒索,则应立即采取补救措施——修补安全漏洞并调整相关业务,尽可能将数据泄露造成的损失降到最低。
标签: #newbridgenet #2kkkbbnet