勒索病毒是什麼?
勒索病毒,是一種新型電腦病毒,主要以郵件、程序木馬、網頁掛馬的形式進行傳播。該病毒性質惡劣、危害極大,一旦感染將給用戶帶來無法估量的損失。這種病毒利用各種加密算法對文件進行加密,被感染者一般無法解密,必須拿到解密的私鑰才有可能破解。
我們來盤點部分2019年全球勒索病毒事件。
3月,在挪威,全球最大鋁製品生產商之一 Norsk Hydro遭遇勒索軟件LockerGoga攻擊,全球整個網絡都宕機,影響所有的生產系統以及辦事處運營,公司被迫關閉多條自動化生產線,震盪全球鋁製品交易市場。
5月,中國某網約車平臺遭勒索軟件定向打擊,服務器核心數據慘遭加密,攻擊者索要鉅額比特幣贖金,無奈之下向公安機關報警求助。
5月,美國佛羅里達州裡維埃拉,遭到勒索軟件攻擊,各項市政工作停擺幾周,市政緊急會議決定支付60萬美元的贖金。
6月,全球最大飛機零件供應商ASCO,在比利時的工廠遭遇勒索病毒攻擊,生產環境系統癱瘓,大約1000名工人停工,在德國、加拿大和美國的工廠也被迫停工。
10月,全球最大的助聽器製造商Demant,遭勒索軟件入侵,直接經濟損失高達9500萬美元。
10月,全球知名航運和電子商務巨頭Pitney Bowes遭受勒索軟件攻擊,攻擊者加密公司系統數據,破壞其在線服務系統,超九成財富全球500強合作企業受波及。
10月,法國最大商業電視臺M6 Group慘遭勒索軟件洗劫,公司電話、電子郵件、辦公及管理工具全部中斷,集體被迫“罷工”。
勒索病毒發展史
勒索病毒的發展大致可以分為三個階段
1.萌芽期
1989年,AIDS trojan是世界上第一個被載入史冊的勒索病毒,從而開啟了勒索病毒的時代。 早期的勒索病毒主要通過釣魚郵件,掛馬,社交網絡方式傳播,使用轉賬等方式支付贖金,其攻擊範疇和持續攻擊能力相對有限,相對容易追查。
2.成型期
2013下半年開始,是現代勒索病毒正式成型的時期。勒索病毒使用AES和RSA對特定文件類型進行加密,使破解幾乎不可能。同時要求用戶使用虛擬貨幣支付,以防其交易過程被跟蹤。 這個時期典型的勒索病毒有CryptoLocker,CTBLocker等。直至WannaCry勒索蠕蟲大規模爆發,此類惡意程序大多散在發生,大多數情況下,這些惡意軟件本身並不具有主動擴散的能力。
3.產業化
自2016年開始,然而隨著漏洞利用工具包的流行,尤其是 “The Shadow Brokers” (影子經紀人)公佈方程式黑客組織的工具後,其中的漏洞攻擊工具被黑客廣泛應用。勒索病毒也藉此廣泛傳播。典型的例子,就是WannaCry勒索蠕蟲病毒的大發作,兩年前的這起遍佈全球的病毒大破壞,是破壞性病毒和蠕蟲傳播的聯合行動,其目的不在於勒索錢財,而是製造影響全球的大規模破壞行動。 在此階段,勒索病毒已呈現產業化、家族化持續運營。在整個鏈條中,各環節分工明確,完整的一次勒索攻擊流程可能涉及勒索病毒作者,勒索實施者,傳播渠道商,代理。
4.多樣化
自2018年開始,常規的勒索木馬技術日益成熟。已將攻擊目標從最初的大面積撒網無差別攻擊,轉向精準攻擊高價值目標。比如直接攻擊醫療行業,企事業單位、政府機關服務器,包括製造業在內的傳統企業面臨著日益嚴峻的安全形勢。 越來越多基於腳本語言開發出的勒索病毒開始湧現,甚至開始出現使用中文編程“易語言”開發的勒索病毒。例如使用Python系列的“Py-Locker”勒索病毒,易語言供應鏈傳播鬧的沸沸揚揚的“unname1889”勒索病毒,門檻低意味著將有更多的黑產人群進入勒索產業這個領域,也意味著該病毒將持續發展氾濫。 同時,騰訊御見威脅情報中心在2018年陸續接收到多起該類型勒索用戶反饋。勒索者通過大量群發詐騙郵件,當命中收件人隱私信息後,利用收件人的恐慌心理實施敲詐勒索。勒索過程中,受害者由於擔心自己隱私信息遭受進一步的洩漏,極容易陷入勒索者的圈套,從而受騙繳納贖金。而實際上,受害者既沒有真的發生信息洩露,也沒有遭遇病毒攻擊,受害者只是被嚇壞了。
勒索病毒感染數據
1.2018年至今勒索病毒活躍趨勢
2.勒索病毒19年一季度行業分佈情況
四、活躍勒索病毒家族
伴隨著數字貨幣過去兩年的高速發展,在巨大的利益誘惑,以GandCrab,GlobeImposter,Crysis等為代表的勒索家族依然高度活躍,以下為2019年Q1季度最具代表性的10個勒索病毒家族排行榜。
下面為活躍家族的信息情況:
1.GandCrab
GandCrab最早出現於2018年1月,是首個使用達世幣(DASH)作為贖金的勒索病毒,也是2019年Q1季度最為活躍的病毒之一。GandCrab傳播方式多種多樣,主要有弱口令爆破,惡意郵件,網頁掛馬傳播,移動存儲設備傳播,軟件供應鏈感染傳播。該病毒更新速度極快,在1年時間內經歷了5個大版本,數各小版本更新,目前最新版本為5.2(截止2019年3底),該版本也是國內當前最為最活躍版本。
2.GlobleImposter
2017年5月,勒索病毒Globelmposter首次在國內出現;2018年2月全國各大醫院受Globelmposter2.0勒索病毒攻擊,導致醫院系統被加密,嚴重影響了醫院的正常業務;2018.12月Globelmposter勒索病毒再次爆發且已經更新到4.0變種。Globelmposter從1.0到4.0的攻擊手法都極其豐富,通過垃圾郵件、社交工程、滲透掃描、RDP爆破、惡意程序捆綁等方式進行傳播,其加密的後綴名也不斷變化。由於Globelmposter採用RSA+AES算法加密,目前該勒索樣本加密的文件暫無解密工具。
3.Crysis
2017年5月,勒索病毒Globelmposter首次在國內出現;2018年2月全國各大醫院受Globelmposter2.0勒索病毒攻擊,導致醫院系統被加密,嚴重影響了醫院的正常業務;2018.12月Globelmposter勒索病毒再次爆發且已經更新到4.0變種。Globelmposter從1.0到4.0的攻擊手法都極其豐富,通過垃圾郵件、社交工程、滲透掃描、RDP爆破、惡意程序捆綁等方式進行傳播,其加密的後綴名也不斷變化。由於Globelmposter採用RSA+AES算法加密,目前該勒索樣本加密的文件暫無解密工具。
4.Paradise
Paradise(天堂)勒索病毒最早出現在2018年七月份左右,該勒索病毒運行後將會加密所有找到的文件,但不會加密系統以及部分瀏覽器文件夾下的文件。在加密完成文件後,還會添加一個超長後綴(_V.0.0.0.1{[email protected]}.dp)至原文件名末尾,並且在每個包含加密文件的文件夾中都會生成一份“勒索聲明”,聲明中附上了自己的郵箱,還有一個自動生成的用戶ID,以此來作為用戶要求解密的憑證。
5.Stop
該家族病毒不僅加密文件,還會靜默安裝修改後的TeamViwer進而導致中毒電腦被攻擊者遠程控制,同時修改Host文件,阻止受害者訪問安全廠商的網站,禁用Windows Defender開機啟動,實時監測功能,令電腦失去保護。為防止加密文件造成的CPU佔用卡頓,還會釋放專門的模塊偽裝Windows補丁更新狀態。
6.Satan
撒旦(Satan)勒索病毒在2017年初被外媒曝光,該病毒由於文件加密算法和密鑰生成算法的缺陷,導致多個病毒版本被破解,加密文件可解密。但撒旦(Satan)勒索病毒並沒有停止攻擊的腳步,反而不斷進行升級優化,跟安全軟件做持久性的對抗。該病毒利用JBoss、Tomcat、Weblogic,Apache Struts2等多個組件漏洞以及永恆之藍漏洞進行攻擊感染傳播。
7.WannaCry
WannaCry於2017年5月12日在全球範圍大爆發,引爆了互聯網行業的“生化危機”。藉助“永恆之藍”高危漏洞傳播的WannaCry在短時間內影響近150個國家,致使多個國家政府、教育、醫院、能源、通信、交通、製造等諸多關鍵信息基礎設施遭受前所未有的破壞,勒索病毒也由此事件受到空前的關注,由於當前網絡中仍有部分機器未修復漏洞,所以該病毒仍然有較強活力(大部分加密功能失效)。
8.Scarab
Scarab惡意軟件最早發現於2017年6月份,從那時開始,便有大量新的Scarab變種不斷被發現。其中,影響範圍最廣的一個版本是使用Visual C編譯並由Necurs殭屍網絡傳播的。跟大多數勒索病毒一樣,Scarabey在感染並加密了目標系統的文件之後,會要求用戶支付比特幣。之前版本的Scarab是通過Necurs惡意郵件來傳播的,但Scarabey主要通過RDP+人工感染的方式來實現傳播,並且針對的是俄羅斯用戶。
9.Cerber2019(xorist)
Xorist系列勒索病毒最早可追溯到2012年,Cerber2019是該家族2019年發現的在國內首個感染變種,該勒索病毒疑似通過生成器自定義生成。與其他勒索病毒不同的是,該病毒除加密常見文件類型外,還會把其他勒索病毒(如:WannaCry, Crysis)加密過的文件再次加密。勒索文檔要求受害者24小時內支付1比特幣解密,超過36小時則銷燬文件加密密鑰國。經騰訊安全專家分析發現,CerBer2019勒索病毒加密的文件可以解密成功。
10.FilesLocker
FilesLocker勒索病毒在2018年10月出現,並在網上大量招募傳播代理。在經過一系列迭代升級到2.1版本後,該病毒通過換皮方式進一步傳播Gorgon變種。最新Gorgon變種加密文件完成後會添加.[[email protected]]擴展後綴。該病毒由於加密完成後使用彈窗告知受害者勒索信息,所以病毒進程未退出情況下有極大概率可通過內存查找到文件加密密鑰進而解密。
五、主要攻擊特徵
1.針對企業用戶定向攻擊
勒索病毒在2016年爆發時,主要通過釣魚郵件、掛馬等攻擊方式撒網式傳播,導致普通用戶深受其害。但隨後黑客發現普通用戶的數據價值相對更低,並不會繳納高額贖金進行數據恢復,相反企業用戶的資料數據一旦丟失,將會極大地影響公司業務的正常運轉,因此企業用戶往往會繳納贖金來挽回數據。因此現在黑客基本針對企業用戶定向攻擊,以勒索更多的贖金。
2.以RDP爆破為主
通過騰訊安全御見威脅情報中心的數據統計,目前勒索攻擊主要以RDP爆破為主(包括企業內網滲透),典型家族有GlobeImposter和Crysis,也有其他家族的勒索病毒陸續加入端口爆破攻擊方式。RDP爆破成功後,黑客可以遠程登錄終端進行操作,這樣即使終端上有安全軟件的防護也會被黑客退出,攻擊成功率高,因此備受黑客喜愛。
3.更多使用漏洞攻擊
以往勒索病毒更多的使用釣魚郵件、水坑攻擊等方式進行傳播,但隨著用戶的安全教育普及,社工型的攻擊成功率越來越低。因此勒索病毒現在更多的使用漏洞進行攻擊,漏洞攻擊往往用戶沒有感知、並且成功率高。部分企業沒有及時修復終端的高危漏洞,這就給了黑客可趁之機。
4.入侵企業內網後橫向滲透
大多企業通過內外網隔離,來提高黑客的攻擊門檻,但是一旦前置機有可利用漏洞,黑客依然可以入侵到企業內網。入侵成功之後,黑客往往會利用端口爆破、永恆之藍漏洞等進行橫向傳播,來達到加密更多的文件、勒索更高額贖金的目的。
八、勒索病毒應急處置手冊
事前防護
1. 定期進行安全培訓,日常安全管理可參考“三不三要”(三不:不上鉤、不打開、不點擊;三要:要備份、要確認、要更新)思路。 2. 全網安裝專業終端安全管理軟件,例如御見終端安全管理系統,騰訊御界高級威脅檢測系統等。 3. 由管理員批量殺毒和安裝補丁,後續定期更新各類系統高危補丁; 4. 定期備份數據,重要數據多重備份。
事中應急
建議聯繫專業安全廠商處理,同時在專業安全人員到達之前,可採取正確的自救措施,以便控制影響範圍。 1. 物理,網絡隔離染毒機器; 2. 對於內網其他未中毒電腦,排查系統安全隱患: a) 系統和軟件是否存在漏洞 b) 是否開啟了共享及風險服務或端口 c) 檢查機器ipc空連接及默認共享是否開啟 d) 檢查是否使用了統一登錄密碼或者弱密碼
事後處理
在無法直接獲得安全專業人員支持的情況下,可考慮如下措施: 1. 通過管家勒索病毒搜索引擎搜索,獲取病毒相關信息。搜索引擎地址(https://guanjia.qq.com/pr/ls/#navi_0) 2. 若支持解密,可直接點擊下載工具對文件進行解密
3. 中毒前若已經安裝騰訊電腦管家或者御點終端安全管理系統,並開啟了文檔守護者功能,可通過該系統進行文件恢復
閱讀更多 我很荒 的文章
