本帖最后由 腾讯电脑管家 于 2019-3-12 15:29 编辑
一、概述
最近又有重要单位网络因勒索病毒攻击而导致严重损失,造成破坏的勒索病毒,还是半年前制造过灾难的老病毒。过去一年,勒索病毒越来越多的将目的针对企事业单位和重要的政府机关,因为破坏这些系统,能保障勒索获利。越来越多的勒索病毒结合了黑客攻击和蠕虫式的传播能力,能够在受害企业网络中主动传播扩大战果。勒索病毒并不是什么新鲜事物,已经零零散散存在了很多年,一直被当作偶发性破坏性强的破坏性程序记录在案,直到WannaCry勒索蠕虫病毒爆发,给所有人上了一课:丧心病狂的破坏者可以把勒索病毒与蠕虫病毒有机结合起来,制造大面积的灾难性后果。之后,安全软件与勒索病毒的技术对抗即不断升级,勒索病毒的攻击也日益呈现出技术手段更成熟,攻击目标更精准,产业分工更具体的特性。
回顾2018年勒索病毒的感染数据,了解勒索病毒的攻击特点,有助于政企单位采取相应措施加强防御,将勒索病毒的危害控制到最低。
2018年勒索病毒呈明显上升趋势 勒索病毒感染地域分布和行业分布 观察2018年勒索病毒攻击地域分布可知,勒索病毒在全国各地均有分布,其中广东,浙江,山东,河南等地最为严重。勒索病毒攻击行业中以传统行业,教育,互联网行业最为严重,医疗,政府机构紧随其后。分析可知,勒索病毒影响到事关国计民生的各个行业,一旦社会长期依赖的基础涉及遭受攻击,将带来难以估计,且不可逆转的损失。
二、勒索类型1.使用正规加密工具: 该勒索方式不同于传统的勒索病毒攻击流程,黑客通过入侵服务器成功后,使用正规的磁盘加密保护软件对受害者机器数据进行攻击。例如BestCrypt Volume Encryption软件,BestCrypt Volume Encryption是一款专业加密软件厂商开发的磁盘保护软件,能将整个分区加密,加密后除非有加密时候设置的口令,否则难以通过第三方去恢复解密。黑客通过利用专业加密软件对服务器上的磁盘进行加密,并要求缴纳大量赎金方式进一步提供文件解密恢复服务。
2.病毒加密: 该类勒索为最常见的病毒类型攻击手法,主要分为两类,一是劫持操作系统引导区禁止用户正常登录系统,二是使用高强度的加密算法加密用户磁盘上的所有数据文件,两种方式可能存在相互引用。病毒由于使用高强度的对称或非对称加密算法对数据进行了加密,当无法拿到文件解密密钥的情况下,解密恢复文件的可能性极低。这也是勒索病毒攻击者能一次次得手的技术前提。
3.虚假勒索诈骗邮件: 此勒索类严格意义上来讲不属于病毒,但由于该类型勒索巧妙利用了人性的弱点:通过电子邮件威胁、恐吓,欺骗受害人向某个加密钱包转帐,这一作法在2018相当流行。腾讯安全团队在2018年陆续接收到多起该类型勒索用户反馈。勒索者通过大量群发诈骗邮件,当命中收件人隐私信息后,利用收件人的恐慌心里,进而成功实施欺诈勒索。勒索过程中,受害者由于担心自己隐私信息遭受进一步的泄漏,极容易陷入勒索者的圈套,从而受骗缴纳赎金。
三、勒索病毒产业链勒索病毒在经过爆发式的增长后,产业链条化较为明显,各角色分工明确,完整的一次勒索攻击流程可能涉及勒索病毒作者,勒索实施者,传播渠道商,代{过}{滤}理,受害者5个角色,各角色具体分工如下: 勒索病毒作者:负责勒索病毒编写制作,与安全软件免杀对抗。通过在“暗网”或其它地下平台贩卖病毒代码,接受病毒定制,或出售病毒生成器的方式,与勒索者进行合作拿取分成。 勒索实施者:从病毒作者手中拿到定制版本勒索病毒或勒索病毒原程序,通过自定义病毒勒索信息后得到自己的专属病毒,与勒索病毒作者进行收入分成。 传播渠道商:帮助勒索者传播勒索病毒,最为熟悉的则是僵尸网络,例Necurs、Gamut,全球有97%的钓鱼邮件由该两个僵尸网络发送。 代{过}{滤}理:向受害者假称自己能够解密各勒索病毒加密的文件,并且是勒索者提出赎金的50%甚至更低,但实际上与勒索者进行合作,从中赚取差价。代{过}{滤}理常通过搜索关键字广告推广。 受害者:通过勒索病毒各种传播渠道不幸中招的受害者,如有重要文件被加密,则向代{过}{滤}理或勒索者联系缴纳赎金解密文件。
众所周知,除非勒索病毒存在逻辑漏洞,或者取得解密密钥,以当前的计算机算力去解密几乎不可能,而通过搜索引擎可发现大量号称可解密多种主流勒索病毒的公司,该类部分解密公司,实际上是勒索者在国内的代{过}{滤}理,利用国内用户不方便买数字货币以及相对更加便宜的价格,吸引受害者联系解密,在整个过程中赚取差价。根据某解密公司官网上公开的记录,一家解密公司靠做勒索中间代{过}{滤}理一个月收入可达300W人民币。
四、勒索病毒2018典型攻击事件
观察分析2018年典型勒索攻击事件不难发现,勒索病毒团伙为了提高收益,已将攻击目标从最初的大面积撒网无差别攻击,转向精准攻击高价值目标。比如直接攻击医疗行业,企事业单位、政府机关服务器,包括制造业在内的传统企业面临着日益严峻的安全形势。 尽管WannaCry大范围攻击已过去一年多,但依然引起多次大型攻击事件。腾讯安全团队监测发现,直到现在依然有部分企业、机构存在电脑未修复该高危漏洞。一年前爆发流行的WannaCry勒索病毒仍然在某些企业、机关、事业单位内网出现。以医疗行业安全性相对较高的三甲医院为例,42%三甲医院内依然有PC电脑存在永恒之蓝漏洞未修复。平均每天有7家三甲医院被检出WannaCry勒索病毒(所幸多为加密功能失效的病毒版本)。 制造业正迎来「工业4.0」的重大历史契机,面对需要将无处不在的传感器、嵌入式系统、智能控制系统和产品数据、设备数据、研发数据、运营管理数据紧密互联成一个智能网络的新模式,一个全新的安全需求正在产生。 腾讯高级副总裁丁珂曾经指出:数字经济时代信息安全已不只是一种基础能力,还是产业发展升级的驱动力之一;安全是所有0前面的1,没有了1,所有0都失去了意义。
五、勒索病毒家族活跃TOP榜
伴随着数字货币过去两年的高速发展,在巨大的利益诱惑,以GandCrab,GlobeImposter,Crysis等为代表的勒索家族依然高度活跃,以上为2018年最具代表性的10个勒索病毒家族,下面通过简单介绍让大家了解当前流行的勒索病毒。
1. GandCrab: GandCrab最早出现于2018年1月,是首个使用达世币(DASH)作为赎金的勒索病毒,也是2018年也是最为活跃的病毒之一。GandCrab传播方式多种多样,主要有弱口令爆破,恶意邮件,网页挂马传播,移动存储设备传播,软件供应链感染传播。该病毒更新速度极快,在1年时间内经历了5个大版本,数各小版本更新,目前最新版本为5.1.6(截止2018年底),国内最为最活跃版本为5.0.4。
2. GlobeImposter: GlobeImposter出现于2017年12月,该病毒发展到今天已有4个大版本,该病毒加密文件完成后添加扩展后缀较多,主要有以下类型,目前最活跃版本病毒加密文件完成后会添加.*4444的扩展后缀 (GOTHAM .YAYA .CHAK .GRANNY .SKUNK .SEXY .MAKGR .TRUE .BIG1 .LIN .BIIT .BUNNY .FREEMAN .reserve .DREAM .CHIEF.WALKER .Ox4444 .booty .YOYO .BIG3 .xx .BIG2 .sexy2 .sexy1 .China4444 .Help4444 .Rat4444 .Tiger4444 .Rabbit4444 .Dragon4444 .Snake4444 .Horse4444 .Goat4444 .Monkey4444 .Rooster4444 .Dog4444 .Pig4444)
3. Crysis: 该病毒通常使用弱口令爆破的方式入侵企业服务器,安全意识薄弱的企业由于多台机器使用同一弱密码,面对该病毒极容易引起企业内服务器的大面积感染,进而造成业务系统瘫痪。
4. WannaCry: WannaCry于2017年5月12日在全球范围大爆发,引爆了互联网行业的“生化危机”。借助“永恒之蓝”高危漏洞传播的WannaCry在短时间内影响近150个国家,致使多个国家政府、教育、医院、能源、通信、交通、制造等诸多关键信息基础设施遭受前所未有的破坏,勒索病毒也由此事件受到空前的关注,由于当前网络中仍有部分机器未修复漏洞,所以该病毒仍然有较强活力(大部分加密功能失效)。
5. Satan: 撒旦(Satan)勒索病毒在2017年初被外媒曝光,被曝光后,撒旦(Satan)勒索病毒并没有停止攻击的脚步,反而不断进行升级优化,跟安全软件做持久性的对抗。该病毒利用JBoss、Tomcat、Weblogic,Apache Struts2等多个组件漏洞以及永恒之蓝漏洞进行攻击感染传播。
6. Hermes: Hermes勒索病毒首次活跃于2017年11月,加密文件完成后会在文件名后添加.HRM扩展后缀。该家族擅长使用钓鱼邮件,RDP(远程桌面管理)爆破攻击,软件供应链劫持等方式进行传播,使用RSA+AES的加密方式,在没有拿到病毒作者手中私钥情况下,文件无法解密。
7. Stop: 该家族病毒不仅加密文件,还会静默安装修改后的TeamViwer进而导致中毒电脑被攻击者远程控制,同时修改Host文件,阻止受害者访问安全厂商的网站,禁用Windows Defender开机启动,实时监测功能,令电脑失去保护。为防止加密文件造成的CPU占用卡顿,还会释放专门的模块伪装Windows补丁更新状态。
8. Rapid: Rapid勒索病毒在2017开始有过活跃,该病毒主要通过弱口令爆破,恶意邮件、网站挂马等方式进行传播,目前国内活跃版本加密完成后会添加no_more_ransom的扩展后缀。病毒加密文件后无法解密。
9. FilesLocker: FilesLocker勒索病毒在2018年10月出现,并在网上大量招募传播代{过}{滤}理。目前已升级到2.0版本,加密文件后会添加[fileslocker@pm.me]的扩展后缀。该病毒由于加密完成后使用弹窗告知受害者勒索信息,所以病毒进程未退出情况下有极大概率可通过内存查找到文件加密密钥进而解密。
10. Py-Locker: 该勒索病毒家族使用Python语言编写,令人惊讶的是捕获到的个别样本携带了正规的数字签名,签名人名称为LA CREM LTD,具有正规数字签名的文件极易被安全软件放行。根据勒索信息,受害者若想解密受损文件,必须使用tor浏览器访问境外网站(暗网)购买解密工具。
六、勒索病毒未来趋势1、勒索病毒与安全软件的对抗加剧 随着安全软件对勒索病毒的解决方案成熟完善,勒索病毒更加难以成功入侵用户电脑,病毒传播者会不断升级对抗技术方案。
2、勒索病毒传播场景多样化 过去勒索病毒传播主要以钓鱼邮件为主,现在勒索病毒更多利用了高危漏洞(如永恒之蓝)、鱼叉邮件攻击,或水坑攻击等方式传播,大大提高了入侵成功率。
3、勒索病毒攻击目标转向企业用户 个人电脑大多能够使用安全软件完成漏洞修补,在遭遇勒索病毒攻击时,个人用户往往会放弃数据,恢复系统。而企业用户在没有及时备份的情况下,会倾向于支付赎金,挽回数据。因此,已发现越来越多攻击目标是政府机关、企业、医院、学校。
4、勒索病毒更新迭代加快 以GandCrab为例,当第一代的后台被安全公司入侵之后,随后在一周内便发布了GandCrab2,该病毒在短短一年时间内,已经升级了5个大版本,无数个小版本。
5、勒索赎金提高 随着用户安全意识提高、安全软件防御能力提升,勒索病毒入侵成本越来越高,赎金也有可能随之提高。上半年某例公司被勒索病毒入侵后,竟被勒索9.5个比特币。如今勒索病毒的攻击目标也更加明确,或许接下来在赎金上勒索者会趁火打劫,提高勒索赎金。
6、勒索病毒加密对象升级 传统的勒索病毒加密目标基本以文件文档为主,现在越来越多的勒索病毒会尝试加密数据库文件,加密磁盘备份文件,甚至加密磁盘引导区。一旦加密后用户将无法访问系统,相对加密而言危害更大,也有可能迫使用户支付赎金。
7、勒索病毒开发门槛降低 观察近期勒索病毒开发语言类型可知,越来越多基于脚本语言开发出的勒索病毒开始涌现,甚至开始出现使用中文编程“易语言”开发的勒索病毒。例如使用Python系列的“Py-Locker”勒索病毒,易语言供应链传播闹的沸沸扬扬的“unname1889”勒索病毒,门槛低意味着将有更多的黑产人群进入勒索产业这个领域,也意味着该病毒将持续发展泛滥。
8、勒索病毒产业化 随着勒索病毒的不断涌现,腾讯安全御见威胁情报中心甚至观察到一类特殊的产业诞生:勒索代{过}{滤}理业务。当企业遭遇勒索病毒攻击,关键业务数据被加密,而理论上根本无法解密时,而勒索代{过}{滤}理机构,承接了受害者和攻击者之间谈判交易恢复数据的业务。
9、勒索病毒感染趋势上升 随着虚拟货币的迅速发展,各类型病毒木马盈利模式一致,各类型病毒均有可能随时附加勒索属性。蠕虫,感染,僵尸网络,挖矿木马,在充分榨干感染目标剩余价值后,都极有可能下发勒索功能进行最后一步敲诈,这一点观察GandCrab勒索病毒发展趋势已有明显的体现,预测未来勒索病毒攻击将持续上升。
七、勒索病毒预防措施1. 定期进行安全培训,日常安全管理可参考“三不三要”思路 1) 不上钩:标题吸引人的未知邮件不要点开 2) 不打开:不随便打开电子邮件附件 3) 不点击:不随意点击电子邮件中附带网址 4) 要备份:重要资料要备份 5) 要确认:开启电子邮件前确认发件人可信 6) 要更新:系统补丁/安全软件病毒库保持实时更新 2. 全网安装专业的终端安全管理软件,由管理员批量杀毒和安装补丁,后续定期更新各类系统高危补丁。 3. 部署流量监测/阻断类设备/软件,便于事前发现,事中阻断和事后回溯。 4. 建议由于其他原因不能及时安装补丁的系统,考虑在网络边界、路由器、防火墙上设置严格的访问控制策略,以保证网络的动态安全。 5. 建议对于存在弱口令的系统,需在加强使用者安全意识的前提下,督促其修改密码,或者使用策略来强制限制密码长度和复杂性。 6. 建议对于存在弱口令或是空口令的服务,在一些关键服务上,应加强口令强度,同时需使用加密传输方式,对于一些可关闭的服务来说,建议关闭不要的服务端口以达到安全目的。不使用相同口令管理多台关键服务器。 7. 建议网络管理员、系统管理员、安全管理员关注安全信息、安全动态及最新的严重漏洞,攻与防的循环,伴随每个主流操作系统、应用服务的生命周期。 8. 建议对数据库账户密码策略建议进行配置,对最大错误登录次数、超过有效次数进行锁定、密码有效期、到期后的宽限时间、密码重用等策略进行加固设置。 9. 建议对数据库的管理访问节点地址进行严格限制,只允许特定管理主机IP进行远程登录数据库。 做好安全灾备方案,可按数据备份三二一原则来指导实施 1. 至少准备三份:重要数据确保有3个以上的备份。 2. 两种不同形式:将数据备份在两种不同的存储类型,如服务器/移动硬盘/云端/光盘等。 3. 一份异地备份:至少一份备份存储在异地,当发生意外时保证有一份备份数据安全。
|