勒索病毒是什么?
勒索病毒,是一种新型电脑病毒,主要以邮件、程序木马、网页挂马的形式进行传播。该病毒性质恶劣、危害极大,一旦感染将给用户带来无法估量的损失。这种病毒利用各种加密算法对文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能破解。
我们来盘点部分2019年全球勒索病毒事件。
3月,在挪威,全球最大铝制品生产商之一 Norsk Hydro遭遇勒索软件LockerGoga攻击,全球整个网络都宕机,影响所有的生产系统以及办事处运营,公司被迫关闭多条自动化生产线,震荡全球铝制品交易市场。
5月,中国某网约车平台遭勒索软件定向打击,服务器核心数据惨遭加密,攻击者索要巨额比特币赎金,无奈之下向公安机关报警求助。
5月,美国佛罗里达州里维埃拉,遭到勒索软件攻击,各项市政工作停摆几周,市政紧急会议决定支付60万美元的赎金。
6月,全球最大飞机零件供应商ASCO,在比利时的工厂遭遇勒索病毒攻击,生产环境系统瘫痪,大约1000名工人停工,在德国、加拿大和美国的工厂也被迫停工。
10月,全球最大的助听器制造商Demant,遭勒索软件入侵,直接经济损失高达9500万美元。
10月,全球知名航运和电子商务巨头Pitney Bowes遭受勒索软件攻击,攻击者加密公司系统数据,破坏其在线服务系统,超九成财富全球500强合作企业受波及。
10月,法国最大商业电视台M6 Group惨遭勒索软件洗劫,公司电话、电子邮件、办公及管理工具全部中断,集体被迫“罢工”。
勒索病毒发展史
勒索病毒的发展大致可以分为三个阶段
1.萌芽期
1989年,AIDS trojan是世界上第一个被载入史册的勒索病毒,从而开启了勒索病毒的时代。
早期的勒索病毒主要通过钓鱼邮件,挂马,社交网络方式传播,使用转账等方式支付赎金,其攻击范畴和持续攻击能力相对有限,相对容易追查。
2.成型期
2013下半年开始,是现代勒索病毒正式成型的时期。勒索病毒使用AES和RSA对特定文件类型进行加密,使破解几乎不可能。同时要求用户使用虚拟货币支付,以防其交易过程被跟踪。
这个时期典型的勒索病毒有CryptoLocker,CTBLocker等。直至WannaCry勒索蠕虫大规模爆发,此类恶意程序大多散在发生,大多数情况下,这些恶意软件本身并不具有主动扩散的能力。
3.产业化
自2016年开始,然而随着漏洞利用工具包的流行,尤其是 “The Shadow Brokers” (影子经纪人)公布方程式黑客组织的工具后,其中的漏洞攻击工具被黑客广泛应用。勒索病毒也借此广泛传播。典型的例子,就是WannaCry勒索蠕虫病毒的大发作,两年前的这起遍布全球的病毒大破坏,是破坏性病毒和蠕虫传播的联合行动,其目的不在于勒索钱财,而是制造影响全球的大规模破坏行动。
在此阶段,勒索病毒已呈现产业化、家族化持续运营。在整个链条中,各环节分工明确,完整的一次勒索攻击流程可能涉及勒索病毒作者,勒索实施者,传播渠道商,代理。
4.多样化
自2018年开始,常规的勒索木马技术日益成熟。已将攻击目标从最初的大面积撒网无差别攻击,转向精准攻击高价值目标。比如直接攻击医疗行业,企事业单位、政府机关服务器,包括制造业在内的传统企业面临着日益严峻的安全形势。
越来越多基于脚本语言开发出的勒索病毒开始涌现,甚至开始出现使用中文编程“易语言”开发的勒索病毒。例如使用Python系列的“Py-Locker”勒索病毒,易语言供应链传播闹的沸沸扬扬的“unname1889”勒索病毒,门槛低意味着将有更多的黑产人群进入勒索产业这个领域,也意味着该病毒将持续发展泛滥。
同时,腾讯御见威胁情报中心在2018年陆续接收到多起该类型勒索用户反馈。勒索者通过大量群发诈骗邮件,当命中收件人隐私信息后,利用收件人的恐慌心理实施敲诈勒索。勒索过程中,受害者由于担心自己隐私信息遭受进一步的泄漏,极容易陷入勒索者的圈套,从而受骗缴纳赎金。而实际上,受害者既没有真的发生信息泄露,也没有遭遇病毒攻击,受害者只是被吓坏了。
勒索病毒感染数据
1.2018年至今勒索病毒活跃趋势
2.勒索病毒19年一季度行业分布情况
四、活跃勒索病毒家族
伴随着数字货币过去两年的高速发展,在巨大的利益诱惑,以GandCrab,GlobeImposter,Crysis等为代表的勒索家族依然高度活跃,以下为2019年Q1季度最具代表性的10个勒索病毒家族排行榜。
下面为活跃家族的信息情况:
1.GandCrab
GandCrab最早出现于2018年1月,是首个使用达世币(DASH)作为赎金的勒索病毒,也是2019年Q1季度最为活跃的病毒之一。GandCrab传播方式多种多样,主要有弱口令爆破,恶意邮件,网页挂马传播,移动存储设备传播,软件供应链感染传播。该病毒更新速度极快,在1年时间内经历了5个大版本,数各小版本更新,目前最新版本为5.2(截止2019年3底),该版本也是国内当前最为最活跃版本。
2.GlobleImposter
2017年5月,勒索病毒Globelmposter首次在国内出现;2018年2月全国各大医院受Globelmposter2.0勒索病毒攻击,导致医院系统被加密,严重影响了医院的正常业务;2018.12月Globelmposter勒索病毒再次爆发且已经更新到4.0变种。Globelmposter从1.0到4.0的攻击手法都极其丰富,通过垃圾邮件、社交工程、渗透扫描、RDP爆破、恶意程序捆绑等方式进行传播,其加密的后缀名也不断变化。由于Globelmposter采用RSA+AES算法加密,目前该勒索样本加密的文件暂无解密工具。
3.Crysis
2017年5月,勒索病毒Globelmposter首次在国内出现;2018年2月全国各大医院受Globelmposter2.0勒索病毒攻击,导致医院系统被加密,严重影响了医院的正常业务;2018.12月Globelmposter勒索病毒再次爆发且已经更新到4.0变种。Globelmposter从1.0到4.0的攻击手法都极其丰富,通过垃圾邮件、社交工程、渗透扫描、RDP爆破、恶意程序捆绑等方式进行传播,其加密的后缀名也不断变化。由于Globelmposter采用RSA+AES算法加密,目前该勒索样本加密的文件暂无解密工具。
4.Paradise
Paradise(天堂)勒索病毒最早出现在2018年七月份左右,该勒索病毒运行后将会加密所有找到的文件,但不会加密系统以及部分浏览器文件夹下的文件。在加密完成文件后,还会添加一个超长后缀(_V.0.0.0.1{[email protected]}.dp)至原文件名末尾,并且在每个包含加密文件的文件夹中都会生成一份“勒索声明”,声明中附上了自己的邮箱,还有一个自动生成的用户ID,以此来作为用户要求解密的凭证。
5.Stop
该家族病毒不仅加密文件,还会静默安装修改后的TeamViwer进而导致中毒电脑被攻击者远程控制,同时修改Host文件,阻止受害者访问安全厂商的网站,禁用Windows Defender开机启动,实时监测功能,令电脑失去保护。为防止加密文件造成的CPU占用卡顿,还会释放专门的模块伪装Windows补丁更新状态。
6.Satan
撒旦(Satan)勒索病毒在2017年初被外媒曝光,该病毒由于文件加密算法和密钥生成算法的缺陷,导致多个病毒版本被破解,加密文件可解密。但撒旦(Satan)勒索病毒并没有停止攻击的脚步,反而不断进行升级优化,跟安全软件做持久性的对抗。该病毒利用JBoss、Tomcat、Weblogic,Apache Struts2等多个组件漏洞以及永恒之蓝漏洞进行攻击感染传播。
7.WannaCry
WannaCry于2017年5月12日在全球范围大爆发,引爆了互联网行业的“生化危机”。借助“永恒之蓝”高危漏洞传播的WannaCry在短时间内影响近150个国家,致使多个国家政府、教育、医院、能源、通信、交通、制造等诸多关键信息基础设施遭受前所未有的破坏,勒索病毒也由此事件受到空前的关注,由于当前网络中仍有部分机器未修复漏洞,所以该病毒仍然有较强活力(大部分加密功能失效)。
8.Scarab
Scarab恶意软件最早发现于2017年6月份,从那时开始,便有大量新的Scarab变种不断被发现。其中,影响范围最广的一个版本是使用Visual C编译并由Necurs僵尸网络传播的。跟大多数勒索病毒一样,Scarabey在感染并加密了目标系统的文件之后,会要求用户支付比特币。之前版本的Scarab是通过Necurs恶意邮件来传播的,但Scarabey主要通过RDP+人工感染的方式来实现传播,并且针对的是俄罗斯用户。
9.Cerber2019(xorist)
Xorist系列勒索病毒最早可追溯到2012年,Cerber2019是该家族2019年发现的在国内首个感染变种,该勒索病毒疑似通过生成器自定义生成。与其他勒索病毒不同的是,该病毒除加密常见文件类型外,还会把其他勒索病毒(如:WannaCry, Crysis)加密过的文件再次加密。勒索文档要求受害者24小时内支付1比特币解密,超过36小时则销毁文件加密密钥国。经腾讯安全专家分析发现,CerBer2019勒索病毒加密的文件可以解密成功。
10.FilesLocker
FilesLocker勒索病毒在2018年10月出现,并在网上大量招募传播代理。在经过一系列迭代升级到2.1版本后,该病毒通过换皮方式进一步传播Gorgon变种。最新Gorgon变种加密文件完成后会添加.[[email protected]]扩展后缀。该病毒由于加密完成后使用弹窗告知受害者勒索信息,所以病毒进程未退出情况下有极大概率可通过内存查找到文件加密密钥进而解密。
五、主要攻击特征
1.针对企业用户定向攻击
勒索病毒在2016年爆发时,主要通过钓鱼邮件、挂马等攻击方式撒网式传播,导致普通用户深受其害。但随后黑客发现普通用户的数据价值相对更低,并不会缴纳高额赎金进行数据恢复,相反企业用户的资料数据一旦丢失,将会极大地影响公司业务的正常运转,因此企业用户往往会缴纳赎金来挽回数据。因此现在黑客基本针对企业用户定向攻击,以勒索更多的赎金。
2.以RDP爆破为主
通过腾讯安全御见威胁情报中心的数据统计,目前勒索攻击主要以RDP爆破为主(包括企业内网渗透),典型家族有GlobeImposter和Crysis,也有其他家族的勒索病毒陆续加入端口爆破攻击方式。RDP爆破成功后,黑客可以远程登录终端进行操作,这样即使终端上有安全软件的防护也会被黑客退出,攻击成功率高,因此备受黑客喜爱。
3.更多使用漏洞攻击
以往勒索病毒更多的使用钓鱼邮件、水坑攻击等方式进行传播,但随着用户的安全教育普及,社工型的攻击成功率越来越低。因此勒索病毒现在更多的使用漏洞进行攻击,漏洞攻击往往用户没有感知、并且成功率高。部分企业没有及时修复终端的高危漏洞,这就给了黑客可趁之机。
4.入侵企业内网后横向渗透
大多企业通过内外网隔离,来提高黑客的攻击门槛,但是一旦前置机有可利用漏洞,黑客依然可以入侵到企业内网。入侵成功之后,黑客往往会利用端口爆破、永恒之蓝漏洞等进行横向传播,来达到加密更多的文件、勒索更高额赎金的目的。
八、勒索病毒应急处置手册
事前防护
定期进行安全培训,日常安全管理可参考“三不三要”(三不:不上钩、不打开、不点击;三要:要备份、要确认、要更新)思路。
全网安装专业终端安全管理软件,例如御见终端安全管理系统,腾讯御界高级威胁检测系统等。
由管理员批量杀毒和安装补丁,后续定期更新各类系统高危补丁;
定期备份数据,重要数据多重备份。
事中应急
建议联系专业安全厂商处理,同时在专业安全人员到达之前,可采取正确的自救措施,以便控制影响范围。
物理,网络隔离染毒机器;
对于内网其他未中毒电脑,排查系统安全隐患:
a) 系统和软件是否存在漏洞
b) 是否开启了共享及风险服务或端口
c) 检查机器ipc空连接及默认共享是否开启
d) 检查是否使用了统一登录密码或者弱密码
事后处理
在无法直接获得安全专业人员支持的情况下,可考虑如下措施:
通过管家勒索病毒搜索引擎搜索,获取病毒相关信息。搜索引擎地址(https://guanjia.qq.com/pr/ls/#navi_0)
若支持解密,可直接点击下载工具对文件进行解密
中毒前若已经安装腾讯电脑管家或者御点终端安全管理系统,并开启了文档守护者功能,可通过该系统进行文件恢复